Donnees à caractère perso et vie privée

Click here to load reader

Embed Size (px)

description

conférence de Me BARDON à la webschool

Transcript of Donnees à caractère perso et vie privée

  • 1. DU CASQUE LENCART. La vie prive et les donnes caractre personnel, un sujet dactualit
  • 2. Si aujourd'hui, la rglementation relative aux donnes caractre personnel peut ressembler une jungle, son origine se trouve dans le projet SAFARI.
  • 3. Si aujourd'hui, la rglementation relative aux donnes caractre personnel peut ressembler une jungle, son origine se trouve dans le projet SAFARI. Le projet SAFARI (systme automatis pour les fichiers administratifs et le rpertoire des individus 1971) prvoyait : - une interconnexion des fichiers par lusage du numro INSEE de Scurit sociale, - la centralisation avec le fichier de la Caisse nationale dassurance vieillesse.
  • 4. Si aujourd'hui, la rglementation relative aux donnes caractre personnel peut ressembler une jungle, son origine se trouve dans le projet SAFARI. Le projet SAFARI (systme automatis pour les fichiers administratifs et le rpertoire des individus 1971) prvoyait : - une interconnexion des fichiers par lusage du numro INSEE de Scurit sociale, - la centralisation avec le fichier de la Caisse nationale dassurance vieillesse. 21 mars 1974, le Monde titre : SAFARI la chasse aux franais Projet abandonn
  • 5. 6 janvier 1978, loi n78-17 dite Informatique et libert
  • 6. LES SOURCES
  • 7. SOURCES INTERNES
  • 8. SOURCES INTERNES la Loi du 6 janvier 1978
  • 9. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992
  • 10. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992 modifie par la Loi du 1er juillet 1994
  • 11. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992 modifie par la Loi du 1er juillet 1994 modifie par la Loi du 6 aot 2004
  • 12. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992 modifie par la Loi du 1er juillet 1994 modifie par la Loi du 6 aot 2004 dcret dapplication de la Loi du 6 aot 2004 en date du 20 octobre 2005
  • 13. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992 modifie par la Loi du 1er juillet 1994 modifie par la Loi du 6 aot 2004 dcret dapplication de la Loi du 6 aot 2004 en date du 20 octobre 2005 les articles L 311-12 et L 311-50 du Code de la consommation interdisant denregistrer sur un fichier lexercice par lemprunteur de sa facult de rtractation
  • 14. SOURCES INTERNES la Loi du 6 janvier 1978 modifie par la Loi du 16 dcembre 1992 modifie par la Loi du 1er juillet 1994 modifie par la Loi du 6 aot 2004 dcret dapplication de la Loi du 6 aot 2004 en date du 20 octobre 2005 les articles L 311-12 et L 311-50 du Code de la consommation interdisant denregistrer sur un fichier lexercice par lemprunteur de sa facult de rtractation larticle 78-3 alina 9 du Code de procdure pnale interdisant les fichiers de vrification didentit
  • 15. SOURCES EUROPEENNES
  • 16. SOURCES EUROPEENNES directive 95/43/CE du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes
  • 17. SOURCES EUROPEENNES directive 95/43/CE du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes directive 97/66/CE du Parlement europen et du Conseil du 15 dcembre 1997 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des tlcommunications
  • 18. SOURCES EUROPEENNES directive 95/43/CE du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes directive 97/66/CE du Parlement europen et du Conseil du 15 dcembre 1997 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des tlcommunications rglement n45/2001 du Parlement europen et du Conseil du 18 dcembre 2000 relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel par les institutions et organes communautaires et la libre circulation des donnes
  • 19. SOURCES EUROPEENNES directive 95/43/CE du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes directive 97/66/CE du Parlement europen et du Conseil du 15 dcembre 1997 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des tlcommunications rglement n45/2001 du Parlement europen et du Conseil du 18 dcembre 2000 relatif la protection des personnes physiques lgard du traitement des donnes caractre personnel par les institutions et organes communautaires et la libre circulation des donnes directive 2002/58/CE du Parlement europen et du Conseil du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques
  • 20. SOURCES INTERNATIONALES
  • 21. SOURCES INTERNATIONALES - convention europenne de sauvegarde des droits de lhomme et des liberts fondamentales du 4 octobre 1950 article 8 - dclaration universelle des droits de lhomme du 10 dcembre 1948 article 12 - pacte international relatif aux droits civiques et politiques du 16 dcembre 1966 article 17 - convention n108 pour la protection des personnes lgard du traitement automatis des donnes caractre personnel (Strasbourg 28 janvier 1981 et son protocole additionnel du 8 novembre 2001)
  • 22. NOTION DE DONNES CARACTRE PERSONNEL
  • 23. Constitue une donne caractre personnel toute information relative une personne physique qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres.
  • 24. Constitue une donne caractre personnel toute information relative une personne physique qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne (article 2 alina 2 de la Loi de 1978).
  • 25. Les lments qui sont propres la personne peuvent notamment tre relatifs : - son identit physique - son identit physiologique - son identit psychique - son identit conomique - son identit culturelle - son identit sociale
  • 26. EXEMPLES * les noms des dbiteurs prsums et des renseignements sur leur solvabilit * numro de tlphone * adresse lectronique * adresse IP * liste nominative comportant le nom, limplantation gographique et lexistence dun dossier au sein de lassociation
  • 27. QUE DOIT-ON ENTENDRE PAR TRAITEMENT DE DONNES ?
  • 28. Constitue un traitement de donnes caractre personnel toute opration ou tout ensemble dopration portant sur de telles donnes, quelque soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion ainsi que le verrouillage, leffacement ou la destruction. (article 2 alina 1 Loi du 6 janvier 1978) Ce texte ne comporte quune liste non limitative.
  • 29. LES PERSONNES IMPLIQUEES
  • 30. PERSONNES CONCERNEES La personne concerne par un traitement de donnes caractre personnel est celle laquelle se rapportent les donnes qui font lobjet du traitement.
  • 31. RESPONSABLE DU TRAITEMENT Sauf dsignation expresse par des dispositions lgislatives ou rglementaires relatives ce traitement le responsable du traitement est : la personne, lautorit publique, le service ou lorganisme qui dtermine ses finalits et ses moyens
  • 32. LA CNIL La CNIL est une autorit administrative franaise indpendante mais galement une autorit de contrle indpendante au sens de la directive 95/46/CE.
  • 33. LA CNIL Elle est compose de 17 membres : - deux dputs - deux snateurs - deux membres du Conseil conomique et social - deux membres ou anciens membres du Conseil dEtat - deux membres ou anciens membres de la Cour de Cassation - deux membres ou anciens membres de la Cour des Comptes - trois personnes qualifies pour leur connaissance de linformatique ou des questions touchant aux liberts individuelles, nommes par dcret - deux autres personnes qualifies pour leur connaissance de linformatique, dsignes respectivement par le Prsident de lAssemble Nationale et le Snat, Voie consultative aux dfenseurs des droits ou de son reprsentant.
  • 34. LA CNIL La CNIL est charge de veiller au respect des dispositions de la Loi, notamment en informant toutes personnes concernes de leurs droits et obligations, en se concertant avec elles et en contrlant les applications de linformatique au traitement des informations nominatives. Elle veille ce que le traitement des donnes caractre personnel soit mis en uvre conformment aux dispositions de la Loi. Elle publie des rapports. Elle peut labliser des procdures daudit ou de formation informatique et libert. Elle est enfin le gendarme de la Loi en ce quelle reoit les rclamations, ptitions et plaintes relatives la mise en uvre des traitements de donnes caractre personnel et informe leurs auteurs des suites donnes celles-ci.
  • 35. LE TRAITEMENT ET LA COLLECTE DES DONNEES A CARACTERE PERSONNEL
  • 36. Le traitement des donnes caractre personnel doit tre : - loyal - licite
  • 37. Le traitement des donnes caractre personnel doit tre : - loyal - licite Il doit en particulier porter sur des donnes adquates, pertinentes et non excessives au regard des finalits poursuivies.
  • 38. Le traitement des donnes caractre personnel doit tre : - loyal - licite Il doit en particulier porter sur des donnes adquates, pertinentes et non excessives au regard des finalits poursuivies. Ces finalits doivent tre explicites et lgitimes et doivent tre dtermines lors de la collecte des donnes.
  • 39. Le traitement des donnes caractre personnel doit tre : - loyal - licite Il doit en particulier porter sur des donnes adquates, pertinentes et non excessives au regard des finalits poursuivies. Ces finalits doivent tre explicites et lgitimes et doivent tre dtermines lors de la collecte des donnes. Les finalits de traitement ultrieurs la collecte ne peuvent pas tre incompatibles avec la finalit telle que spcifie lorigine.
  • 40. Le traitement des donnes caractre personnel doit tre : - loyal - licite Il doit en particulier porter sur des donnes adquates, pertinentes et non excessives au regard des finalits poursuivies. Ces finalits doivent tre explicites et lgitimes et doivent tre dtermines lors de la collecte des donnes. Les finalits de traitement ultrieurs la collecte ne peuvent pas tre incompatibles avec la finalit telle que spcifie lorigine. Une collecte de donnes ne peut tre ralise sans que la personne concerne en soit informe ou quelle ait donn son avis.
  • 41. EXEMPLES DE COLLECTE DELOYALE Lexemple classique de collecte dloyale : aspiration dadresses lectroniques sur Internet dans le but denvoyer des mailings. Sur le caractre adquat, pertinent et non excessif, il a t jug que les donnes remises par les tablissements bancaires adhrant une centrale de crdit et recueillies auprs de leurs clients loccasion dune demande de prt ou douverture de crdit, ds lors quelles peuvent utilises dautres fins que celles pour lesquelles la demande dautorisation a t prsente, et notamment des fins commerciales, ne sont ni adquates, ni pertinentes et ont un caractre excessif par rapport au but en vue duquel la collecte des donnes est envisage.
  • 42. COLLECTE INTERDITE OU REGLEMENTEE Certaines donnes sont interdites de collecte, savoir les donnes caractre personnel qui font apparatre, directement ou indirectement : - les origines raciales ou ethniques - les opinions politiques - les opinions philosophiques ou religieuses - lappartenance syndicale des personnes - les donnes qui sont relatives la sant - les donnes qui sont relatives la vie sexuelle de la personne Il existe cependant quelques exceptions ce principe.
  • 43. COLLECTE INTERDITE OU REGLEMENTEE Il est galement interdit au terme de larticle 311-12 du Code de la consommation de constituer un fichier relatif lexercice par lemprunteur de son droit de rtractation dans le cadre de crdit la consommation.
  • 44. FORMALITES PREALABLES
  • 45. DEUX TYPES DE REGIMES - rgime de la dclaration pralable - rgime de lautorisation
  • 46. DECLARTION ET AUTORISATION Toute personne qui envisage un traitement de donnes caractre personnel doit adresser la CNIL une dclaration ou une demande dautorisation en fournissant les lments suivants :
  • 47. DECLARTION ET AUTORISATION Toute personne qui envisage un traitement de donnes caractre personnel doit adresser la CNIL une dclaration ou une demande dautorisation en fournissant les lments suivants : . lidentit et ladresse du responsable du traitement . la ou les finalits du traitement . le cas chant, les interconnexions, les rapprochements ou toute forme de mise en relation avec dautres traitements . les donnes caractre personnel traites, leur origine et les catgories de personnes concernes par le traitement . la dure de conservation des informations traites . le ou les services chargs de mettre en uvre le traitement . les destinataires ou catgories de destinataires habilits recevoir communication des donnes . la fonction de la personne ou le service auprs duquel sexerce le droit daccs . les dispositions prises pour assurer la scurit des traitements et des donnes . le cas chant, les transferts de donnes caractre personnel envisags
  • 48. ATTENTION A dfaut de faire une dclaration auprs de la CNIL, un fichier informatique contenant des donnes caractre personnel est assimil un objet illicite hors commerce, insusceptible dtre vendu, (Cour de Cassation 25 juin 2013)
  • 49. DECLARATION SIMPLIFIEE Le site de la CNIL propose une dclaration simplifie.
  • 50. DECLARATION SIMPLIFIEE Le site de la CNIL propose une dclaration simplifie.
  • 51. AUTORISATIONS Toutefois, dans certains cas, une autorisation doit tre obtenue avant tout traitement. Il sagit tout dabord des traitements de donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance un syndicat de personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci et qui sont appeles faire lobjet, bref dlai, dun procd danonymisation pralablement reconnu conforme la Loi. Il sagit aussi du traitement automatis portant sur des donnes gntiques. Il existe encore une autorisation pour le traitement automatis ou non portant sur des donnes relatives aux infractions, condamnations ou mesures de sret.
  • 52. LE DROIT DES PERSONNES CONCERNEES
  • 53. Ne pas oublier que la Loi de 1978 et toutes les rglementations subsquentes ont eu pour but de protger les personnes concernes par le traitement des donnes caractre personnel.
  • 54. Ne pas oublier que la Loi de 1978 et toutes les rglementations subsquentes ont eu pour but de protger les personnes concernes par le traitement des donnes caractre personnel. La Loi de 1978 confre sept prrogatives ou droits en faveur des personnes concernes : . le droit linformation pralable . le droit daccs direct et indirect . le droit de curiosit . le droit de communication . le droit de rectification . le droit dopposition . le droit loubli
  • 55. LE DROIT LINFORMATION PRALABLE Larticle 32, I de la Loi du 6 janvier 1978 dispose : La personne auprs de laquelle sont recueillies les donnes caractre personnel la concernant est informe, sauf si elle la t au pralable, par le responsable du traitement ou son reprsentant : 1 De l'identit du responsable du traitement et, le cas chant, de celle de son reprsentant ; 2 De la finalit poursuivie par le traitement auquel les donnes sont destines ; 3 Du caractre obligatoire ou facultatif des rponses ; 4 Des consquences ventuelles, son gard, d'un dfaut de rponse ; 5 Des destinataires ou catgories de destinataires des donnes ; 6 Des droits qu'elle tient des dispositions de la section 2 du prsent chapitre ; 7 Le cas chant, des transferts de donnes caractre personnel envisags destination d'un Etat non membre de la Communaut europenne.
  • 56. LE DROIT DACCES ET DE CURIOSITE Toute personne justifiant de son identit bnfice du droit dinterroger les services ou organismes chargs de mettre en uvre les traitements automatiss. Le titulaire du droit daccs peut obtenir communication, sous une forme accessible, des donnes caractre personnel qui le concernent.
  • 57. LE DROIT DOPPOSITION Toute personne physique a le droit de sopposer, pour des raisons lgitimes, ce que les donnes caractre personnel la concernant fassent lobjet dun traitement. Le droit dopposition sapplique toutes les donnes caractre personnel, quelque soit le mode de collecte, denregistrement ou de conservation, fichier manuel ou traitement automatis. Cependant, ce droit connat deux limites : * tout dabord son exercice est subordonn lexistence de raisons lgitimes qui pourront tre contrles par les Tribunaux (vie prive) * ensuite, le droit dopposition ne sapplique pas lorsque le traitement rpond une obligation lgale
  • 58. LE DROIT A LOUBLI Larticle 28 de la Loi du 6 janvier 1978 disposait dj que sauf dispositions lgislatives contraires, linformation ne doit pas tre conserve sous une forme nominative au-del de la dure prvue la demande davis ou la dclaration, moins que leur conservation ne soit autorise par la Commission. Au cours des rformes successives, larticle 6 5 de la Loi du 6 janvier 1978 nonce dsormais que les donnes sont conserves sous une forme permettant lidentification des personnes concernes pendant une dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites.
  • 59. MAIL, VIE PRIVEE ET SALARI LA PROBLEMATIQUE DES MAILS DE SALARIES
  • 60. LE PRINCIPE DE LA VIE PRIVEE DU SALARI ARRET NIKON (2 octobre 2001) Laffirmation du droit au respect de la vie prive du salari
  • 61. OUVERTURE DES FICHIERS ET MAILS SOC. 17 mai 2005 (fichiers) sauf risque ou vnement particulier, lemployeur ne peut ouvrir les fichiers identifis par le salari comme personnels contenus sur le disque dur de lordinateur mis sa disposition quen prsence de ce dernier ou celui-ci dment appel.
  • 62. OUVERTURE DES FICHIERS ET MAILS SOC. 17 mai 2005 (fichiers) sauf risque ou vnement particulier, lemployeur ne peut ouvrir les fichiers identifis par le salari comme personnels contenus sur le disque dur de lordinateur mis sa disposition quen prsence de ce dernier ou celui-ci dment appel. SOC 17 juin 2009 (messages) Mais attendu dune part quaux termes de larticle L. 2313-2 du code du travail, si un dlgu du personnel constate quil existe une atteinte aux droits des personnes, leur sant physique ou mentale ou aux liberts individuelles dans lentreprise qui ne serait pas justifie par la nature de la tche accomplir ni proportionne au but recherch, il en saisit immdiatement lemployeur et, en cas de carence de celui-ci ou de divergence sur la ralit de cette atteinte et, dfaut de solution trouve avec lui, il saisit le bureau de jugement du Conseil de prud'hommes qui peut ordonner toutes mesures propres faire cesser cette atteinte ; que, dautre part, sauf risque ou vnement particulier, lemployeur ne peut ouvrir les messages identifis par le salari comme personnels contenus sur le disque dur de lordinateur mis sa disposition quen prsence de ce dernier ou celui-ci dment appel
  • 63. PRSOMPTION DE PROFESSIONNALIT DES FICHIERS NON IDENTIFIS SOC 18 octobre 2006 Mais attendu que les dossiers et fichiers crs par un salari grce loutil informatique mis sa disposition par son employeur pour lexcution de son travail sont prsums, sauf si le salari les identifie comme tant personnels, avoir un caractre professionnel de sorte que lemployeur peut y avoir accs hors sa prsence.
  • 64. QUID DU FICHIER MES DOCUMENTS SOC 12 mai 2012 La seule dnomination Mes documents donne un fichier ne lui confre pas un caractre personnel
  • 65. UTILISATIONS DES MAILS Il est une chose douvrir des mails non mentionns personnels . il en est une autre de les utiliser.
  • 66. MAILS PERSO A DES FINS PROBATOIRES SOC 18 OCTOBRE 2011 Aprs avoir rappel que le principe selon lequel le salari a droit, mme au temps et au lieu de travail, au respect de lintimit de sa vie prive , la Cour indique en effet que si lemployeur peut toujours consulter les fichiers qui nont pas t identifis comme personnels par le salari, il ne peut les utiliser son encontre dans une procdure judiciaire sils savrent relever de sa vie prive. Si la consultation dun fichier non titr du salari est licite compte tenu de sa prsomption de professionnalit, son usage est illicite lorsque son contenu est personnel.
  • 67. MAILS PERSO A DES FINS SANCTIONNATRICES SOC 5 juillet 2011 Si lemployeur peut toujours consulter les fichiers qui nont pas t identifis comme personnels par le salari, il ne peut les utiliser pour le sanctionner sils savrent relever de sa vie prive. (solution conforme Ch. Mixte 18 mai 2007 : dans lequel il tait reproch un salari de stre fait adress, sur son lieu de travail, sous enveloppe comportant pour seules indications son nom, sa fonction et ladresse de lentreprise, une revue licencieuse laquelle il tait abonn, revue de couple changiste qui aurait choqu des salaris !!!)
  • 68. EN REVANCHE TOUJOURS POSSIBLE DE SEN SERVIR POUR DEMONTRER LUSAGE ABUSIF FAIT PAR LE SALARIE (DUREE)
  • 69. En dehors de la qualification par le salari . . Comment dterminer le caractre personnel ou professionnel dun mail ?
  • 70. SOC 28 septembre 2011 Le message envoy par le salari aux temps et lieu du travail, qui tait en rapport avec son activit professionnelle, ne revtait pas un caractre priv et pouvait tre retenu au soutien dune procdure disciplinaire son encontre. 2 critres : - Temps et lieu de travail - Rapport avec lactivit professionnelle
  • 71. MERCI