Données perso

download Données perso

If you can't read please download the document

  • date post

    20-Jun-2015
  • Category

    Documents

  • view

    166
  • download

    2

Embed Size (px)

description

Le traitement des données personnelles - Intervention du cabinet PYXIS AVOCATS

Transcript of Données perso

  • 1. Le traitement des donnes personnelles La CNIL Le CIL Salon du numrique en Vaucluse 7 mars 2013 Lionel FOUQUET avocat

2. Plan Introduction I- La lgislation A- Les textes protecteurs de la vie prive B- La rglementation spcifique : la loi informatique et liberts du 6 aout 2004 II- Mise en uvre A- Obligations de lexploitant B- La CNIL C- Le correspondant informatique et liberts (CIL) 3. I- La lgislation A- Les textes protecteurs de la vie prive - Atteinte la vie prive : - 226-1, le fait de porter volontairement atteinte, la vie prive d'autrui, en captant, enregistrant, ou transmettant, sans le consentement de leur auteur, des paroles prononces titre priv ou confidentiel ou en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu priv . - Article 9 du code civil - Secret professionnel - 226-13 du Code pnal prvoit que la rvlation d'une information caractre secret par une personne qui en est dpositaire soit par tat soit par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende . 4. - Secret mdical - C. pn., art. 226-14 - Secret des correspondances - 226-15 : Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de dtourner des correspondances arrives ou non destination et adresses des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. - Vidosurveillance et vidoprotection - Lieux privs : L.6 janvier 1978 - Lieux publics : L. 21 janvier 1995, 23.01.06, 14.03.2011 5. B- La rglementation spcifique : la loi informatique et liberts du 6 aout 2004 1- Les apports : - renforcement des droits fondamentaux des personnes ds lors que les donnes, de quelque nature qu'elles soient font l'objet d'un traitement, automatis ou non, qui s'accompagne d'un renforcement des obligations pesant sur les responsables de ces traitements. - largissement important des pouvoirs de la CNIL qui peut contrler sur pices ou sur place la mise en uvre des traitements, prononcer des sanctions notamment d'ordre pcuniaire, interrompre et faire cesser un traitement. - rationalisation des formalits pralables exiges pour la cration d'un traitement de donnes caractre personnel - cration du correspondant la protection des donnes. : le CIL 6. 2- Champs dapplication : donnes, informations, traitements soumis la loi - Dfinition des donnes art 2 = toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres : - Nom, prnom, ge, sexe, date et lieu de naissance - Le nom seul nest pas une donne perso : pour qu'il en soit ainsi, il aurait fallu que soit dmontr le fait qu'une identification reste possible par le recoupement des fichiers noms et prnom (TGI Paris, rf., 22 sept. 2008, M.Kalid O. c/St Notrefamille.com, RLDI 2008/42, no 1388). - Email, photo, vido, voix - Rgime mat, comportements de consommation, loisirs, diplmes - Origines ethniques, raciales, sant, opinions politiques, religion - La jurisprudence nest pas fixe concernant les adresses IP 7. - Les donnes sensibles Les nouvelles dispositions de l'article 8 de la loi Informatique et liberts incluent galement dans la notion de donnes caractre personnel des informations plus spcifiques, comme celles faisant apparatre directement ou indirectement : - les origines raciales ; - les opinions politiques, philosophiques ou religieuses ; - les appartenances syndicales des personnes ; ou - la sant ou la vie sexuelle (L. no 78-17, 6 janv. 1978, modifie, art. 8). Ces donnes sont alors dites sensibles , du fait de leur caractre minemment intime. Pour cette mme raison, il a t prvu que leur traitement est en principe interdit, sauf dans la mesure o la finalit du traitement l'exige . 8. - Le traitement de donnes toute opration ou tout ensemble d'oprations portant sur de telles donnes, quel que soit le procd utilis : extraction, modification, conservation, transfert, change de donnes 9. II- Mise ne uvre A- Obligations de lexploitant Obligation de mettre en uvre un traitement de manire loyale et licite - Article 6, 1 = principe de transparence - Obligation d'informer les personnes dont les donnes sont traites sur : - la finalit du traitement des donnes ; - les personnes physiques ou morales destinataires des donnes ; - l'existence du droit d'accs et de rectification dont les personnes concernes par le traitement disposent. - Exceptions : - le respect d'une obligation lgale incombant au responsable du traitement, l'instar des traitements relatifs l'tablissement des fiches de paie mis en uvre par les employeurs ; - la sauvegarde de la vie de la personne concerne ; - l'excution d'une mission de service public dont est investi le responsable ou le destinataire du traitement 10. Obligation de dterminer des finalits explicites et lgitimes Chaque traitement est cr initialement pour une certaine finalit, qui conditionne : - les donnes traites, qui doivent tre pertinentes par rapport la finalit choisie ; - la qualit des destinataires, qui doit tre adapte cette finalit ; - la dure de conservation des informations Obligation du caractre proportionn du traitement mis en uvre (article 6, 3) Obligation de restreindre le type de donnes collecter aux catgories ncessaires la mise en uvre du traitement et d'viter la collecte de donnes sans rapport avec les finalits du traitement. 11. Obligation de traiter des donnes exactes et compltes (L. art. 6, 4) - Pb = dure de conservation et droit loubli - Principe : ne doivent pas tre conserves pour une dure suprieure celle ncessaire aux finalits du traitement, moins que leur conservation ne soit autorise par la CNIL - Le fait de conserver des donnes personnelles au-del de la dure prvue est puni de 5 ans d'emprisonnement et de 300 000 euros d'amende (C. pn., art. 226-20), voire 1 500 000 euros si le contrevenant est une personne morale (C. pn., art. 226-24) - Comment faire : se rfrer aux dlibrations de la CNIL, aux pratiques du secteur concern Ex : fichiers clients : 10 ans 12. B- La CNIL - Les traitements doivent faire l'objet des formalits prvues par la loi Informatique et liberts pralablement leur mise en uvre. Le demandeur pourra mettre en uvre le traitement ds qu'il aura reu le rcpiss de la part de la Commission. - Sanction : 150.000 damende + ventuellement sanctions pnales (226-16 CP). 13. Plusieurs rgimes diffrents - Dispense de dclaration : traitement non automatiss (manuscrits..., sauf exceptions : traitement des infractions ) ; traitement long terme darchives, traitement mis uvre par une asso, caractre religieux, politique ou syndical, sites internet perso - Dclaration simplifie : donnes perso ne comportant pas datteintes la vie prive : fichiers clients, gestion des membres dun asso, gestion de biens immo - Dclaration normale : traitement automatiss de donnes caractre perso - Demande dautorisation : situations considres comme attentatoires la vie prive et aux liberts fondamentales (origines raciales, ethniques, religieuses, donnes relatives la sant, donnes gntiques - Demande davis : sret, la dfense ou la scurit publique, donnes biomtriques - Cas spcifiques : professionnels de sant 14. C- Le CIL - dcret n2005-1309 du 20 octobre 2005 (art. 42 56). 1- Rle du CIL - dispense des obligations dclaratives auprs de la CNIL : dclarations normales ou simplifies prvues aux articles 23 et 24 de la loi - Mais sa prsence ne dispense pas lorganisation des procdures de demandes dautorisation (art. 22-III) - Il tient registre et met jour la liste des traitements effectus dans lentreprise et la met disposition de toute personne (dcret, art. 47 & 48) - Il est galement charg de veiller lapplication de la loi par voie de conseil, mdiation en interne et alerte, au besoin auprs de la CNIL (dcret, art. 49, al.1er 5, art. 51). 15. 2- Dsignation du CIL - Nomm par le responsable du traitement de fichier (grant) - Dsignation est porte tout dabord la connaissance des instances reprsentatives du personnel, notifie la CNIL (tl-dclaration sur le site de la CNIL). La dsignation du CIL prend effet un mois aprs la date de la notification la CNIL (dcret, art. 43). - Le CIL doit bnficier des qualifications requises pour exercer ses missions . Comptences juridiques et informatiques. Rien dautre nest spcifi dans la loi ni dans le dcret. - Possibilit de recourir un CIL externe pour les entreprises de -50 salaris. CIL interne si + 50 salaris - Le responsable des traitements ou son reprsentant lgal ne peut tre CIL 16. 3- Statut protecteur du CIL - Statut proche du reprsentant du personnel : ne peut faire lobjet daucune sanction de la part de lemployeur du fait de laccomplissement de ses missions . De mme, Il peut saisir la Commission nationale de linformatique et des liberts des difficults quil rencontre dans lexercice de ses missions . - Le CIL exerce sa mission directement auprs (et non sous les ordres) du responsable des traitements (dcret, art. 46, al.1er). Il ne reoit aucune instruction pour l'exercice de sa mission (idem, al.2), ce qui renforce encore son indpendance. - Ne peut exercer dautres fonctions qui entreraient en conflit dintrts avec sa mission (directeur informatique) 17. 4- Missions du CIL - Dresse un inventaire de tous les traitements de donnes caractre personnel existants : liste actualise en cas de modification substantielle des traitements en cause et tenue la disposition de toutes personne qui en fait la demande. - Rend compte de son action au responsable des traitements par un bilan annuel tenu disposition de la CNIL 5- Manquements la CNIL peut demander au responsable des traitements de le relever de ses fonctions, ou le responsable du traitement avec accord de la CNIL 18. Lionel FOUQUET contac