Protection des données personnelles en Russie

9 octobre 2012

La protection des données

personnelles en Russie

Anastasiya Lemysh

Avocat à la Cour

CMS, Russie

Comité PME-PMI (Carrefour des compétences) | 9 octobre 2012

Les sujets clés

1. Les fondements juridiques du traitement des données personnelles

2. La notion de « données personnelles »

3. Les données personnelles sensibles

4. Les formes, les principes et la durée du traitement des données

personnelles

5. Le transfert transfrontière des données personnelles

6. Le consentement pour le traitement des données personnelles

7. Les obligations à accomplir dans le domaine du traitement des données

personnelles

8. La notification sur le traitement des données personnelles

9. La pratique de Roscomnadzor. Sanctions

2


Les fondements juridiques du traitement des

données personnelles 1/2 – au plan international

• Lignes directrices de l'OCDE sur la protection de la vie privée et les

flux transfrontières de données de caractère personnel (1980)

• Convention pour la protection des personnes à l'égard du traitement

automatisé des données à caractère personnel (1981)

• Directive 95/46/CE du Parlement européen et du Conseil du 24

octobre 1995 relative à la protection des personnes physiques à

l'égard du traitement des données à caractère personnel et à la libre

circulation de ces données

• Directive 2002/58/CE du Parlement européen et du Conseil du 12

juillet 2002 concernant le traitement des données à caractère

personnel et la protection de la vie privée dans le secteur des

communications électroniques (Directive vie privée et

communications électroniques)


Les fondements juridiques du traitement des

données personnelles 2/2 – législation russe

• Constitution de la Fédération de Russie

• La loi fédérale du 27.07.2006 No.152-FZ «Sur les données

personnelles» (rédaction du 25.07.2011)

• Le code du travail de la Fédération de Russie du 30.12.2001

• Le code de la Fédération de Russie des infractions administratives

du 30.12.2001

• La loi fédérale du 27.07.2006 No 149 – FZ «Sur l’information, les

technologies informatiques et la protection de l’information»

• Les décrets du Gouvernement de la Fédération de Russie

• Les ordres de Minsvyaz, Roscomnadzor et FSTEC


La notion de « données personnelles »

Les données personnelles (DPs) – toute information qui concerne

directement ou indirectement une personne physique identifiée ou

identifiable («personne concernée») (art. 3 de la Loi sur les DPs)

Personne physique

identifiée ou identifiable

Toute

information

concernant

Peut être identifiée par des moyens

raisonnablement accessibles

Texte, information graphique,

biométrique, photographique,

acoustique, digitale …


Les données personnelles sensibles

Les données sensibles

Opinions

politiques

Santé

Vie sexuelle

Origine raciale et

ethnique

Convictions

religieuses

ou philosophiques

Le traitement de ces données n’est autorisé que dans les cas

expressément prévus par la loi


Les formes, les principes et la durée de traitement

des données personnelles 1/4

Traitement

des DPs

Toute opération ou

ensemble d’opérations

Effectuée à l'aide de

procédés automatisés

Effectuée sans

procédés automatisés


Les formes, les principes et la durée du traitement


Traitement

des DPs

précision

blocage

élimination

destruction

transfert

extraction

stockage accumulation

utilisation

collecte enregistrement systéma- tisation

déperson

nalisation

mise à jour modification distribution mise à

disposition accès




1. Le traitement des DPs doit être effectué conformément aux

principes légaux et d’équité

2. La forme et les moyens de traitement des DPs doivent

correspondre aux buts pour lesquels ce traitement est réalisé

3. Seules les DPs qui correspondent aux finalités recherchées

peuvent être traitées

4. La mise à jour et l’exactitude des DPs doivent être assurées dans

le cadre du traitement des DPs

5. La durée de traitement des DPs doit correspondre aux buts pour

lesquels ce traitement est réalisé




Finalité du

traitement des DPs

Contrat Loi

Durée de

traitement des DPs


Le transfert transfrontière des DPs 1/3

pays étranger

11

Le transfert

transfrontière

des DPs

personne

morale étrangère personne

physique étrangère

organe étatique

d’un pays étranger


Le transfert transfrontière des DPs 2/3: les pays

qui assurent la protection suffisante des DPs

12

Les pays

reconnus ‘adéquats’

Les signataires de la

Convention de Strasbourg 1981

(44 pays)

Les pays inclus dans la liste

approuvée par Roscomnadzor

(liste approuvée

le 02.10.2012 )


Le transfert transfrontière des DPs 3/3

La forme de consentement à obtenir d’une personne physique dépend

du pays où les DPs sont transférées

Pays Forme de

consentement

Signataire de la Convention de Strasbourg de 1981

(Convention du Conseil de l’Europe)

Simple

Non signataire de la Convention de Strasbourg mais

qui assure une protection suffisante des DPs et est

inclus dans la liste approuvée par Roscomnadzor des

pays reconnus comme ‘adéquat’

Simple

Autre pays Forme écrite, certifiée par

la signature authentique ou

électronique

13


Consentement pour le traitement des données personnelles 1/5

Traitement des DPs

Sans consentement de

la personne concernée

Avec consentement de

la personne concernée

Seulement dans les

cas prévus par la loi

Forme du consentement

Toute forme, permettant

de confirmer l’obtention

du consentement

forme écrite

(DPs sensibles,

DPs biométriques,

flux transfrontières des DPs

dans les états non fiables)

14


Consentement pour le traitement des données

personnelles 2/5

Le consentement de la personne concernée n’est pas obligatoire:

Dans le cadre d’une action en justice;

Lors de la conclusion et/ou de l’exécution d’un contrat dont la personne

concernée est partie, bénéficiaire, garant;

En matière de protection de la vie, de la santé ou d’autres intérêts d’une

importance vitale, s’il n’est pas possible d’obtenir le consentement de la

personne concernée;

Dans le cadre d’études statistiques ou autres (sous condition de

dépersonnalisation obligatoire des DPs);

Dans l’hypothèse ou l’accès aux DPs est accordé pas la personne

concernée (traitement des DPs publiques);

Dans les autres cas, expressément prévus pas la Loi sur les données

personnelles.

15



personnelles 3/5 : forme écrite (qualifiée)

1. Nom, prénom, adresse de la personne concernée (ou de son

représentant) ainsi que les détails de son passeport;

2. Nom et adresse de la personne responsable du traitement des DPs;

3. Nom et adresse de la personne traitant les DPs à la demande du

responsable;

4. Les finalités du traitement des DPs;

5. La liste des DPs qui seront traitées;

6. Les formes de traitement des DPs et les méthodes de traitement;

7. La durée pour laquelle le consentement est octroyé et la procédure de

retrait de ce consentement;

8. La signature de la personne concernée (authentique ou électronique).

16



personnelles 4/5: consentement à distance (Internet)

Les exemples d’usage:

o «coche» sous le texte du consentement pour le traitement des DPs

o bouton «lu et approuvé» sous le texte du consentement etc.

Les cas d’usage:

o obtention d’un consentement ‘simple’ (dans l’hypothèse où il n’est pas

nécessaire d’obtenir un consentement écrit ‘qualifié’)

Les conditions d’usage:

Les caractéristiques techniques du site Internet utilisé pour obtenir le

consentement permettent d’identifier la personne concernée (enregistrement sur

le site, envoie d’un e-mail de confirmation etc.).

Les technologies utilisées (serveur) permettent de fixer et de confirmer que le

consentement a été octroyé (liaison sur IP-adresse, logging dans l’espace

personnelle etc.).

17



personnelles 5/5: consentement à distance (téléphone)

Les examples d’usage:

o le consentement orale pour le traitement des DPs, octroyé dans le cadre

d’une conversation avec un opérateur de call-center

o un avertissement d’un operateur sur un éventuel enregistrement de la

conversation téléphonique

Les cas d’usage :

o obtention d’un consentement ‘simple’

Les conditions d’usage:

La connexion téléphonique et la conversation permet identifier la personne

concernée

Les technologies utilisées permettent fixer et confirmer le fait que le

consentement a été octroyé (e.g. l’enregistrement de la conversation).

18


Les obligations à accomplir dans le domaine du

traitement des DPs

Nomination au sein de la société d’une personne responsable de

l’organisation du traitement des DPs;

Développement d’une politique et des actes normatifs locaux sur le

traitement et la protection des DPs;

Mise en œuvre des mesures juridiques, organisationnelles et techniques

pour la protection des DPs;

Contrôles internes et (ou) audits externes du traitement des DPs;

Evaluation des dommages susceptibles d’être apportés aux personnes

concernées en cas de violation des règles de traitement des DPs;

Information des employés;

Autres obligations.

19


Notification sur le traitement des DPs

Forme de notification

20

Sous forme papier

Sous forme électronique

Roscomnadzor

Introduction dans le registre des informations:

1) mentionnées dans la notification

2) sur la date de la notification

30 jours

255 426

sociétés de

traitement

enregistrées

Date ultime de

dépôt de la

notification

01.01.2013


La pratique de Roscomnadzor 1/3 : fondements

juridiques des contrôles

21

CONTROLES

Hors plan Réguliers

Responsables du

traitement des DPs ,

enregistrés

Responsables du

traitement des DPs ,

non inclus dans le registre

• expiration du terme d’exécution d’une prescription,

• plaintes des personnes concernées,

• ordre du responsable de Roscomnadzor,

• violation des droits et intérêts des citoyens par

le responsable du traitement des DPs

Le plan annuel


La pratique de Roscomnadzor 2/3 : les contrôles

Sont vérifiés dans le cadre d’un contrôle:

1. La notification sur le traitement des DPs;

2. Les documents liés à des infractions ayant fait l’objet de plaintes par

personnes concernées;

3. Les documents qui prouvent que les infractions on été éliminées;

4. Les consentements écrits des personnes concernées;

5. Les documents prouvant la conformité aux normes établies par la loi du

traitement des DPs sensibles;

6. Les documents prouvant la destruction des DPs dès que les finalités pour

lesquelles elles ont été traitées sont atteintes;

7. Les règlements locaux établissant la procédure de traitement des DPS.

22


La pratique de Roscomnadzor 3/3: les chiffres

23

Les sanctions: 762 prescriptions ont été émises;

2897 protocoles sur les infractions ont été dressés;

2392 décisions rendues par les tribunaux (dont 2376 maintenues en vigueur)

Au titre de ces infractions: des amendes d’un montant 4,3 mln RUB ont été infligées sur

lesquelles 1,9 mln. RUB a déjà été perçu

L’activité de contrôle de Roscomnadzor

746 contrôles (dont 446

contrôles planifiés et 300

contrôles hors plan) ont été

effectués durant les 6 premiers

mois de 2012.

721 infractions dans le domaine

du traitement des DPs

identifiées.


Sanctions 1/3: la législation actuelle

Code des infractions administratives (CoAP):

• Article 13.11 – Violation de la procédure prévue par la loi pour la collecte,

stockage, usage ou distribution des informations sur les citoyens (les

données personnelles)

Sanction:

avertissement

amende:

personnes physiques: de 300 à 500 RUB;

responsables au sein d’une personne morale: de 500 à 1000 RUB;

personne morales: de 5 000 à 10 000 RUB.

NB: Le paiement d’une amende ne dispense de l’obligation d’éliminer les

infractions commises en conformité des prescriptions de Roscomnadzor

24


Sanctions 2/3: le projet de modifications du CoAP

La classification des infractions et des sanctions proposées:

non-exécution des obligations sur la protection des données personnelles: pour

les personnes morales - amende de 20 000 à 30 000 RUB;

traitement des données personnelles sans le consentement de la personne

concernée: pour les personnes physiques – amende de 30 000 à 50 000 RUB,

et dans certains cas une amende équivalente à 1,5-2% des revenus, avec un

minimum de 400 000 à 700 000 RUB (en fonction des circonstances de

l’infraction),

traitement illégal des donnés personnelles sensibles: pour les personnes

morales - amende équivalente à 1,5-2% des revenus, avec un minimum de

400 000 à 700 000 RUB (en fonction des circonstances de l’infraction),

violation des conditions pour le transfert transfrontière des données

personnelles: pour les personnes morales - amende de 20 000 à 30 000 RUB,

et dans certains cas, une amende équivalente à 1,5-2 des revenus, avec un

minimum de 500 000 à 700 000 RUB (en fonction des circonstances de

l’infraction).

25


Sanctions 3/3: les défauts du projet de CoAP

o Les sanctions prévues pour la commission de l’infraction et non

pour le dommage subit (à la différence de la législation

européenne);

o Aucun moyen de procédure pour le règlement des différends

directement entre la personne en charge du traitement des DPs et

la personne concernée (y compris la réparation des dommages);

o Disproportion entre les consequences de l’infraction et l’importance

de la sanction;

o Description insuffisante des caractéristiques des infractions.

26


A faire dans un premier temps

développer la politique de traitement des DPs et la mettre en ligne;

développer la documentation interne sur le traitement des DPs;

nommer une personne responsable pour le traitement des DPs;

déterminer la liste des personnes ayant accès aux DPs;

notifier Roscomnadzor (avant le 01.01.2013);

introduire des dispositions sur le traitement des DPs dans les contrats

avec les partenaires;

formaliser les relations avec les sous-traitants dans le domaine du

traitement des DPs. 27


Merci pour votre attention!

28

Anastasiya Lemysh

Avocat à la Cour

CMS, Russie

T: +7 495 786 3076 E: [email protected]

CMS, Russie

11, bvd. Gogolevsky 119019 Moscou

Т +7 495 786 4000 F +7 495 786 4001 www.cmslegal.ru

Protection des données personnelles en Russie

Business

Transcript of Protection des données personnelles en Russie