Table des matières. Comment assurer l effectivité de la protection des droits à l ère post- snowden? Édouard Geffray

Transcription

1 Table des matières Remerciements... 5 Préface Foreword 2: Shedding light on the data protection reform... 9 Préface Préface Préface PROPOS INTRODUCTIFS Comment assurer l effectivité de la protection des droits à l ère post- snowden? Édouard Geffray I I Le premier enjeu majeur est celui de la souveraineté du droit européen de la protection des données, c est- à- dire de sa pleine applicabilité lorsque les données d un résident européen sont traitées Le deuxième enjeu réside, à mon sens, dans l intégration croissante et nécessaire de l Europe de la protection des données Dans ce contexte, le troisième et dernier enjeu pour assurer l effectivité de la protection des données personnelles me semble résider dans ses modalités de contrôle a posteriori. Dans les États de droit contemporains, ce contrôle repose sur trois acteurs : le citoyen, les autorités de protection et le juge... 22

2 Enjeux européens et mondiaux de la protection des données personelles DROITS FONDAMENTAUX ET JURISPRUDENCE EUROPÉENNE Chapitre 1 La protection des données à caractère personnel dans le cadre de la jurisprudence de la Cour de justice de l Union européenne relative aux droits fondamentaux Agostino Valerio Placco Introduction I Conditions de légalité des limitations à l exercice de droits fondamentaux A. Quelle grille d analyse? B. Les conditions posées à l article 52, 1 er, première phrase La limitation doit être «prévue par la loi» La limitation doit respecter le contenu essentiel du droit fondamental en cause C. Les conditions posées à l article 52, 1 er, seconde phrase, ou le contrôle de proportionnalité Test d aptitude Test de nécessité Test de proportionnalité au sens strict Apports spécifiques de la jurisprudence relative à la protection des données à caractère personnel A. L exigence d une analyse d impact préalable B. L exigence de garanties suffisantes contre les risques d abus C. La marge d appréciation du législateur de l Union et l intensité du contrôle juridictionnel Conclusions

3 table des matières Chapitre 2 La protection des données dans la jurisprudence de la Cour européenne des droits de l homme Loredana Tassone Chapitre 3 Articles 7 and 8 of the EU Charter: two distinct fundamental rights Christopher Docksey Introduction I Article 7 of the Charter: the right to privacy Article 8 of the Charter: the right to protection of personal data I The overlap between the two rights in the case law The interpretation of Article 8 ECHR to cover the processing of personal data The development of a parallel concept in Germany, the constitutional right to informational self- determination IV The differences between the two rights and the practical consequences The different scope of the rights at issue Supervision by an independent authority Interference and justification V The implications of the status of data protection as primary law under Article 8 of the Charter and Article 16 TFEU Article 8 offers an additional protection to Article The interpretation and application of Article 8 of the Charter The limitation on legislative discretion under Article 16 of the Treaty Conclusions

4 Enjeux européens et mondiaux de la protection des données personelles Chapitre 4 La protection des données personnelles entre droits de l homme et droits fondamentaux François Moyse I La Cour de Strasbourg et l ingérence dans la vie privée I La Cour de Luxembourg et la proportionnalité des limitations aux droits fondamentaux Les données personnelles, entre droits de l homme et droits fondamentaux CHAMP D APPLICATION TERRITORIAL DU RÈGLEMENT ET TRANSFERT DE DONNÉES Chapitre 1 Aperçu de la dimension internationale du Règlement général sur la protection des données à caractère personnel Marc Gallardo Meseguer Introduction I Une réforme en cours Un champ d application territorial «renouvelé» I Des mécanismes «évolués» pour le transfert des données A B C IV Safe Harbor une sphère de (d ) «(in)sécurité»? V Remarques finales

5 table des matières Annexes : aperçu DU CHAMP D APPLICATION TERRITORIAL ET TRANSFERTS DES DONNÉES DANS LA PROPOSITION DE RÈGLEMENT Annexe 1 : CHAMP D APPLICATION TERRITORIAL Annexe 2 : chapitre v TRANSFERT DES DONNÉES (articles 40 à 45) Annexe 3 : SAFE HARBOUR Chapitre 2 Mind the gap: understanding the U.S. perspective on privacy in safe harbor/data transfer negotiations Richard J. Peltz- Steele I Public Sector, Private Sector Property Paradigm, Rights Paradigm I A Slow Evolution of the U.S. Perspective IV Conclusion: Mind the gap Chapitre 3 Application territoriale de la législation européenne en matière de protection des données et transfert de données vers des pays tiers : vaincre la peur de l autre Jean-françois Henrotte et Fanny Coton I Introduction A. Droit applicable au responsable du traitement Historique Directive 95/46/CE a. Texte retenu b. Transposition en droits belge et luxembourgeois c. Comparaison avec la directive 2002/58/CE d. Analyse de l article

6 Enjeux européens et mondiaux de la protection des données personelles 1 4, 1er, a) : responsable de traitement établi dans un état membre i. Établissement sur le territoire d un État membre ii. Dans le cadre des activités Article 4, 1er, b) : application en vertu du droit international public Article 4, 1er, c) : recours à des moyens Projet de règlement B. Droit applicable aux mesures de sécurité en cas de sous- traitance Directive 95/46/CE Projet de règlement C. Compétence des autorités nationales de contrôle Directive 95/46/CE Projet de règlement Les transferts de données à des responsables de traitement ou à des sous- traitants établis en dehors de l Union européenne A. Directive 95/46/CE Vers des pays offrant un niveau de protection adéquat a. Reconnaissance du niveau de protection b. Le cas particulier des USA : le niveau de protection adéquat par le Safe Harbor Vers des pays n offrant pas un niveau de protection adéquat a. Clauses contractuelles b. Règles d entreprise contraignantes (BCR) c. Exceptions B. Le projet de règlement Vers un pays offrant un niveau de protection adéquat Vers des pays n offrant pas un niveau de protection adéquat a. Transferts moyennant des garanties appropriées b. Transferts encadrés par des Règles d entreprise contraignantes c. Clauses contractuelles et autres garanties d. Exceptions I Conclusions

7 table des matières COMMENT LES DROITS DE LA PERSONNE CONCERNÉE SONT-ils RENFORCÉS? Chapitre 1 Comment les droits de la personne concernée sont-ils renforcés? Christiane Féral- schuhl Chapitre 2 How to Handle Data Breaches From an EU Legal and Practical Perspective Elisabeth Thole I Introduction Data protection laws and regulations I Personal data Legitimate purpose Legal ground Information duty IV Data Protection Officer V Data breaches VI Legal framework data breaches V Appropriate technical and organizational security measures VI Notification duties IX Relevance of notification duties X Remedies, actions and sanctions XI Incident Road Map Pre-incident

8 Enjeux européens et mondiaux de la protection des données personelles Incident Post-incident X Cyber Risk Insurance XI Closing remarks Chapitre 3 Droit à l oubli, droit à l effacement ou droit au déréférencement? Quand le législateur et le juge européens dessinent les contours du droit à l oubli numérique Cécile de Terwangne I Droit à l oubli, droit à l effacement, droit au déréférencement, de quoi s agit- il? Contexte du droit à l oubli numérique : les spécificités d Internet A. La nécessité d une décision d effacer et l «eternity effect» ou effet d éternité qui en découle B. Le coût économique de l effacement C. La décontextualisation des informations I L autodétermination informationnelle à la base du droit à l oubli ou à l effacement IV Le droit au déréférencement V VI Le droit à l oubli en cas de traitement de données basé sur le consentement de la personne concernée : le droit à l oubli en tant que droit au repentir et à changer d avis Le droit à l oubli lorsque l information est traitée/diffusée à l initiative d un tiers A. La mise en balance des intérêts La résolution des conflits de droits et intérêts Les critères de la résolution des conflits Exemple des archives de presse sur Internet. Critères pour la mise en balance : actualité, intérêt historique et intérêt public

9 table des matières B. Les éléments du droit à l oubli issus de la législation de protection des données L obligation de supprimer des données à caractère personnel découlant du principe de finalité Le droit à l effacement des données a. L article 12, b), de la directive 95/ b. Les cas élargis de traitement non conforme : non- respect des exigences de qualité des données, non- respect des hypothèses de légitimité des traitements Le droit d opposition au traitement des données V Les effets de l exercice du droit à l oubli A. L effacement, l anonymisation, le verrouillage, ou B. L information en aval des demandes d effacement de données VI Droit à la suppression automatique des données dans l environnement électronique Droit à l oubli par défaut Conclusion Chapitre 4 Le profilage : un défi pour la protection des données à caractère personnel Alain Grosjean Introduction I Les raisons variées du profilage et la révolution du big data A. Profilage imposé par la loi B. Lutte contre la fraude et profilage en matière de sécurité nationale C. La publicité ciblée D. Le big data La tentative de délimitation de la notion de profilage A. La définition du profilage B. Notions d anonymisation ou de pseudonymisation Anonymisation Pseudonymisation

10 Enjeux européens et mondiaux de la protection des données personelles C. Le profilage de la publicité ciblée en ligne concerne- t il des données à caractère personnel? D. L encadrement légal du profilage L État de la législation sur les cookies Les dispositions de la directive 95/46/CE et réforme à venir I Les recommandations A. Les recommandations d ordre technique B. Les recommandations d ordre comportemental Pour les responsables du traitement Le rôle des autorités de régulation Meilleure prise de conscience des utilisateurs Conclusion BANQUE, PAIEMENT EN LIGNE ET PROTECTION DES DONNÉES PERSONNELLES Chapitre 1 Banque, paiement en ligne et protection des données personnelles Myriam Quéméner Chapitre 2 Systèmes de prévention de la fraude et protection des données personnelles Nathalie Métallinos Introduction I L application des principes de protection des données aux traitements de prévention de la fraude et des impayés A. Les différences d approche adoptées par les États membres

11 table des matières B. Les recommandations du Groupe de travail «Article 29» sur les listes noires et leur application aux traitements destinés à la prévention de la fraude Conciliation des règles relatives à la protection des données à caractère personnel et des législations et pratiques destinées à la prévention de la fraude : les perspectives offertes dans la proposition de règlement A. Les cas de présomption de légitimité fondée sur l intérêt légitime B. Le régime applicable aux mesures de profilage Conclusion Chapitre 3 L anonymisation des informations et l authentification biométrique pourraient permettre de lutter efficacement contre les vols de données bancaires Olivier Perrin Introduction I La protection des données bancaires, un enjeu stratégique pour les entreprises à l heure du numérique A B La confiance dans les moyens de paiement et, donc, de leur protection, au cœur du développement de l économie numérique A B I L anonymisation des données et l authentification forte les deux facettes de la protection des données bancaires A B Conclusion

12 Enjeux européens et mondiaux de la protection des données personelles LA PROTECTION DES DONNÉES ET SERVICES FINANCIERS Chapitre 1 Introduction de session Alex Schmitt Chapitre 2 La protection des droits de la personne concernée dans les services financiers Isabelle Chatelier I Le respect des droits des clients personnes physiques et autres personnes physiques en lien avec ces clients (bénéficiaires réels, membres de la famille des personnes politiquement exposées, etc.) A. Droit à l information B. Droit d accès C. Limitation des droits et recours Le respect des droits des professionnels personnes physiques du secteur financier A. Droit d accès B. Publication de sanctions C. Whistleblowing Conclusion Chapitre 3 La protection des données fiscales dans l assistance administrative internationale Lionel Noguera Introduction A. La rencontre de deux mondes

13 table des matières B. Formes et instruments de l échange d informations en matière fiscale C. L échange d informations, traitement de masse I Portée de l exception de l article 13 de la directive 95/46/CE A. Intérêts protégés B. Application au traitement de données fiscales en général C. Cas particulier de l échange d informations harmonisé Problématiques annexes A. Loyauté du traitement et source des données collectées B. Communication à des pays tiers NOUVEAU DÉFI DE MISE EN CONFORMITÉ («COMPLIANCE») POUR LES RESPONSABLES DU TRAITEMENT : VERS UNE RESPONSABILITÉ ACCRUE Chapitre 1 The role of national data protection authorities in the light of the proposed General Data Protection Regulation Tine A. Larsen Chapitre 2 Companies liability regarding new technologies Gérard Lommel I A Paradigm Shift: From a Reactive to a Proactive Attitude towards Data Protection rules Building on existing principles and strengthening data protection rules in view of the technological developments A. Enlarged territorial scope of EU legal framework B. Increased emphasis on transparency

14 Enjeux européens et mondiaux de la protection des données personelles C. Strengthened individual rights so as to cope with the new online reality D. Rules applicable to Profiling E. Increased security obligations and personal data breach notification F. Data Protection by Design G. Data Protection Impact Assessment H. Data Protection Officer I Which attitude towards compliance: Data Protection Friend or Foe? Chapitre 3 Le nouveau rôle des autorités de contrôle Sophie Nerbonne Introduction I Une régulation par l accompagnement des professionnels illustrée par les «packs de conformité» A. Cette appellation, un tant soit peu commerciale, il faut bien le reconnaître, recouvre tout à la fois une méthode de travail et un nouveau mode de régulation pour la CNIL B. Ces référentiels ont donc un double objectif C. Les trois premiers packs adoptés correspondent aux trois hypothèses du recours à la conformité D. La création de «clubs conformité» destinés à faire vivre les «packs de conformité» E. Les deux packs envisagés pour Installer les correspondants Informatique et Libertés au cœur de la gouvernance des données en en faisant les acteurs incontournables de la conformité et valoriser les outils de la conformité que sont les labels et les BCR A. Un nouveau métier en cours de définition : le correspondant Informatique et Libertés (CIL), pilote de la sécurité juridique et technique du patrimoine informationnel au sein des organismes publics ou privés

15 table des matières B. «Le label CNIL comme outil de conformité» : un indicateur de confiance C. Les Binding Corporate Rules (BCR) et les Règles contraignantes d entreprise (RCE) francophones : les prémices des programmes de management de la vie privée Chapitre 4 Challenges for compliance with the rights of data subjects: the case of a hypothetical complaint related to the exercise of the right of access Maria Veronica Perez Asinari Introduction I What does the EDPS do to protect the rights of data subjects? EDPS Guidelines on the rights of individuals with regard to the processing of personal data I A hypothetical example of a complaint Concluding remarks LA PROTECTION DES DONNÉES EN PRATIQUE Chapitre 1 Les grands changements liés à la réglementation sur la protection des données personnelles et ses implications pratiques pour les entreprises et les professionnels Georgia Skouma et Laura Léonard I Le cadre juridique européen La directive 95/46/CE La future réglementation européenne : son application Quel(s) impact(s) sur les entreprises?

16 Enjeux européens et mondiaux de la protection des données personelles A. Quelles conséquences sur les relations entre l entreprise et le titulaire de données? Le consentement Droit d accès du titulaire des données a. Droit à l oubli numérique et à l effacement b. Droit d opposition c. Profilage B. La mise en place de procédures internes et les obligations incombant au responsable du traitement Protection des données dès la conception et protection des données par défaut Élection d un représentant pour les responsables de traitement établis en dehors de l Union européenne Obligation de documentation Sécurité des traitements Les obligations du responsable du traitement en cas de violation de données à caractère personnel Analyse d impact relative à la protection des données Désignation du délégué à la protection des données Certification Notification à l autorité en charge de la protection de la vie privée C. Mise en application des règles légales Sanctions administratives Conclusion intermédiaire Les programmes «Vie privée» : défis, options et avantages A. Les défis de la conformité aux règles en matière de protection des données le contexte pluridimensionnel de la protection des données personnelles B. Les facteurs incitant à la mise en conformité C. Les sanctions en cas de non- conformité D. Les programmes de protection des données personnelles Raison d être et concept E. Quels avantages pour l entreprise? Bibliographie

17 table des matières Chapitre 2 Peering into the Future of Privacy François Lhemery et Marie-Charlotte Roques- Bonnet Introduction I Moving from the computing age to the digital ubiquity A. An EU legal framework out of touch with the digital boom B. A digital environment that revolutionizes data uses From privacy concerns to building trust in a ubiquitous digital society A. Putting the user in control of their digital life B. Taking a step beyond legal compliance by assessing proportionality C. Turning by- default accountability into trust by providing full transparency to users I Towards a new legal paradigm A. Moving from the notice and consent model to the User Control Model B. Legitimate interest: an effective legal ground for data processing conditioned by accountability and full transparency Conclusions: Beyond data protection law compliance, being trusted by individuals controlling their ubiquitous digital identity CONCLUSIONS Peter Hustinx Some reflections at the end