Table des matières Remerciements... 5 Préface 1... 7 Foreword 2: Shedding light on the data protection reform... 9 Préface 3... 11 Préface 4... 13 Préface 5... 15 PROPOS INTRODUCTIFS Comment assurer l effectivité de la protection des droits à l ère post- snowden? Édouard Geffray I I Le premier enjeu majeur est celui de la souveraineté du droit européen de la protection des données, c est- à- dire de sa pleine applicabilité lorsque les données d un résident européen sont traitées... 20 Le deuxième enjeu réside, à mon sens, dans l intégration croissante et nécessaire de l Europe de la protection des données... 21 Dans ce contexte, le troisième et dernier enjeu pour assurer l effectivité de la protection des données personnelles me semble résider dans ses modalités de contrôle a posteriori. Dans les États de droit contemporains, ce contrôle repose sur trois acteurs : le citoyen, les autorités de protection et le juge... 22
Enjeux européens et mondiaux de la protection des données personelles DROITS FONDAMENTAUX ET JURISPRUDENCE EUROPÉENNE Chapitre 1 La protection des données à caractère personnel dans le cadre de la jurisprudence de la Cour de justice de l Union européenne relative aux droits fondamentaux Agostino Valerio Placco Introduction... 27 I Conditions de légalité des limitations à l exercice de droits fondamentaux... 20 A. Quelle grille d analyse?... 29 B. Les conditions posées à l article 52, 1 er, première phrase... 31 1. La limitation doit être «prévue par la loi»................................. 31 2. La limitation doit respecter le contenu essentiel du droit fondamental en cause..................................................................... 32 C. Les conditions posées à l article 52, 1 er, seconde phrase, ou le contrôle de proportionnalité... 34 1. Test d aptitude.............................................................. 35 2. Test de nécessité............................................................. 36 3. Test de proportionnalité au sens strict...................................... 37 Apports spécifiques de la jurisprudence relative à la protection des données à caractère personnel... 31 A. L exigence d une analyse d impact préalable... 41 B. L exigence de garanties suffisantes contre les risques d abus... 44 C. La marge d appréciation du législateur de l Union et l intensité du contrôle juridictionnel... 48 Conclusions... 50 450
table des matières Chapitre 2 La protection des données dans la jurisprudence de la Cour européenne des droits de l homme Loredana Tassone Chapitre 3 Articles 7 and 8 of the EU Charter: two distinct fundamental rights Christopher Docksey Introduction... 71 I Article 7 of the Charter: the right to privacy... 73 Article 8 of the Charter: the right to protection of personal data... 74 I The overlap between the two rights in the case law... 76 1. The interpretation of Article 8 ECHR to cover the processing of personal data............................................................. 76 2. The development of a parallel concept in Germany, the constitutional right to informational self- determination......................................... 79 IV The differences between the two rights and the practical consequences... 82 1. The different scope of the rights at issue.................................... 82 2. Supervision by an independent authority..................................... 85 3. Interference and justification................................................ 87 V The implications of the status of data protection as primary law under Article 8 of the Charter and Article 16 TFEU... 89 1. Article 8 offers an additional protection to Article 7...................... 89 2. The interpretation and application of Article 8 of the Charter.............. 93 3. The limitation on legislative discretion under Article 16 of the Treaty...... 96 Conclusions... 97 451
Enjeux européens et mondiaux de la protection des données personelles Chapitre 4 La protection des données personnelles entre droits de l homme et droits fondamentaux François Moyse I La Cour de Strasbourg et l ingérence dans la vie privée... 101 I La Cour de Luxembourg et la proportionnalité des limitations aux droits fondamentaux... 103 Les données personnelles, entre droits de l homme et droits fondamentaux... 108 CHAMP D APPLICATION TERRITORIAL DU RÈGLEMENT ET TRANSFERT DE DONNÉES Chapitre 1 Aperçu de la dimension internationale du Règlement général sur la protection des données à caractère personnel Marc Gallardo Meseguer Introduction... 117 I Une réforme en cours... 119 Un champ d application territorial «renouvelé»... 119 I Des mécanismes «évolués» pour le transfert des données... 122 A.... 122 B.... 124 C..... 125 IV Safe Harbor une sphère de (d ) «(in)sécurité»?... 125 V Remarques finales... 128 452
table des matières Annexes : aperçu DU CHAMP D APPLICATION TERRITORIAL ET TRANSFERTS DES DONNÉES DANS LA PROPOSITION DE RÈGLEMENT... 129 Annexe 1 : CHAMP D APPLICATION TERRITORIAL... 131 Annexe 2 : chapitre v TRANSFERT DES DONNÉES (articles 40 à 45)... 133 Annexe 3 : SAFE HARBOUR... 155 Chapitre 2 Mind the gap: understanding the U.S. perspective on privacy in safe harbor/data transfer negotiations Richard J. Peltz- Steele I Public Sector, Private Sector... 162 Property Paradigm, Rights Paradigm... 163 I A Slow Evolution of the U.S. Perspective... 165 IV Conclusion: Mind the gap... 169 Chapitre 3 Application territoriale de la législation européenne en matière de protection des données et transfert de données vers des pays tiers : vaincre la peur de l autre Jean-françois Henrotte et Fanny Coton I Introduction... 171 A. Droit applicable au responsable du traitement... 173 1. Historique................................................................... 173 2. Directive 95/46/CE.......................................................... 174 a. Texte retenu... 174 b. Transposition en droits belge et luxembourgeois... 176 c. Comparaison avec la directive 2002/58/CE... 177 d. Analyse de l article 4... 177 453
Enjeux européens et mondiaux de la protection des données personelles 1 4, 1er, a) : responsable de traitement établi dans un état membre... 178 i. Établissement sur le territoire d un État membre... 178 ii. Dans le cadre des activités... 179 2 Article 4, 1er, b) : application en vertu du droit international public... 183 3 Article 4, 1er, c) : recours à des moyens... 183 3. Projet de règlement......................................................... 188 B. Droit applicable aux mesures de sécurité en cas de sous- traitance... 193 1. Directive 95/46/CE.......................................................... 193 2. Projet de règlement......................................................... 193 C. Compétence des autorités nationales de contrôle... 194 1. Directive 95/46/CE.......................................................... 194 2. Projet de règlement......................................................... 194 Les transferts de données à des responsables de traitement ou à des sous- traitants établis en dehors de l Union européenne... 197 A. Directive 95/46/CE... 197 1. Vers des pays offrant un niveau de protection adéquat...................... 198 a. Reconnaissance du niveau de protection... 198 b. Le cas particulier des USA : le niveau de protection adéquat par le Safe Harbor... 199 2. Vers des pays n offrant pas un niveau de protection adéquat................ 205 a. Clauses contractuelles... 205 b. Règles d entreprise contraignantes (BCR)... 206 c. Exceptions... 207 B. Le projet de règlement... 208 1. Vers un pays offrant un niveau de protection adéquat...................... 208 2. Vers des pays n offrant pas un niveau de protection adéquat................ 210 a. Transferts moyennant des garanties appropriées... 210 b. Transferts encadrés par des Règles d entreprise contraignantes... 211 c. Clauses contractuelles et autres garanties... 213 d. Exceptions... 214 I Conclusions... 215 454
table des matières COMMENT LES DROITS DE LA PERSONNE CONCERNÉE SONT-ils RENFORCÉS? Chapitre 1 Comment les droits de la personne concernée sont-ils renforcés? Christiane Féral- schuhl Chapitre 2 How to Handle Data Breaches From an EU Legal and Practical Perspective Elisabeth Thole I Introduction... 223 Data protection laws and regulations... 224 I Personal data... 226 Legitimate purpose... 227 Legal ground... 227 Information duty... 228 IV Data Protection Officer... 229 V Data breaches... 230 VI Legal framework data breaches... 230 V Appropriate technical and organizational security measures... 231 VI Notification duties... 233 IX Relevance of notification duties... 236 X Remedies, actions and sanctions... 237 XI Incident Road Map... 239 Pre-incident... 239 455
Enjeux européens et mondiaux de la protection des données personelles Incident... 241 Post-incident... 241 X Cyber Risk Insurance... 242 XI Closing remarks... 243 Chapitre 3 Droit à l oubli, droit à l effacement ou droit au déréférencement? Quand le législateur et le juge européens dessinent les contours du droit à l oubli numérique Cécile de Terwangne I Droit à l oubli, droit à l effacement, droit au déréférencement, de quoi s agit- il?... 245 Contexte du droit à l oubli numérique : les spécificités d Internet... 245 A. La nécessité d une décision d effacer et l «eternity effect» ou effet d éternité qui en découle... 248 B. Le coût économique de l effacement... 249 C. La décontextualisation des informations... 249 I L autodétermination informationnelle à la base du droit à l oubli ou à l effacement... 251 IV Le droit au déréférencement... 253 V VI Le droit à l oubli en cas de traitement de données basé sur le consentement de la personne concernée : le droit à l oubli en tant que droit au repentir et à changer d avis... 248 Le droit à l oubli lorsque l information est traitée/diffusée à l initiative d un tiers... 257 A. La mise en balance des intérêts... 257 1. La résolution des conflits de droits et intérêts.............................. 257 2. Les critères de la résolution des conflits.................................... 258 3. Exemple des archives de presse sur Internet. Critères pour la mise en balance : actualité, intérêt historique et intérêt public................................. 259 456
table des matières B. Les éléments du droit à l oubli issus de la législation de protection des données... 262 1. L obligation de supprimer des données à caractère personnel découlant du principe de finalité............................................. 262 2. Le droit à l effacement des données......................................... 262 a. L article 12, b), de la directive 95/46... 262 b. Les cas élargis de traitement non conforme : non- respect des exigences de qualité des données, non- respect des hypothèses de légitimité des traitements... 263 3. Le droit d opposition au traitement des données............................. 265 V Les effets de l exercice du droit à l oubli... 267 A. L effacement, l anonymisation, le verrouillage, ou... 267 B. L information en aval des demandes d effacement de données... 269 VI Droit à la suppression automatique des données dans l environnement électronique Droit à l oubli par défaut... 271 Conclusion... 273 Chapitre 4 Le profilage : un défi pour la protection des données à caractère personnel Alain Grosjean Introduction... 277 I Les raisons variées du profilage et la révolution du big data... 284 A. Profilage imposé par la loi... 284 B. Lutte contre la fraude et profilage en matière de sécurité nationale... 286 C. La publicité ciblée... 287 D. Le big data... 289 La tentative de délimitation de la notion de profilage... 291 A. La définition du profilage... 291 B. Notions d anonymisation ou de pseudonymisation... 295 1. Anonymisation.............................................................. 295 2. Pseudonymisation............................................................ 296 457
Enjeux européens et mondiaux de la protection des données personelles C. Le profilage de la publicité ciblée en ligne concerne- t il des données à caractère personnel?... 297 D. L encadrement légal du profilage... 298 1. L État de la législation sur les cookies...................................... 298 2. Les dispositions de la directive 95/46/CE et réforme à venir................. 300 I Les recommandations... 300 A. Les recommandations d ordre technique... 305 B. Les recommandations d ordre comportemental... 307 1. Pour les responsables du traitement......................................... 308 2. Le rôle des autorités de régulation.......................................... 309 3. Meilleure prise de conscience des utilisateurs................................ 309 Conclusion... 309 BANQUE, PAIEMENT EN LIGNE ET PROTECTION DES DONNÉES PERSONNELLES Chapitre 1 Banque, paiement en ligne et protection des données personnelles Myriam Quéméner Chapitre 2 Systèmes de prévention de la fraude et protection des données personnelles Nathalie Métallinos Introduction... 315 I L application des principes de protection des données aux traitements de prévention de la fraude et des impayés... 317 A. Les différences d approche adoptées par les États membres... 317 458
table des matières B. Les recommandations du Groupe de travail «Article 29» sur les listes noires et leur application aux traitements destinés à la prévention de la fraude... 319 Conciliation des règles relatives à la protection des données à caractère personnel et des législations et pratiques destinées à la prévention de la fraude : les perspectives offertes dans la proposition de règlement... 322 A. Les cas de présomption de légitimité fondée sur l intérêt légitime... 324 B. Le régime applicable aux mesures de profilage... 326 Conclusion... 327 Chapitre 3 L anonymisation des informations et l authentification biométrique pourraient permettre de lutter efficacement contre les vols de données bancaires Olivier Perrin Introduction... 329 I La protection des données bancaires, un enjeu stratégique pour les entreprises à l heure du numérique... 330 A..... 330 B..... 331 La confiance dans les moyens de paiement et, donc, de leur protection, au cœur du développement de l économie numérique... 332 A.... 332 B..... 333 I L anonymisation des données et l authentification forte les deux facettes de la protection des données bancaires... 334 A.... 334 B..... 335 Conclusion... 335 459
Enjeux européens et mondiaux de la protection des données personelles LA PROTECTION DES DONNÉES ET SERVICES FINANCIERS Chapitre 1 Introduction de session Alex Schmitt Chapitre 2 La protection des droits de la personne concernée dans les services financiers Isabelle Chatelier I Le respect des droits des clients personnes physiques et autres personnes physiques en lien avec ces clients (bénéficiaires réels, membres de la famille des personnes politiquement exposées, etc.)... 344 A. Droit à l information... 344 B. Droit d accès... 344 C. Limitation des droits et recours... 345 Le respect des droits des professionnels personnes physiques du secteur financier... 345 A. Droit d accès... 346 B. Publication de sanctions... 346 C. Whistleblowing... 347 Conclusion... 347 Chapitre 3 La protection des données fiscales dans l assistance administrative internationale Lionel Noguera Introduction... 349 A. La rencontre de deux mondes... 349 460
table des matières B. Formes et instruments de l échange d informations en matière fiscale... 351 C. L échange d informations, traitement de masse.......................... 352 I Portée de l exception de l article 13 de la directive 95/46/CE... 354 A. Intérêts protégés... 354 B. Application au traitement de données fiscales en général... 356 C. Cas particulier de l échange d informations harmonisé... 361 Problématiques annexes... 363 A. Loyauté du traitement et source des données collectées... 363 B. Communication à des pays tiers... 364 NOUVEAU DÉFI DE MISE EN CONFORMITÉ («COMPLIANCE») POUR LES RESPONSABLES DU TRAITEMENT : VERS UNE RESPONSABILITÉ ACCRUE Chapitre 1 The role of national data protection authorities in the light of the proposed General Data Protection Regulation Tine A. Larsen Chapitre 2 Companies liability regarding new technologies Gérard Lommel I A Paradigm Shift: From a Reactive to a Proactive Attitude towards Data Protection rules... 373 Building on existing principles and strengthening data protection rules in view of the technological developments... 374 A. Enlarged territorial scope of EU legal framework... 374 B. Increased emphasis on transparency... 375 461
Enjeux européens et mondiaux de la protection des données personelles C. Strengthened individual rights so as to cope with the new online reality... 375 D. Rules applicable to Profiling... 375 E. Increased security obligations and personal data breach notification... 376 F. Data Protection by Design... 377 G. Data Protection Impact Assessment... 377 H. Data Protection Officer... 378 I Which attitude towards compliance: Data Protection Friend or Foe?... 378 Chapitre 3 Le nouveau rôle des autorités de contrôle Sophie Nerbonne Introduction... 379 I Une régulation par l accompagnement des professionnels illustrée par les «packs de conformité»... 383 A. Cette appellation, un tant soit peu commerciale, il faut bien le reconnaître, recouvre tout à la fois une méthode de travail et un nouveau mode de régulation pour la CNIL... 383 B. Ces référentiels ont donc un double objectif... 383 C. Les trois premiers packs adoptés correspondent aux trois hypothèses du recours à la conformité... 385 D. La création de «clubs conformité» destinés à faire vivre les «packs de conformité»... 387 E. Les deux packs envisagés pour 2015... 388 Installer les correspondants Informatique et Libertés au cœur de la gouvernance des données en en faisant les acteurs incontournables de la conformité et valoriser les outils de la conformité que sont les labels et les BCR... 389 A. Un nouveau métier en cours de définition : le correspondant Informatique et Libertés (CIL), pilote de la sécurité juridique et technique du patrimoine informationnel au sein des organismes publics ou privés... 389 462
table des matières B. «Le label CNIL comme outil de conformité» : un indicateur de confiance... 390 C. Les Binding Corporate Rules (BCR) et les Règles contraignantes d entreprise (RCE) francophones : les prémices des programmes de management de la vie privée... 391 Chapitre 4 Challenges for compliance with the rights of data subjects: the case of a hypothetical complaint related to the exercise of the right of access Maria Veronica Perez Asinari Introduction... 395 I What does the EDPS do to protect the rights of data subjects?... 396 EDPS Guidelines on the rights of individuals with regard to the processing of personal data... 396 I A hypothetical example of a complaint... 397 Concluding remarks... 400 LA PROTECTION DES DONNÉES EN PRATIQUE Chapitre 1 Les grands changements liés à la réglementation sur la protection des données personnelles et ses implications pratiques pour les entreprises et les professionnels Georgia Skouma et Laura Léonard I Le cadre juridique européen... 403 La directive 95/46/CE......................................................... 403 La future réglementation européenne : son application........................ 404 Quel(s) impact(s) sur les entreprises?......................................... 406 463
Enjeux européens et mondiaux de la protection des données personelles A. Quelles conséquences sur les relations entre l entreprise et le titulaire de données?... 406 1. Le consentement............................................................. 407 2. Droit d accès du titulaire des données....................................... 407 a. Droit à l oubli numérique et à l effacement... 408 b. Droit d opposition... 409 c. Profilage... 410 B. La mise en place de procédures internes et les obligations incombant au responsable du traitement... 411 1. Protection des données dès la conception et protection des données par défaut................................................................... 412 2. Élection d un représentant pour les responsables de traitement établis en dehors de l Union européenne..................................... 413 3. Obligation de documentation................................................ 413 4. Sécurité des traitements..................................................... 414 5. Les obligations du responsable du traitement en cas de violation de données à caractère personnel............................................ 414 6. Analyse d impact relative à la protection des données....................... 415 7. Désignation du délégué à la protection des données......................... 415 8. Certification................................................................. 416 9. Notification à l autorité en charge de la protection de la vie privée........ 416 C. Mise en application des règles légales... 417 1. Sanctions administratives.................................................... 417 Conclusion intermédiaire... 417 Les programmes «Vie privée» : défis, options et avantages... 418 A. Les défis de la conformité aux règles en matière de protection des données... 418 1. le contexte pluridimensionnel de la protection des données personnelles..... 418 B. Les facteurs incitant à la mise en conformité... 420 C. Les sanctions en cas de non- conformité... 422 D. Les programmes de protection des données personnelles... 424 Raison d être et concept....................................................... 424 E. Quels avantages pour l entreprise?... 425 Bibliographie... 426 464
table des matières Chapitre 2 Peering into the Future of Privacy François Lhemery et Marie-Charlotte Roques- Bonnet Introduction... 429 I Moving from the computing age to the digital ubiquity... 430 A. An EU legal framework out of touch with the digital boom... 431 B. A digital environment that revolutionizes data uses... 431 From privacy concerns to building trust in a ubiquitous digital society... 433 A. Putting the user in control of their digital life... 433 B. Taking a step beyond legal compliance by assessing proportionality... 435 C. Turning by- default accountability into trust by providing full transparency to users................................................... 436 I Towards a new legal paradigm... 437 A. Moving from the notice and consent model to the User Control Model... 437 B. Legitimate interest: an effective legal ground for data processing conditioned by accountability and full transparency... 438 Conclusions: Beyond data protection law compliance, being trusted by individuals controlling their ubiquitous digital identity... 439 CONCLUSIONS Peter Hustinx Some reflections at the end... 443 465