Veiller à la protection de la vie privée et des données à caractère personnel. Michel Futtersack, Faculté de Droit, Université Paris Descartes

Documents pareils
LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Photos et Droit à l image

Les données à caractère personnel

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Sommaire. 1. Préambule

Cadre juridique de la Protection des Données à caractère Personnel

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

«Marketing /site web et la protection des données à caractère personnel»

COMMUNICATION POLITIQUE ObligationS légales

Guide juridique de l'utilisateur des systèmes d information des ministères de l éducation nationale, et de l'enseignement supérieur et de la recherche

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Les articles modifiés par la loi Macron au 30 janvier 2015

GUIDE LA PUB SI JE VEUX!

Règlement d INTERPOL sur le traitement des données

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Conditions d'utilisation de la plateforme Défi papiers

L EVALUATION PROFESSIONNELLE

N 2345 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

La responsabilité juridique des soignants

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Loi n du relative à la protection des données à caractère personnel

Continuité d activité. Enjeux juridiques et responsabilités

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

1. Identification de l entreprise

ANNEXE JURIDIQUE CHARTE D'UTILISATION DES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION A DESTINATION DES USAGERS. 1.

Les responsabilités des professionnels de santé

CODE PROFESSIONNEL. déontologie

Circulaire de la DACG n CRIM 08-01/G1 du 3 janvier 2008 relative au secret de la défense nationale NOR : JUSD C

Le Traitement des Données Personnelles au sein d une Association

Les fiches déontologiques Multicanal

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

LOI N portant Code des Postes

Instructions dans la recherche clinique

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

Être plus proche, mais pas à n importe quel prix

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Le téléphone portable: instrument sauveur ou diabolique?

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

Algérie. Loi relative aux associations

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

Titre I Des fautes de Gestion

Sénégal. Réglementation bancaire

La majorité, ses droits et ses devoirs. chapitre 7

Congo. Loi règlementant l exercice de la profession de commerçant en République du Congo

JE MONTE UN SITE INTERNET

et développement d applications informatiques

Responsabilité pénale de l association

N 2807 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

SÉNAT PROPOSITION DE LOI

LES DANGERS QUE L ON PEUT

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

N 3038 ASSEMBLÉE NATIONALE PROJET DE LOI

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

LOI N du 14 janvier (JO n 2966 du , p.3450) CHAPITRE PREMIER DE LA PREVENTION DES INFRACTIONS

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

GUIDE PRATIQUE. Droit d accès

Emplacement de la photo d ouverture du domaine

ACAT-France. Et si la prison n était pas toujours la solution? SANCTIONNER AUTREMENT. Et si la prison n était pas toujours la solution?

Commission nationale de l informatique et des libertés

«La prison est la seule solution pour préserver la société.»

LES GUIDES DE LA CNIL HALTE AUX PUBLICITÉS EDITION JANVIER 2005 COMMISSION NATIONALE DE L INFORMATIQUE

La protection de vos données personnelles

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE

Avant-projet de loi. Loi modifiant le Code civil et d autres dispositions législatives en matière d adoption et d autorité parentale

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

AZ A^kgZi Yj 8^idnZc

Introduction. Une infraction est un comportement interdit par la loi pénale et sanctionné d une peine prévue par celle-ci. (1)

N 1644 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

Directive cadre du groupe. Protection des données des clients et des partenaires.

FICHE PRATIQUE R3 TEXTES REGLEMENTAIRES

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

CONDITIONS PARTICULIERES D UTILISATION DE L ESPACE CLIENT SUR LE SITE

Direction de l administration pénitentiaire Le placement sous surveillance électronique mobile

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

le dossier individuel de l agent

1. L ENTREPRISE 2. CARACTERISTIQUES ET DEROULEMENT DE LA PRESTATION CHARTE QUALITE 2.1. DEMARCHE VOLONTAIRE 2.2. REALISATION DE L AUDIT

Le stationnement irrégulier de véhicules appartenant à la communauté des gens du voyage.

Conditions générales du contrat Dynatic-Vol de Atral-Services

Textes de référence : Table des matières

Décrets, arrêtés, circulaires

Décrets, arrêtés, circulaires

CHARTE D UTILISATION DU SITE

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

LE DOCUMENT UNIQUE DE DELEGATION

Sommaire. page 1 page 3 page 5 page 7 page 8 page 9 page 10

Loi institutant un Médiateur de la République du Sénégal

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Réguler les jeux d'argent : Le rôle de l'autorité Bruxelles le 12 octobre Intervention de M. Jean-François VILOTTE, Président de l ARJEL

Conditions Générales d'utilisation du compte V lille

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

CONSIDÉRATIONS SUR LA MISE EN ŒUVRE DES DÉCISIONS DE LA COUR CONSTITUTIONNELLE

La responsabilité civile et pénale. Francis Meyer -Institut du travail Université R. Schuman

Transcription:

Veiller à la protection de la vie privée et des données à caractère personnel Michel Futtersack, Faculté de Droit, Université Paris Descartes

Les données personnelles (ou nominatives) sont les informations qui permettent d identifier directement ou indirectement une personne physique : état civil, numéro de carte de paiement, plaque d immatriculation, photo, données médicales et biométriques. Certaines de ces données permettent d identifier de façon unique une personne : numéro de sécurité sociale, analyse de l ADN, empreinte digitale. Elles ont particulièrement sensibles, car elles donnent le moyen de croiser les informations issues de différentes bases de données. Il faut donc les fournir avec une extrême prudence. La loi interdit de collecter ou de conserver certaines données sensibles : origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes. La loi reconnaît à chaque citoyen des droits spécifiques pour préserver sa vie privée et sa liberté dans le monde numérique La loi définit également des devoirs et des obligations pour les personnes ou les organisations qui collectent et conservent des données personnelles.

La vie privée s oppose à la vie collective ou publique. Elle limite le pouvoir du politique par la création d un espace pour l individu. La sphère du privé contient : la vie personnelle (secret professionnel, secret médical, image, correspondance et communications, opinions politiques, convictions religieuses et philosophiques) la vie familiale, conjugale ou sentimentale le domicile Les atteintes à la vie privée sont sanctionnées par le code pénal. Par exemple : Article 226-1 : Est puni d'un an d'emprisonnement et de 45 000 euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui : 1 En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel 2 En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé. Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé. Article 226-2 : Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d'un tiers ou d'utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l'aide de l'un des actes prévus par l'article 226-1. Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

La Loi 78-17 du 6 janvier 1978 définit son principe dans son article 1 er : "L informatique doit être au service de chaque citoyen. Son développement doit s opérer dans le cadre de la coopération internationale. Elle de doit porter atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques." Cette loi définit entre autres le rôle et la mission de la Commission Nationale Informatique et Libertés (la CNIL) Ce texte fondateur été complété par d autres lois, dont celle du 6 août 2004 dite Nouvelle Loi Informatique et Libertés, qui transpose une directive européenne d octobre 1995. La notion de "données nominatives" est remplacée par celle de "données à caractère personnel ". Les droits et protections reconnus aux personnes physiques sont renforcés, et les responsables des traitements numériques ont des obligations plus contraignantes. Le pouvoir de la CNIL est augmenté.

Créée par la loi Informatique et Libertés de 1978, c est une autorité administrative indépendante. Elle est composée de 17 commissaires : 4 parlementaires : (2 députés et 2 sénateurs) 2 membres du Conseil économique, social et environnemental 6 représentants des hautes juridictions (2 conseillers d État, 2 conseillers à la cour de Cassation, 2 conseillers à la cour des Comptes) 1 personnalité désignée par le Président de l Assemblée Nationale 1 personnalité désignée par le Président du Sénat 3 personnalités désignées par décret pris par le Président de la République ou le Premier Ministre La CNIL élit son Président parmi ses membres Le Président recrute librement ses collaborateurs, qui sont des agents contractuels de l État Le budget de la CNIL relève du budget de l État

Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées. Au moment de la collecte des données, le questionnaire doit mentionner : l identité du responsable du fichier l objectif de la collecte d informations le caractère obligatoire ou facultatif des réponses fournies les droits reconnus à la personne Les exceptions au droit à l information concernent : les fichiers de police et de gendarmerie les fichiers relatifs à des condamnations pénales les fichiers dont les données sont rapidement rendues anonymes ou ne sont pas recueillies directement auprès de la personne

Toute personne justifiant de son identité a le droit d interroger le responsable d un fichier ou d un traitement pour savoir s il détient des informations sur elle, et le cas échéant d en obtenir communication. La personne peut s informer : des finalités du traitement du type de données enregistrées de l origine et des destinataires des données des éventuels transferts de ces informations vers des pays n appartenant pas à l Union Européenne Un juge des référés peut être saisi en cas de risque de dissimulation ou de disparition des données. Le droit d accès ne s exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d atteinte à la vie privée et pendant une durée n excédant pas celle nécessaire à l établissement de statistiques ou à la recherche scientifique ou historique.

Il concerne : les fichiers intéressant la sûreté de l État, la défense et la sécurité publique (fichiers de police judiciaire, fichiers des services de l information générale, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen) certains fichiers du ministère de la Justice (fichier des détenus dans les prisons) C est un magistrat de la CNIL qui peut exercer votre droit d accès et de rectification pour votre compte. Il peut demander à ce que les informations incomplètes, obsolètes ou non-conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées. En pratique, vous devez adresser à la CNIL un simple courrier, indiquant votre adresse et votre numéro de téléphone, en y joignant une photocopie d un titre d identité. Vous devez préciser le fichier pour lequel vous demandez que des vérifications soient entreprises. Il est important de joindre tout document ou toute information susceptible de faciliter les investigations de la CNIL.

Toute personne a la possibilité de s opposer, pour des motifs légitimes, à figurer dans un fichier. Toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale. En pratique, le droit d opposition ne doit occasionner aucun frais et se fait valoir auprès du responsable du fichier : en refusant de répondre lors d une collecte non obligatoire de données en refusant de donner l accord écrit obligatoire pour le traitement des données sensibles telles que les opinions politiques ou les convictions religieuses (attention, ce refus s exprime souvent par une case à cocher pas toujours très visible à la fin du formulaire) en demandant la radiation des données contenues dans un fichier commercial en s opposant à la cession ou à la commercialisation de nos données personnelles (attention là encore, il faut trouver la case à cocher!) Le droit d opposition n existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale.

Tout responsable de traitement informatique de données personnelles doit adopter les mesures de sécurité physique (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l obligation de sécurité est sanctionné de 5 ans d emprisonnement et de 300 000 d amende (article 226-17 du code pénal) La CNIL a publié en 2009 une série de conseils à l attention des directeurs de systèmes d information : adopter une politique de mot de passe rigoureuse concevoir une procédure de création et de suppression de compte utilisateur sécuriser les postes de travail (verrouillage automatique après un délai d inactivité) identifier précisément qui peut avoir accès à quels fichiers veiller à la confidentialité des données à l occasion de l intervention d un prestataire extérieur (celle-ci doit se dérouler en présence d un salarié du service informatique et être consignée dans un registre) sécuriser le réseau local (routeurs filtrants, pare-feux, sonde anti-intrusion) sécuriser l accès physique aux locaux (gardiennage, contrôle des habilitations) anticiper le risque de perte ou de divulgation des données (veiller à l effacement des données sur les mémoires externes en fin de vie ou en réparation) anticiper et formaliser une politique de sécurité sensibiliser les utilisateurs aux risques informatiques et aux lois Informatique et Libertés (rédiger et faire signer une charte informatique)

Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l entrave au bon exercice des droits des personnes est puni de 1500 par infraction constatée et 3000 en cas de récidive (article 131-13 du code pénal et décret n 2005-1309 du 20 octobre 2005) Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des tiers autorisés ayant qualité pour les recevoir de façon ponctuelle et motivée (ex : police, fisc). La communication d informations à des personnes non autorisées est punie de 5 ans d emprisonnement et de 300 000 d amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d emprisonnement et de 100 000 d amende (article 226-22 du code pénal).

Les données personnelles ont une date de péremption. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d emprisonnement et de 300 000 d amende (article 226-20 du code pénal). Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d emprisonnement et de 300 000 d amende (article 226-21 du code pénal)

Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d emprisonnement et 300 000 d amende (article 226-16 du code pénal) Beaucoup de fichiers ou de traitements contenant des données personnelles sont dispensés de formalités déclaratives auprès de la CNIL, le plus souvent parce qu ils ne portent pas atteinte à la vie privée ou aux libertés. En dehors des cas d exonération prévus, déclarer un fichier ou un traitement de données personnelles est une obligation légale. Comment savoir s il faut déclarer ou non? En se rendant sur le site de la CNIL (http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/) qui propose un questionnaire permettant de le savoir.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back