données personnelles Traitement Le guide juridique La loi Informatique et libertés et la CNIL Jurisprudences

Documents pareils
LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

«Marketing /site web et la protection des données à caractère personnel»

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Commission nationale de l informatique et des libertés

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Quelles sont les informations légales à faire figurer sur un site Internet?

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Les données à caractère personnel

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Revue d actualité juridique de la sécurité du Système d information

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

Quel cadre juridique pour les mesures d investigation informatique?

Le stationnement irrégulier de véhicules appartenant à la communauté des gens du voyage.

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Conditions Générales d Utilisation de la plateforme ze-questionnaire.com

Le fonctionnement du CHSCT

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Avis n 1 du Conseil national du numérique relatif au projet d ordonnance relatif aux communications électroniques

Cadre juridique de la Protection des Données à caractère Personnel

Continuité d activité. Enjeux juridiques et responsabilités

Responsabilité pénale de l association

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

CONTENTIEUX JUDICIAIRE DU PERMIS DE CONSTRUIRE

LE DOCUMENT UNIQUE DE DELEGATION

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Article 1. Enregistrement d un nom de domaine

BULLETIN D ACTUALITES JURIDIQUES

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

La cybercriminalité et les infractions liées à l utilisation frauduleuse d Internet : éléments de mesure et d analyse pour l année 2012

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Délibération n du 27 septembre 2010

Circulaire de la DACG n CRIM 08-01/G1 du 3 janvier 2008 relative au secret de la défense nationale NOR : JUSD C

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

COMMUNICATION POLITIQUE ObligationS légales

Conditions Générales d Utilisation de l Espace adhérent

Dossier pratique n 6

Guide juridique de l'e-commerce et de l'e-marketing

Déclaration des droits sur Internet

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

LES DANGERS QUE L ON PEUT

CONSIDÉRATIONS SUR LA MISE EN ŒUVRE DES DÉCISIONS DE LA COUR CONSTITUTIONNELLE

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

RÈGLEMENT COMPLET DU CONCOURS "LA CRÈME DES LIMOUSINS" LA LAITERIE DES LIMOUSINS DEPUIS Reglement CONCOURS.indd 1 09/03/ :36

SÉNAT PROPOSITION DE LOI

Politique de Sage en matière de protection de la vie privée sur le site

Les responsabilités à l hôpital

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

(Document adopté par la Commission le 19 janvier 2006)

Conditions générales d utilisation

JE MONTE UN SITE INTERNET

Sommaire. 1. Préambule

Introduction au droit La responsabilité professionnelle

A LA UNE. L indemnisation due en cas de licenciement nul pour violation du statut protecteur est plafonnée à trente mois

La responsabilité juridique des soignants

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

GUIDE LA PUB SI JE VEUX!

Les transferts de données à caractère personnel hors Union européenne

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

inaptitude quelles sont les obligations?

Décrets, arrêtés, circulaires

Les fiches déontologiques Multicanal

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

LE Dossier Livraison dans les EHPAD et assurances : Une prudence nécessaire

Loi fédérale contre la concurrence déloyale (LCD) du 19 décembre 1986

Législation et droit d'un administrateur réseaux

Conditions Générales d'utilisation du compte V lille

TD 1 Marque vs Nom de Domaine

L EVALUATION PROFESSIONNELLE

Conditions générales de vente

HEBERG-24. Table des Matières. Heberg-24

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

PROTÉGER VOS BASES DE DONNÉES

Marchés publics de fournitures et services EMISSION DE CARTES D ACHATS ET PRESTATIONS ANNEXES CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.

Convention type ENTRE :

N 2345 ASSEMBLÉE NATIONALE PROPOSITION DE LOI

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

LEGAL FLASH I BUREAU DE PARIS

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Le Traitement des Données Personnelles au sein d une Association

CEDH FRANGY c. FRANCE DU 1 ER FEVRIER 2005

PROSPECTION COMMERCIALE PAR L ING SE LEGALISE POINT SUR LA REGLEMENTATION JURIDIQUE : L OPT-IN DEVIENT LA NORME EUROPEENNE ET FRANCAISE

LOI N portant Code des Postes

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

QUESTIONS/REPONSES : L ASSOCIATION ET SON FONCTIONNEMENT

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

CGV - SOUSCRIPTION ET ACHAT SUR LES SITES INTERNET du Groupe LE MESSAGER

Transcription:

F A B R I C E M A T T A T I A ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION Traitement 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 27002 IMPLÉMENTATION AUDIT CERTIFICATION des ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFI données TION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATIO AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 2700 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27 personnelles IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATIO ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AU CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMP MENTATION AUDIT CERTIFICATION ISO 27001 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION ISO 27 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27 ET 27002 IMPLÉMENTATION AUDIT CERTIFICATION IMPLÉMENTATION AUDIT CERTIFICATION ISO 27001 Le guide juridique La loi Informatique et libertés et la CNIL Jurisprudences Groupe Eyrolles, 2013, ISBN : 978-2-212-13594-7

Table des matières Avant-propos.................................................... 1 Introduction....3 Partie 1 La protection des données personnelles : principes et droit français applicables Chapitre 1 Les grands principes... 9 Vie privée : une notion récente et imprécise.... 9 De la vie privée aux données personnelles... 11 Grands principes de protection des données personnelles... 12 Les directives européennes... 15 Chapitre 2 La loi Informatique et Libertés.... 27 Historique.... 27 Définitions... 30 Champ d application de la loi... 34 Obligations prévues par la loi... 42 Chapitre 3 La Commission nationale de l informatique et des libertés (CNIL).. 55 35 ans d activité : le bilan..................................... 56 Formalités CNIL... 58 Le CIL... 61 Labellisation... 65 Contrôles... 65 Pouvoir de sanction de la CNIL... 68 Chapitre 4 Autres textes de référence... 75 Le Code civil... 75 Obligations particulières des opérateurs de télécoms... 76 Obligations particulières concernant Internet... 77 Autres textes utiles contre le spam... 80

Traitement des données personnelles Le guide juridique Textes concernant le piratage informatique (l atteinte aux systèmes de traitement automatisé de données)..... 84 L hébergement des données de santé........................... 87 Partie 2 En pratique : devant les tribunaux et la CNIL Chapitre 5 Non-respect des obligations : que risquez-vous devant un tribunal?.. 97 Non-respect des formalités préalables.......................... 97 Non-respect de l obligation de sécurisation..................... 103 Non-respect de l obligation de notification des violations de sécurité.................................... 108 Non-respect des règles pour les traitements de recherche dans le domaine de la santé.................................. 109 Non-respect de la limitation de durée de conservation des données 110 Non-respect des droits d information et d accès................. 111 Chapitre 6 Non-respect des interdictions : que risquez-vous devant un tribunal? 119 Collecte frauduleuse, déloyale ou illicite de données personnelles.. 120 Traitement de données personnelles malgré l opposition de la personne concernée.................................... 122 Non-respect de l interdiction de traiter les données «sensibles».. 130 Détournement de finalité.................................... 135 Divulgation d informations susceptibles de porter atteinte à la considération ou à l intimité de la vie privée................. 138 Transfert non autorisé de données hors de l Union européenne.... 141 Limites de l approche pénale................................. 145 Chapitre 7 Ce que vous risquez devant la CNIL........................ 147 Non-respect des obligations : importance de l attitude du responsable de traitement................................ 147 Non-respect des interdictions................................ 154 Dualité CNIL-tribunaux...................................... 163 Chapitre 8 Débats et perspectives................................. 171 Le statut des adresses IP.................................... 171 Le nouveau projet de règlement européen...................... 176 Annexe Le Code des postes et des communications électroniques (CPCE).... 181 Index......................................................... 185 IV

Chapitre 8 Débats et perspectives Bien que l on dispose de plus de 30 ans de jurisprudence de la CNIL et des tribunaux, de nombreux points constituent toujours des sujets de débat, et représentent une incertitude pour les responsables de traitement. Par exemple, le statut de l adresse IP relativement à la loi Informatique et Libertés a fait l objet de jugements des tribunaux et de prises de position de la CNIL souvent opposés. Le responsable souhaitant traiter des adresses IP doit donc accorder à ce point une attention particulière. Pour lever ces ambiguïtés et permettre une protection des données personnelles plus homogène au niveau européen, la Commission européenne a lancé en 2012 un chantier de refonte de la directive de 1995. Un projet de règlement remplaçant la directive a été soumis à discussion publique, en attendant un débat au Parlement européen. Les règles de protection des do nnées personnelles sont donc appelées à évoluer dans les années qui viennent. Le statut des adresses IP L adresse IP (Internet Protocol) est le numéro, unique au monde, sous lequel un ordinateur est relié à Internet. Ce numéro permet de le reconnaître sur la toile et de s y connecter. L adresse IP contient une indication de la zone géographique de l ordinateur : la première partie de cette adresse désigne le réseau, la seconde repère le client sur ce réseau. Sauf dans les cas particuliers des adresses IP fixes paramétrées une fois pour toutes dans l ordinateur ou réservées par le réseau pour des postes donnés, il n y a pas obligatoirement un lien immuable entre un ordinateur, même fixe, et une adresse IP. Le réseau peut changer l adresse IP qu il attribue à un de ses clients. Inversement, un même ordinateur portable peut se connecter sur plusieurs réseaux avec ou sans fil, sous des adresses différentes.

Partie 2 En pratique : devant les tribunaux et la CNIL Mais comme le fournisseur d accès garde la mémoire des adresses qu il attribue, il est toujours possible, connaissant une adresse utilisée à un instant donné, de remonter à l ordinateur qui l utilisait et à son titulaire. Sur Internet, la trace la plus répandue de l identité de l internaute réside ainsi dans l adresse IP de son ordinateur. La capacité de relier, via une adresse IP, un historique de navigation à l identité d une personne permet de dresser le profil de cette dernière et de retracer ses activités, mettant ainsi en danger sa vie privée. Toutefois, l adresse IP est celle d une machine, non d une personne. De nombreux débats ont donc eu lieu pour déterminer si l adresse IP est une donnée personnelle. Enjeu du statut de l adresse IP Cette question représente notamment un enjeu dans la lutte contre le téléchargement illégal et dans la protection des droits d auteur. Elle conditionne, pour les sociétés propriétaires de droits, la possibilité de surveiller les téléchargements des internautes en les identifi ant par leur adresse IP. Si l adresse IP est une donnée à caractère personnel, alors sa surveillance sans autorisation est illégale. En 2006-2007, plusieurs décisions contradictoires ont été rendues concernant la protection à accorder à l adresse IP d un internaute, selon que cette donnée est considérée ou non comme personnelle. Le statut exact de l adresse IP vis-à-vis de la loi Informatique et Libertés a fait l obj et d interprétations divergentes selon les commentateurs et les juridictions. 1. CA Paris, 13 e chambre, section B, 27 avril 2007. 2. CA Paris 13 e chambre, section A, 15 mai 2007. Jurisprudences contre le statut de données personnelles Dans le cadre de deux procédures visant des échanges illégaux de fichiers musicaux, la cour d appel de Paris devait examiner la validité de procèsverbaux dressés par des agents assermentés des sociétés de gestion de droits d auteurs à l aide de traitements informatisés non déclarés préalablement à la CNIL. Ces agents avaient relevé les adresses IP des contrevenants et avaient ensuite obtenu leurs noms des fournisseurs d accès à Internet. L enjeu de la question posée à la cour était le suivant : Si l adresse IP est une donnée à caractère personnel, alors les procédures en cause, dressées de manière viciée, sont entachées de nullité. Si l adresse IP n est pas une donnée à caractère personnel, les procédures sont bien valides. La cour a estimé dans son arrêt du 27 avril 2007 1 que «l adresse IP ne permet pas d identifier le ou les personnes qui ont utilisé cet ordinateur, puisque seule l autorité légitime pour poursuivre l enquête (police ou gendarmerie) peut obtenir du fournisseur d accès l identité de l utilisateur.» Elle a précisé dans un arrêt du 15 mai 2007 consacré à une affaire similaire 2 que «cette série de chiffres en effet ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où 172

Chapitre 8 Débats et perspectives elle ne se rapporte qu à une machine, et non à l individu qui utilise l ordinateur pour se livrer à la contrefaçon.» La cour en conclut que l adresse IP ne constitue pas une donnée à caractère personnel et qu en conséquence son traitement ne relève pas de la loi Informatique et Libertés. Elle a donc validé les procédures en cause. Cette position semble pourtant contraire à la définition même des données à caractère personnel qui figure dans l article 2 de la loi Informatique et Libertés. S il est vrai que l adresse IP ne se rapporte qu à un ordinateur, elle permet toutefois de remonter à son utilisateur et donc d identifier indirectement ce dernier lorsque celui-ci est seul à avoir accès à la machine, et ce en mettant en œuvre «l ensemble des moyens» dont dispose «toute autre personne», en l occurrence la po lice ou la gendarmerie. Jurisprudences pour le statut de données personnelles Prises de position La CNIL s est inquiétée publiquement de ces deux arrêts dans un communiqué en août 2007 3, en soulignant que «l ensemble des autorités de protection des données des États membres de l Union européenne a récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.» La CNIL a demandé au Garde des Sceaux d examiner la possibilité d intenter un pourvoi en cassation contre cette jurisprudence, afin d obtenir de la cour une réponse claire sur le statut de l adresse IP, et a obtenu une réponse favorable du ministre. Toutefois ce recours n a pas eu lieu, compte tenu d un autre pourvoi en cassation formulé par une société de gestion de droits d auteur contre un arrêt de la cour d appel de Rennes dans une affaire similaire. Ce recours devait permettre à la Cour de cassation d exprimer sa position. Dans le même sens, le Conseil d État avait pour sa part considéré en 2007 que les adresses IP étaient des «données nominatives» 4. Jurisprudences D autres juridictions ont suivi la position de la CNIL. Ainsi, pour le tribunal de grande instance de Bobigny 5, «au regard de cette définition posée par la loi, l adresse IP constitue une donnée à caractère personnel en ce qu elle permet d identifier une personne en indiquant sans doute possible un ordinateur précis. Le numéro IP établit la correspondance entre l identifiant attribué lors de la connexion à l internaute et l identité de l abonné.» De même, dans son jugement du 6 septembre 2007, le tribunal de grande instance de Saint-Brieuc a estimé que «l adresse IP est, au sens strict, l identifiant d une machine lorsque celle-ci se connecte sur l Internet et non d une personne. Mais, au même titre qu un numéro de téléphone 3. L adresse IP est une donnée à caractère personnel pour l ensemble des CNIL européennes, www.cnil.fr, 2 août 2007. 4. Conseil d État, 10 e et 9 e soussections réunies, n 288149, 23 mai 2007. 5. TGI Bobigny, 15 e chambre, 14 décembre 2006. 173

Partie 2 En pratique : devant les tribunaux et la CNIL 6. CA Rennes, 3 e chambre, 22 mai 2008. 7. CA Rennes, 3 e chambre, 23 juin 2008, dossier 07/01495, arrêt 08/868. 8. Cass. Crim., 13 janvier 2009, www.legalis.net, cassant l arrêt CA Rennes du 22 mai 2008. n est, au sens strict, que celui d une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée, un numéro IP associé à un fournisseur d accès correspond nécessairement à la connexion d un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d accès. L adresse IP de la connexion associée au fournisseur d accès constituent un ensemble de moyens permettant de connaître le nom de l utilisateur. En l espèce il n est pas contestable que les informations recueillies [ ] constituaient des données à caractère personnelle [sic] ayant indirectement permis l identification de Monsieur J.P.» Cette décision a fait l objet d un appel devant la cour de Rennes. Cette cour, sur deux autres dossiers, s est prononcée dans le même sens : «L adresse IP de l internaute constitue une donnée indirectement nominative car, si elle ne permet pas par elle-même, d identifier le propriétaire du poste informatique, ni l internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenue par le fournisseur d accès à Internet.» 6 Bref, pour cette cour, «c est de façon pertinente que les premiers juges ont relevé que l adresse IP d un internaute constituait une donnée à caractère personnel.» 7 Dans l attente d une solution définitive Pistes nationales Un des arrêts rendus par la cour d appel de Rennes a été cassé par la Cour de cassation en 2009 8. Une décision sur le statut de l adresse IP était attendue à cette occasion. Mais en l espèce le litige concernait des relevés d adresses IP effectués manuellement. La Cour a rappelé que la loi Informatique et Libertés «s applique aux traitements automatisés de données à caractère personnel», pour décider qu elle ne s appliquait donc pas à la cause, puisque le traitement objet du litige était manuel. La Cour de cassation n a ainsi pas utilisé cette occasion de préciser le statut de l adresse IP, qui continue de faire l objet d appréciations divergentes de la part des tribunaux. Une solution pourrait également intervenir par voie législative. Le débat parlementaire du printemps 2009 sur la loi Création et Internet (HADOPI), qui abordait le problème de la collecte des adresses IP, aurait pu constituer l occasion de clarifier le statut de l adresse IP et de mettre fin aux divergences entre juridictions, mais ce point n a pas été abordé. Cette question a de nouveau été examinée en mars 2010, à l occasion de la discussion en première lecture au Sénat de la proposition de loi des sénateurs Détraigne et Escoffier «visant à mieux garantir le droit à la vie privée à l heure du numérique», mais le texte n a finalement pas été adopté par l Assemblée nationale. La question n est donc pas tranchée. 174

Chapitre 8 Débats et perspectives Pistes européennes Afin d assurer de manière incontestable une protection de l adresse IP en tant que donnée personnelle, certaines autorités ont souhaité obtenir une décision européenne sur ce sujet. Mais, comme le souligne le Contrôleur européen de la protection des données, une telle décision n est pas nécessairement souhaitable. En effet, comme pour toute donnée, le caractère personnel ou non de l adresse IP doit être évalué au cas par cas dans le cadre des définitions de la directive de 1995. Par ailleurs, créer un cadre juridique distinct pour ce type de donnée risquerait de faire perdre au dr oit son caractère d universalité et de neutralité technologique 9. Importance des circonstances L adresse IP doit-elle d ailleurs bénéficier du même statut quelles que soient les circonstances? Pour les imprimantes ou les proxys par exemple, qui disposent d une adresse IP pour se connecter au réseau, le caractère «personnel» de cette adresse n est pas envisageable. Il convient également de prendre en compte le fait que l identification d un utilisateur à partir d une adresse IP n est pas aussi automatique qu on pourrait le croire, notamment en cas d utilisateurs multiples comme dans le cas des cybercafés ou des ordinateurs en accès libre. Le même raisonnement pourrait s appliquer à l adresse IP : dans l absolu, il est possible de considérer qu une adresse IP n est pas une donnée personnelle. Pour qu elle le soit, il faut pouvoir démontrer que seule une personne donnée a pu utiliser l ordinateur en question pour la connexion mettant en cause cette adresse IP. Soit cette personne est la seule à pouvoir utiliser l ordinateur, soit celui-ci est partagé et dans ce cas un système sécurisé de comptes nominatifs permet de conserver en mémoire qui a fait quoi. Dans le cas contraire, faute de pouvoir assigner l usage de l ordinateur et donc de l adresse IP à une personne déterminée, il peut sembler contestable d assimiler l adresse IP à une donnée personnelle. Cette solution présente l inconvénient d être a posteriori : il faut avoir collecté l adresse IP et enquêté sur l ordinateur concerné pour savoir s il y a ou non un utilisateur identifiable. On prend ainsi le risque de s apercevoir après coup que l on n avait pas le droit de collecter cette adresse! En pratique, comme on ne peut savoir a priori si une adresse IP est personnelle ou pas, l application du principe de précaution oblige à la protéger dans tous les cas comme si elle était personnelle. Ce principe conduit à interdire tous traitement ou collecte de l adresse IP non autorisés et réalisés sans le consentement des personnes concernées, position adoptée par le G29. Il considère que si l adresse IP, même dynamique, d un abonné identifi é constitue «sans l ombre d un doute» une donnée personnelle, il n en est pas toujours ainsi. «À noter toutefois le cas particulier de certains types d adresses IP qui, dans certaines circonstances, ne permettent en fait pas 9. European Data Protection Supervisor, EDPS Comments on selected issues that arise from the IMCO report on the review of Directive 2002/22/EC (Universal service) & Directive 2002/58/ EC (eprivacy), 2 septembre 2008, 3-16. 175

Partie 2 En pratique : devant les tribunaux et la CNIL 10. Groupe de travail «Article 29» sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, 01248/07/FR, WP 136, 20 juin 2007, p. 18-19. Voir aussi Groupe de travail «Article 29» sur la protection des données, Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne, WP 37, 21 novembre 2000. l identification de l utilisateur, et ce pour diverses raisons d ordre technique et organisationnel. L exemple des adresses IP attribuées à un ordinateur dans un café Internet illustre cette situation, puisque dans ce cas aucune identification des clients n est requise. On pourrait faire valoir que les données collectées sur l utilisation d un ordinateur X pendant un certain laps de temps ne permettent pas l identification de l utilisateur à l aide de moyens raisonnables et que celles-ci ne sont donc pas des données à caractère personnel. Toutefois, il convient de relever qu il est très probable que les fournisseurs d accès Internet ignorent si l adresse IP en question permet ou non l identification, et qu ils traitent les données associées à cette IP de la même manière qu ils traitent les informations associées aux adresses IP d utilisateurs dûment enregistrés et identifiables. Ainsi, à moins que les fournisseurs d accès internet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisateurs non identifiables, par mesure de sécurité, ils devront traiter toutes les informations IP comme des données à caractère personnel.» 10 La passion suscitée par un tel débat technique, aussi bien chez les parlementaires que dans les médias, prouve que désormais sont largement appréhendés les enjeux de la protection des données personnelles face aux possibilités offertes par les nouvelles technologies. Le législateur, le gouvernement, la CNIL, les acteurs du numérique, ainsi que les utilisateurs se rejoignent dans une prise de conscience de la nécessité d agir pour mieux protéger la vie privée et pour permettr e une mise en œuvre satisfaisante des principes «Informatique et Libertés». Le nouveau projet de règlement européen La Commission européenne a constaté que la directive de 1995 a engendré, par transposition, 27 droits nationaux des données personnelles, dont la prise en compte constitue une charge pour les entreprises transeuropéennes qui doivent par exemple gérer 27 régimes de formalités différents. Elle souhaite donc remplacer cette directive (et celles qui l ont complétée) par un règlement permettant une homogénéisation de la protection des données personnelles dans toute l Union européenne. En effet, le règlement est directement applicable dans tous les États membres, sans nécessiter de transposition. Bien entendu, les tribunaux et les autorités de contrôle de chaque État pourront avoir chacun leur interprétation du règlement, mais le niveau de disparité devrait diminuer. Nous présentons ci-dessous les grandes lignes du projet présenté en 2012 par la Commission. Des modifications importantes sont tou tefois susceptibles d affecter ce projet au cours de son processus d adoption. 176

Chapitre 8 Débats et perspectives Renforcement des règles existantes Le projet de règlement renforce l exigence de consentement en demandant désormais un «consentement explicite», la charge de la preuve incombant au responsable de traitement. Il étend l obligation de notification des violations de sécurité, actuellement limitée aux seuls fournisseurs de services de communications électroniques, à tous les responsables de traitement. En cas de violation des données personnelles, l autorité de contrôle et éventuellement les personnes concernées devront être averties sous 24 heures. Il renforce également la protection des données de santé et rend dans certains cas obligatoire la désignation d un CIL (pour le secteur public et pour un certain nombre d entreprises). Le projet de règlement renforce aussi le rôle du G29 qui regroupe les autorités nationales de protection. Le montant maximum des sanctions des autorités de protection est porté à un million d euros ou, pour les entreprises, 2 % du chiffre d affaires mondial (contre 150 000 actuellement pour la CNIL). Catégories spéciales Le projet de règlement crée de nouveaux concepts, comme la protection des données concernant les enfants. Il précise les règles applicables pour les journalistes, les professionnels de santé, les employeurs, les statisticiens, les personnes sou mises au secret professionnel ainsi que pour les traitements d intérêt public. Nouvelles formalités Les formalités actuelles (déclarations, autorisations ) sont allégées. En revanche, le projet de règlement instaure pour le responsable une obligation de créer et de tenir à jour en interne toute la documentation concernant ses traitements, afin de permettre un contrôle effectif par les autorités de protection. Pour alléger les obligations pesant sur les entreprises transeuropéennes, le projet de règlement confie à la seule autorité de protection du pays où l entreprise a localisé son «établissement principal» la compétence sur tous les traitements opérés par cette entreprise dans l UE. À noter Cette proposition est critiquée par de nombreuses autorités nationales, dont la CNIL, qui dénoncent le manque de fondement juridique de la notion d établissement principal et craignent un détournement de cette mesure par les entreprises qui pourront implanter leur établissement principal dans les pays où les autorités sont les moins sévères. 177

Partie 2 En pratique : devant les tribunaux et la CNIL Pour les transferts hors de l Union, le projet de règlement accorde plus d importance aux BCR (Binding Corporate Rules), règles internes au sein de l entreprise destinataire qui garantissent une protection adéquate des données. Nouvelles obligations Le projet de règlement impose que l information donnée aux personnes concernées soit claire et compréhensible. Le responsable du traitement doit fournir aux personnes concernées des moyens simples, y compris électroniques, d exercer leurs droits. Il doit répondre aux demandes de ces dernières dans un délai défini et doit motiver ses refus éventuels. Le responsable de traitement doit pouvoir rendre compte de toutes les mesures prises (accountability) pour respecter la loi. Les responsables de traitements établis hors de l Union européenne, mais dont les traitement s concernent les citoyens de l UE, doivent désigner un représentant dans l UE. Nouvelles interdictions Le projet de règlement interdit au responsable de traitement de remettre les données aux autorités judiciaires ou administratives d un État hors de l Union, même sur réquisition de celles-ci, sans y être autorisé par un accord international ou par les autorités de protection européennes. Le règlement s oppose ainsi au Patriot Act américain qui permet au gouvernement des États-Unis d accéder à toute do nnée traitée par une entreprise américaine, même en-dehors de leur territoire. Nouveaux droits Le projet de règlement crée pour les personnes concernées un «droit à l oubli», qui consiste à pouvoir obtenir l effacement des données, de leurs copies et des liens Internet qui y mènent. Autre création, un «droit à la portabilité», qui consiste à pouvoir récupérer ses données sous un format permettant le transfert vers un autre traitement de son choix. Le droit d opposition est complété par un droit à ne pas faire l objet d un profilage. Enfin, les associations de défe nse des consommateurs pourront porter plainte au nom des personnes concernées. 178

Chapitre 8 Débats et perspectives Débat à suivre Le processus d adoption du projet de règlement n en est qu à ses débuts. Toutes les parties intéressées, aussi bien les autorités nationales de protection des données comme la CNIL que les associations de défense des consommateurs et celles représentant les professionnels du secteur, sans oublier bien sûr les entreprises gérant des données personnelles, ont réagi au projet de la Commission et proposé des amendements. Le texte sera présenté au Parlement européen pour discussion, et des évolutions majeures auront sans doute lieu. La protection des données personnelles constitue l un des défis les plus importants lancés à la société par les technologies numériques. Le grand public et les décideurs se sont emparés de la question. Aussi, nul doute que les années à venir ne soient jalonnées de débats multiples sur les mesures à adopter, les règles à instaurer, les comportements à faire évoluer Désormai s, il ap partient à chacun d entre nous d être acteur de sa propre protection. 179

Index A accès ou maintien frauduleux dans un STAD 85 adresses IP 171 agrément 88 atteinte aux systèmes de traitement automatisé de données 84 autorisation 59 unique 61 autorité de contrôle 22 avertissement 68, 70, 162 public 152 B BCR 142 Binding Corporate Rules 142 C CIL 61, 99, 177 clauses contractuelles de protection 142 CNIL 55, 147, 163 Code civil 75 Code pénal 94 collecte 42, 48, 120, 134 consentement 19, 45, 125, 139, 177 conservation des données de connexion 23, 77 contrôles 65 cookies 24, 44 correspondant à la protection des données à caractère personnel 61, 99, 177 Correspondant Informatique et Libertés 61, 99, 177 D déclaration normale 59 simplifiée 59 destinataire des données 33 détournement de finalité 135 directive 16 dispense de déclaration 56 divulgation d informations susceptibles de porter atteinte à la considération ou à l intimité de la vie privée 138 données à caractère personnel 30 de santé 177 «sensibles» 15, 17, 49, 130, 132, 155 droit à l oubli 178 d accès 14, 45 de modification 14 de rectification 46 d opposition 14, 47 durée de conservation 49 E éditeur 41, 77

Traitement des données personnelles Le guide juridique entrave à l action de la CNIL 66, 72 au fonctionnement d un STAD 86 exportation 15, 18, 53, 58, 141, 156 F fichier 32, 34 finalité 49, 135 du traitement 15 formalités 22, 58, 177 H hébergement des données de santé 87 hébergeur 40, 77, 117 I information 43 et consentement 15 infractions 94 injonction de cesser le traitement 68, 159 interconnexion 60 L labellisation 65 LCEN 40, 79, 117, 123 limitation de la durée de conservation 15 M mise en demeure 68, 70, 147, 148, 162 modification frauduleuse des données d un STAD 87 N négligence 100 non-respect de la limitation de durée de conservation des données 110 de l obligation de notification des violations de sécurité 108 de l obligation de sécurisation 103 de l obligation d information 112 des droits d information et d accès 111 des formalités préalables 97 des règles pour les traitements de recherche dans le domaine de la santé 109 du droit d accès et de communication 112 du droit de rectification, de mise à jour et d effacement 114 normes simplifiées 56 notification des violations de sécurité 52, 177 numéro de sécurité sociale 130, 132 O obligation de moyens 18, 104 de notification des violations de sécurité 24 opérateurs de communications électroniques 76 de télécoms 76 opposition 21, 47, 122, 125, 178 opt-in 25, 123 opt-out 25, 123 P peines complémentaires 94 personne concernée 32 phishing 80, 121 presse 131, 140 prospection commerciale 23, 25, 79, 126 186

Index Q qualité des données 15, 17 R récépissé 59 récidive 115, 156 rectification 46 règlement 16, 176 responsabilité des personnes morales 95, 115 récidive 115, 156 responsable du traitement 33, 149, 177 S SAFARI 27 Safe Harbor 18, 58, 143 sanction 68, 96, 147, 177 pécuniaire 68, 149, 150, 158, 160 sécurisation 51 sécurité 17, 23 des données 15 sous-traitant 33 spam 23, 79, 80, 121, 123 STAD 84 système de traitement automatisé de données 84 T territoire français 36 traitement automatisé 34 de données 32 transfert de données 141, 156 exportation 15, 18, 58 tribunal 97, 119, 163 V vie privée 9 11, 39, 41, 42, 75, 138 violations de sécurité 52 187

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back