La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La protection des données personnelles et la contractualisation sur Internet

Présentations similaires


Présentation au sujet: "La protection des données personnelles et la contractualisation sur Internet"— Transcription de la présentation:

1 La protection des données personnelles et la contractualisation sur Internet

2 I - La protection des données personnelles

3 Loi du 6 janvier 1978 (loi Informatique et libertés) : première loi européenne sur les données nominatives Directive du 24 octobre 1995 sur la protection des personnes physiques à légard de traitements de données à caractère personnel et à la libre circulation des données Loi du 6 août 2004 (LIL) => transposition de la Directive Introduction : textes applicables I - La protection des données personnelles

4 I.1 - Champ dapplication A - Champ dapplication territorial La LIL sapplique aux traitements dont le responsable : Est établi sur le territoire français Nest pas établi en France, mais recourt à des moyens de traitement situés sur le territoire français La LIL ne sapplique pas : quand le responsable du traitement nest pas établi en France et ne recourt à aucun moyen situé en France Aux prestataires de services fournissant des copies temporaires (catching) I - La protection des données personnelles

5 B - Champ dapplication matériel Un fichier de données : un ensemble structuré et stable de données accessible selon des critères déterminés Un traitement –Définition : toute opération, quel que soit le procédé utilisé et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation, la modification, lextraction, la consultation, lutilisation, la communication, le rapprochement, linterconnexion … –Caractère automatisé ou non du traitement Lautomatisation nest donc plus un critère dapplication Application des obligations de déclaration aux fichiers papier Exception : –Traitement mis en œuvre pour lexercice dactivités exclusivement personnelles => application de la loi LIL pour des fichiers même partiellement professionnel I - La protection des données personnelles

6 B - Champ dapplication matériel (suite) Les données concernées –Loi de 1978 : données nominatives –Loi de 2004 : données à caractère personnel Toute information relative à une personne identifiée ou pouvant être identifiée par un numéro didentification ou un ou plusieurs éléments qui lui sont propres Enregistrements visuels de vidéosurveillance permettant didentifier directement ou indirectement une personne I - La protection des données personnelles

7 C - Application dans le temps La mise en conformité : les responsables de traitements dont « la mise en œuvre est régulièrement intervenue » avant la publication de la nouvelle loi disposent de trois ans (avant le 6 août 2007) –Si mise en conformité na pas pour effet de modifier les caractéristiques => les traitements sont alors réputés conforme à la nouvelle loi I - La protection des données personnelles

8 Le responsable du traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement –Assujetti à la responsabilité civile et pénale, –Responsabilité pénale y compris pour les personnes morales I - La protection des données personnelles I.2 – Qui est assujetti ?

9 Le sous-traitant : « Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement » –Agit sous lautorité et sur instruction du responsable du traitement –« Doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » –Le responsable du traitement nest pas déchargé de « son obligation de veiller au respect des mesures » –Le contrat écrit doit prévoir : Lindication des obligations du sous traitant en matière de sécurité et de confidentialité Le sous traitant agit sous instruction du responsable Le prestataire de service de certification électronique peut traiter des données sous conditions : –Pour les seuls besoins de la délivrance et conservation des certificats liés aux signatures électroniques et si les données sont directement collectées auprès de la personne concernée aux fins en vue desquelles elles ont été recueillies I - La protection des données personnelles

10 I – 3 Conditions de licéité A - Dispositions générales Les données doivent être : –Collectées et traitées de manière loyale et licite –Collectées pour des finalités déterminées, explicites et légitimes Recueil du consentement de la personne concernée Absence de recueil du consentement en cas de satisfaction des conditions particulières : –Respect dune obligation légale incombant au responsable de traitement –Sauvegarde de la vie de la personne concernée –Exécution dune mission de service public –Exécution dun contrat auquel la personne concernée est partie –Réalisation de lintérêt légitime poursuivi par le responsable du traitement ou par le destinataire I - La protection des données personnelles

11 Obligation de preuve du consentement à la charge du responsable du traitement (système du opt-in) –Nécessité détablir le consentement de la personne lors de la collecte Sur internet : des cases doivent être proposées aux internautes pour établir leur consentement, elles ne doivent cependant pas être « pré-cochées » –Exigence dun consentement exprès supplémentaire pour : Traiter des données « sensibles » Traiter des données pour une nouvelle finalité Transférer les données vers un état hors UE qui na pas un niveau de protection suffisant Consentement exigé pour chacune de ces hypothèses (ex : par le biais de cases à cocher supplémentaires) I - La protection des données personnelles

12 B - Dispositions propre à certaines catégories de données Les données sensibles : données faisant apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, lappartenance syndicale ou relatives à la santé ou la vie sexuelle –Principe : interdiction de collecte –Dérogation : consentement exprès de la personne concernée, nécessaire à la sauvegarde de la vie humaine, association ou organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical Données relatives aux infractions et condamnations –Ne peuvent être mises en œuvre que par : les juridictions, autorités publiques et personnes morales gérant un service public Les auxiliaires de justice pour les stricts besoins de lexercice de leur mission Les sociétés de perception et répartition des droits dauteur aux fins dassurer la gestion des droits quelles assurent I - La protection des données personnelles

13 I – 4 Obligations relatives à la collecte A - Informations obligatoires La personne concernée doit être informée : –1° De lidentité du responsable du traitement –2° De la finalité du traitement –3° Du caractère obligatoire ou facultatif des réponses –4° Des conséquences dun défaut de réponse –5° Des destinataires des données –6° Des droits quelle détient, –7° Des transferts de données à destination dun État hors UE Obligation renforcée puisque exigée lors de la collecte directe auprès de la personne concernée, mais également lors de la collecte indirecte (cf cessions de fichiers) lors de communication aux tiers I - La protection des données personnelles

14 B - Pour les autres procédés de collecte Par voie de questionnaire : la personne concernée doit être informée de lidentité du responsable, de la finalité poursuivie, du caractère obligatoire ou non des réponses et de ses droits Sur un réseau de communications électroniques –Principe dinformation claire et complète sur la finalité du traitement les moyens dopposition (cas des cookies) au traitement de ses données –Absence dinformation si Stockage a pour seule finalité de faciliter la communication électronique Stockage strictement à la fourniture du service I - La protection des données personnelles

15 C - Dispositions particulières Collecte initiale de données pour un autre objet => pas de nouvelle information si : –Personne déjà informée de cet autre finalité ou finalité compatible avec la première –Traitement destiné à la conservation des données à des fins historiques, statistiques ou scientifiques –Information impossible ou « exige des efforts disproportionnés par rapport à lintérêt de la démarche » Certains traitements nexigent pas lobligation dinformation : –Procédé danonymisation –Pour le compte de lÉtat et intéressant la défense, sécurité publique ou ayant pour objet lexécution de condamnations pénales ou de mesures de sûreté –Pour objet la prévention, la recherche, la constatation ou la poursuite dinfractions pénales I - La protection des données personnelles

16 I – 5 Droits de la personne Trois droits à respecter Incombe au responsable de traitement de mettre en œuvre les moyens pour une information et un exercice de ces droits A - Le droit dopposition Au traitement de ses données, sous réserve de motifs légitimes –Informations susceptibles de nuire à la vie privée –Référence à larticle 1 de la LIL : ne pas porter atteinte à lidentité de lhumaine, aux droits de lhomme, à la vie privée, aux libertés individuelles ou publiques Opposition sans justification et « sans frais » à une utilisation commerciale à des fins de prospection I - La protection des données personnelles

17 B - Le droit daccès Possibilité dinterrogation du responsable sur les données traitées, la finalité, les transmission hors UE Délivrance dune copie des données à la personne concernée (ne pouvant excéder le coût de la reproduction) Refus des demandes manifestement abusives (par leur nombre ou leur caractère répétitif, systématique) : la charge de la preuve appartient au responsable C - Le droit de rectification Modification des données « inexactes, incomplètes, équivoques, périmées, ou dont la collecte, lutilisation, la communication ou la conservation est interdite » Le responsable devra justifier quil a procédé aux opérations exigées et en cas de données transmises à un tiers, le responsable devra lui notifier les opérations modificatives effectuées (suivi de la commercialisation des données traitées) Le responsable du traitement peut sopposer à une demande de rectification si Données communiquées par la personne Données collectées indirectement mais avec le consentement de la personne I - La protection des données personnelles

18 I- 6 Obligations de déclaration A - Procédure de déclaration Le principe : obligation de déclaration préalable –Pour les traitements automatisés de données non sensibles Tempérament : déclaration simplifiée –Pour les traitements de catégories les plus courantes qui ne portent pas atteinte à la vie privée et aux libertés –La CNIL édicte des normes simplifiant lobligation de déclaration Norme simplifiée n°48 relative aux fichiers de clients et prospects I - La protection des données personnelles

19 Exception : absence de déclaration préalable –Traitements dont soccupe le CPD –Traitements ayant pour seul objet la tenue dun registre dont la finalité est linformation publique –Traitements définis par la CNIL comme faisant lobjet dune dispense Ainsi, la CNIL permet de dispenser de déclaration certains traitements qui ne sont pas susceptibles, dans le cadre de leur utilisation régulière, de porter atteinte à la vie privée ou aux libertés des personnes Ex : Les employeurs nont désormais plus à déclarer les fichiers de paie, les traitements relatifs aux déclarations sociales obligatoires ou la gestion informatisée des registres obligatoires I - La protection des données personnelles

20 B - Procédure dautorisation Régime particulier en raison de : –Nature des données traitées (données dites « sensibles » ou « à risque ») –Finalité du traitement Procédure plus lourde : fichiers soumis à autorisation de la CNIL –Traitement statistique INSEE –Données à caractère politique, philosophique… –Données génétiques –Infractions sauf ceux mis en œuvre par auxiliaires de justice –Traitement susceptible dexclure des personnes dun droit, dun contrat (liste noire, interdit bancaire) I - La protection des données personnelles

21 C - Modalités particulières de procédure Les déclarations ordinaires ou simplifiées peuvent désormais être faites par voie électronique Déclaration unique pour « les traitements relevant dun même organisme et ayant des finalités identiques ou liées » Autorisations par décision unique pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires » I - La protection des données personnelles

22 I – 7 Exploitation des données A – Exploitation commerciale Communication des données à des tiers –Au sein de EU : seulement une information de la personne concernée de cette possibilité lors de la collecte –Hors EU : Pays satisfaisant un niveau de protection suffisant A défaut, nécessité dun consentement exprès Pas de recueil de consentement quand linformation est impossible ou exigeant des efforts disproportionnés par rapport à lintérêt de la démarche Droit dopposition gratuit et sans justification pour la personne concernée « à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale » I - La protection des données personnelles

23 B - Exploitation pour le profilage la LIL précise qu « aucune autre décision produisant des effets juridiques à légard dune personne ne peut être prise sur le seul fondement dun traitement automatisé de données destiné à définir le profil de lintéressé ou à évaluer certains aspects de sa personnalité » –Cet article ninterdit pas le principe du profilage –Il en interdit lutilisation Cependant, « ne sont pas regardées comme prise sur le seul fondement dun traitement les décisions prises dans le cadre de la conclusion ou de lexécution dun contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée » –Critère cumulatif « et » : existence dun contrat et présentation dobservations I - La protection des données personnelles

24 Le correspondant à la protection des données (CPD) : « chargé dassurer, dune manière indépendante, le respect des obligations prévues dans la loi » Grande nouveauté adoptée dans le but de pallier aux manquements des entreprises quant à leur obligation de déclaration –Nommé librement par le responsable du traitement sous réserve des qualités requises Le texte ne précise pas quelles sont ces compétences requises Personne physique/ morale Employé de lorganisme ou tiers I - La protection des données personnelles I-8 le CPD

25 Le correspondant à la protection des données (CPD) : Fonctions indépendantes Absence de conflit dintérêt avec ses fonctions exercées en même temps oDirecteur de lorganisme ne peut alors pas être correspondant Interdiction au responsable du traitement dinterférer dans laccomplissement de ses fonctions I - La protection des données personnelles

26 –Missions du CPD Assurer le respect des obligations prévues dans la LIL oEn cas de difficulté, possibilité de saisir la CNIL Rôle dalerte et de conseil Interlocuteur privilégié de la CNIL et des personnes concernées par le traitement Liste des missions non exhaustives contrairement à dautres pays comme lAllemagne, Pays-Bas, Suède qui ont déjà délimité clairement les missions –Responsabilité du CPD Il ne peut faire lobjet daucune sanction de la part de lemployeur du fait de laccomplissement de ses missions de CPD En cas de défaillance ou de manquement => déchargé de ses fonctions sur demande du responsable du traitement ou de la CNIL oLe responsable est alors tenu de procéder lui même aux déclarations I - La protection des données personnelles

27 I – 9 Les pouvoirs de la CNIL A - Pouvoir dinvestigation Vérification sur place entre 6 h et 21 h après information au procureur de la République –Procède à des copies, analyse de documents Si opposition du responsable des lieux => nécessité dune ordonnance motivée du TGI –Se pose le cas des autorisations a priori pour créer un effet de surprise En cas dopposition de délivrance de documents ou de délivrance de documents erronés => délit dentrave puni dun an demprisonnement et de damende I - La protection des données personnelles

28 B - Pouvoir de sanction Sanctions graduées Prononcer des avertissements à lencontre dune entreprise Délivrer des mises en demeure au responsable En cas durgence : Procéder à des injonctions de cesser le traitement ou à des retraits de lautorisation Décider linterruption de la mise en œuvre du traitement ou le verrouillage de certaines données Demander en référé « toute mesure de sécurité nécessaire à la sauvegarde » des droits de la personne concernée I - La protection des données personnelles

29 C - Sanctions pécuniaires : Montant de la sanction proportionnel à la gravité du manquement et aux avantages tirés de ce manquement –Établissement dun plafond cependant : euros pour un premier manquement et euros en cas de récidive dans les 5 ans Lentrave aux actions de la CNIL par le responsable du traitement est passible dun an demprisonnement et de euros damende Ce sont les articles à 24 qui régissent les sanctions des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques Pouvoirs renforcés de la CNIL qui agit en tant que véritable autorité administrative indépendante (AAI) dotée de pouvoirs coercitifs I - La protection des données personnelles

30 II - La contractualisation sur Internet

31 Textes applicables Existence dun régime spécifique pour les contrats conclus sous forme électronique –article 25 de la Loi pour la Confiance en lÉconomie Numérique en date du 21 juin 2004, dite LCEN –Dont sont issus les articles et suivants du Code civil Régime de la vente à distance : article L et suivants du Code de la consommation II – Contractualisation sur Internet

32 II- 1 La légalité du contrat électronique Un contrat = un écrit –A titre de preuve –A titre de validité Principe de légalité de lécrit électronique –Article du CC : légalité de lécrit électronique même quand un écrit est exigé pour la validité de lacte –Conditions de validité de cet écrit (article et du CC pour les actes sous seing privé, article 1317 pour les actes authentiques) – Identification de la personne dont il émane – Établissement et conservation dans des conditions garantissant son intégrité – Mention manuscrite => apposition sous format électronique si ces conditions garantissent le lien entre la personne et lécrit (authentification/ signature électronique) Exceptions à ladmissibilité dun écrit électronique - les actes relatifs au droit de la famille et des successions - les actes relatifs à des sûretés personnelles ou réelles, de nature civile ou commerciale, sauf sils sont passés par une personne pour les besoins de sa profession. II – Contractualisation sur Internet

33 II -2 le processus de contractualisation A - Conditions afférentes au droit de la consommation –Linformation préalable : article L Identification du vendeur Frais de livraison Modalités de paiement, livraison et exécution Existence dun droit de rétractation Durée de validité de loffre Durée minimale du contrat –La confirmation de ces informations au plus tard au moment de la livraison sur un support durable + adresse pour les réclamations,; informations sur le service après vente –Délai dexécution de 30 jours sauf délai autre convenu, à défaut remboursement –Droit de rétractation, sauf en matière de prestations de services fournis à une date ou périodicité déterminée (séjours touristiques) Délai de 7 jours francs –À compter de la réception pour les biens –À compter de lacceptation de loffre pour les prestations de services Sans motivation Sans pénalité sauf frais de retour –Exclusion des ventes sur catalogues II – Contractualisation sur Internet

34 B – Conditions afférentes à la conclusion par voie électronique Conditions afférentes à loffre : art du CC –Mise à disposition des conditions contractuelles –Conservation et reproduction de ces conditions contractuelles Conditions afférentes au consentement –Certitude de lacceptation des conditions contractuelles –Preuve du consentement Mentions particulières de loffre –Étapes à suivre pour conclure le contrat => signalétique de contractualisation –Moyens techniques pour lutilisateur didentifier les erreurs et de les corriger => zones obligatoires et bloquantes –Langues de contractualisation –Modalités darchivage –Règles professionnelles auxquelles le vendeur entend se soumettre II – Contractualisation sur Internet

35 Principes dune conclusion en deux temps (le double clic) : art du CC –Deux étapes de contractualisation pour lacheteur Première étape : possibilité à lacheteur de vérifier le détail de sa commande ainsi que son prix total, et de corriger déventuelles erreurs Deuxième étape : confirmation de la commande pour acceptation –Une obligation pour le vendeur : accusé réception « sans délai injustifié » Exceptions : art du CC –deux exceptions au processus de contractualisation en deux étapes les contrats pour des prestations de services ou fournitures de biens conclus exclusivement par échange de courriers électroniques, les contrats entre professionnels –Interprétation stricte de la notion de professionnel II – Contractualisation sur Internet

36 MERCI BISMUTH Avocats Me Muriel ARTIS 63, avenue du Maréchal de Saxe – BP 3167 – – LYON Cedex 03 Tél. : – fax :


Télécharger ppt "La protection des données personnelles et la contractualisation sur Internet"

Présentations similaires


Annonces Google