La protection des données personnelles et

Présentation au sujet: "La protection des données personnelles et"— Transcription de la présentation:

1 La protection des données personnelles et
la contractualisation sur Internet

2 I - La protection des données personnelles

3 Introduction : textes applicables
I - La protection des données personnelles Introduction : textes applicables Loi du 6 janvier 1978 (loi Informatique et libertés) : première loi européenne sur les données nominatives Directive du 24 octobre 1995 sur la protection des personnes physiques à l’égard de traitements de données à caractère personnel et à la libre circulation des données Loi du 6 août 2004 (LIL) => transposition de la Directive

4 I.1 - Champ d’application
I - La protection des données personnelles I.1 - Champ d’application A - Champ d’application territorial La LIL s’applique aux traitements dont le responsable : Est établi sur le territoire français N’est pas établi en France, mais recourt à des moyens de traitement situés sur le territoire français La LIL ne s’applique pas : quand le responsable du traitement n’est pas établi en France et ne recourt à aucun moyen situé en France Aux prestataires de services fournissant des copies temporaires (catching)

5 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Champ d’application matériel Un fichier de données : un ensemble structuré et stable de données accessible selon des critères déterminés Un traitement Définition : toute opération , quel que soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication, le rapprochement, l’interconnexion … Caractère automatisé ou non du traitement L’automatisation n’est donc plus un critère d’application Application des obligations de déclaration aux fichiers papier Exception : Traitement mis en œuvre pour l’exercice d’activités exclusivement personnelles => application de la loi LIL pour des fichiers même partiellement professionnel

6 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Champ d’application matériel (suite) Les données concernées Loi de 1978 : données nominatives Loi de 2004 : données à caractère personnel Toute information relative à une personne identifiée ou pouvant être identifiée par un numéro d’identification ou un ou plusieurs éléments qui lui sont propres Enregistrements visuels de vidéosurveillance permettant d’identifier directement ou indirectement une personne

7 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles C - Application dans le temps La mise en conformité : les responsables de traitements dont « la mise en œuvre est régulièrement intervenue » avant la publication de la nouvelle loi disposent de trois ans (avant le 6 août 2007) Si mise en conformité n’a pas pour effet de modifier les caractéristiques => les traitements sont alors réputés conforme à la nouvelle loi

8 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles I.2 – Qui est assujetti ? Le responsable du traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement Assujetti à la responsabilité civile et pénale, Responsabilité pénale y compris pour les personnes morales

9 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles Le sous-traitant : « Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement » Agit sous l’autorité et sur instruction du responsable du traitement « Doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » Le responsable du traitement n’est pas déchargé de « son obligation de veiller au respect des mesures » Le contrat écrit doit prévoir : L’indication des obligations du sous traitant en matière de sécurité et de confidentialité Le sous traitant agit sous instruction du responsable Le prestataire de service de certification électronique peut traiter des données sous conditions : Pour les seuls besoins de la délivrance et conservation des certificats liés aux signatures électroniques et si les données sont directement collectées auprès de la personne concernée aux fins en vue desquelles elles ont été recueillies

10 I – 3 Conditions de licéité
I - La protection des données personnelles I – 3 Conditions de licéité A - Dispositions générales Les données doivent être : Collectées et traitées de manière loyale et licite Collectées pour des finalités déterminées, explicites et légitimes Recueil du consentement de la personne concernée Absence de recueil du consentement en cas de satisfaction des conditions particulières : Respect d’une obligation légale incombant au responsable de traitement Sauvegarde de la vie de la personne concernée Exécution d’une mission de service public Exécution d’un contrat auquel la personne concernée est partie Réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire

11 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles Obligation de preuve du consentement à la charge du responsable du traitement (système du opt-in) Nécessité d’établir le consentement de la personne lors de la collecte Sur internet : des cases doivent être proposées aux internautes pour établir leur consentement, elles ne doivent cependant pas être « pré-cochées » Exigence d’un consentement exprès supplémentaire pour : Traiter des données « sensibles » Traiter des données pour une nouvelle finalité Transférer les données vers un état hors UE qui n’a pas un niveau de protection suffisant Consentement exigé pour chacune de ces hypothèses (ex : par le biais de cases à cocher supplémentaires)

12 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Dispositions propre à certaines catégories de données Les données sensibles : données faisant apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ou relatives à la santé ou la vie sexuelle Principe : interdiction de collecte Dérogation : consentement exprès de la personne concernée, nécessaire à la sauvegarde de la vie humaine, association ou organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical Données relatives aux infractions et condamnations Ne peuvent être mises en œuvre que par : les juridictions, autorités publiques et personnes morales gérant un service public Les auxiliaires de justice pour les stricts besoins de l’exercice de leur mission Les sociétés de perception et répartition des droits d’auteur aux fins d’assurer la gestion des droits qu’elles assurent

13 I – 4 Obligations relatives à la collecte
I - La protection des données personnelles I – 4 Obligations relatives à la collecte A - Informations obligatoires La personne concernée doit être informée : 1° De l’identité du responsable du traitement 2° De la finalité du traitement 3° Du caractère obligatoire ou facultatif des réponses 4° Des conséquences d’un défaut de réponse 5° Des destinataires des données 6° Des droits qu’elle détient, 7° Des transferts de données à destination d’un État hors UE Obligation renforcée puisque exigée lors de la collecte directe auprès de la personne concernée, mais également lors de la collecte indirecte (cf cessions de fichiers) lors de communication aux tiers

14 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Pour les autres procédés de collecte Par voie de questionnaire : la personne concernée doit être informée de l’identité du responsable, de la finalité poursuivie, du caractère obligatoire ou non des réponses et de ses droits Sur un réseau de communications électroniques Principe d’information claire et complète sur la finalité du traitement les moyens d’opposition (cas des cookies) au traitement de ses données Absence d’information si Stockage a pour seule finalité de faciliter la communication électronique Stockage strictement à la fourniture du service

15 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles C - Dispositions particulières Collecte initiale de données pour un autre objet => pas de nouvelle information si : Personne déjà informée de cet autre finalité ou finalité compatible avec la première Traitement destiné à la conservation des données à des fins historiques, statistiques ou scientifiques Information impossible ou « exige des efforts disproportionnés par rapport à l’intérêt de la démarche » Certains traitements n’exigent pas l’obligation d’information : Procédé d’anonymisation Pour le compte de l’État et intéressant la défense, sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté Pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales

16 I – 5 Droits de la personne
I - La protection des données personnelles I – 5 Droits de la personne Trois droits à respecter Incombe au responsable de traitement de mettre en œuvre les moyens pour une information et un exercice de ces droits A - Le droit d’opposition Au traitement de ses données, sous réserve de motifs légitimes Informations susceptibles de nuire à la vie privée Référence à l’article 1 de la LIL : ne pas porter atteinte à l’identité de l’humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques Opposition sans justification et « sans frais » à une utilisation commerciale à des fins de prospection

17 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Le droit d’accès Possibilité d’interrogation du responsable sur les données traitées, la finalité, les transmission hors UE Délivrance d’une copie des données à la personne concernée (ne pouvant excéder le coût de la reproduction) Refus des demandes manifestement abusives (par leur nombre ou leur caractère répétitif, systématique) : la charge de la preuve appartient au responsable C - Le droit de rectification Modification des données « inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » Le responsable devra justifier qu’il a procédé aux opérations exigées et en cas de données transmises à un tiers, le responsable devra lui notifier les opérations modificatives effectuées (suivi de la commercialisation des données traitées) Le responsable du traitement peut s’opposer à une demande de rectification si Données communiquées par la personne Données collectées indirectement mais avec le consentement de la personne

18 I- 6 Obligations de déclaration
I - La protection des données personnelles I- 6 Obligations de déclaration A - Procédure de déclaration Le principe : obligation de déclaration préalable Pour les traitements automatisés de données non sensibles Tempérament : déclaration simplifiée Pour les traitements de catégories les plus courantes qui ne portent pas atteinte à la vie privée et aux libertés La CNIL édicte des normes simplifiant l’obligation de déclaration Norme simplifiée n°48 relative aux fichiers de clients et prospects

19 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles Exception : absence de déclaration préalable Traitements dont s’occupe le CPD Traitements ayant pour seul objet la tenue d’un registre dont la finalité est l’information publique Traitements définis par la CNIL comme faisant l’objet d’une dispense Ainsi, la CNIL permet de dispenser de déclaration certains traitements qui ne sont pas susceptibles, dans le cadre de leur utilisation régulière, de porter atteinte à la vie privée ou aux libertés des personnes Ex : Les employeurs n’ont désormais plus à déclarer les fichiers de paie, les traitements relatifs aux déclarations sociales obligatoires ou la gestion informatisée des registres obligatoires

20 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Procédure d’autorisation Régime particulier en raison de : Nature des données traitées (données dites « sensibles » ou « à risque ») Finalité du traitement Procédure plus lourde : fichiers soumis à autorisation de la CNIL Traitement statistique INSEE Données à caractère politique, philosophique… Données génétiques Infractions sauf ceux mis en œuvre par auxiliaires de justice Traitement susceptible d’exclure des personnes d’un droit, d’un contrat (liste noire, interdit bancaire)

21 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles C - Modalités particulières de procédure Les déclarations ordinaires ou simplifiées peuvent désormais être faites par voie électronique Déclaration unique pour « les traitements relevant d’un même organisme et ayant des finalités identiques ou liées » Autorisations par décision unique pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires »

22 I – 7 Exploitation des données
I - La protection des données personnelles I – 7 Exploitation des données A – Exploitation commerciale Communication des données à des tiers Au sein de EU : seulement une information de la personne concernée de cette possibilité lors de la collecte Hors EU : Pays satisfaisant un niveau de protection suffisant A défaut, nécessité d’un consentement exprès Pas de recueil de consentement quand l’information est impossible ou exigeant des efforts disproportionnés par rapport à l’intérêt de la démarche Droit d’opposition gratuit et sans justification pour la personne concernée « à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale »

23 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Exploitation pour le profilage la LIL précise qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité » Cet article n’interdit pas le principe du profilage Il en interdit l’utilisation Cependant, « ne sont pas regardées comme prise sur le seul fondement d’un traitement les décisions prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée » Critère cumulatif « et » : existence d’un contrat et présentation d’observations

24 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles I-8 le CPD Le correspondant à la protection des données (CPD) : « chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la loi » Grande nouveauté adoptée dans le but de pallier aux manquements des entreprises quant à leur obligation de déclaration Nommé librement par le responsable du traitement sous réserve des qualités requises Le texte ne précise pas quelles sont ces compétences requises Personne physique/ morale Employé de l’organisme ou tiers

25 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles Le correspondant à la protection des données (CPD) : Fonctions indépendantes Absence de conflit d’intérêt avec ses fonctions exercées en même temps Directeur de l’organisme ne peut alors pas être correspondant Interdiction au responsable du traitement d’interférer dans l’accomplissement de ses fonctions

26 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles Missions du CPD Assurer le respect des obligations prévues dans la LIL En cas de difficulté, possibilité de saisir la CNIL Rôle d’alerte et de conseil Interlocuteur privilégié de la CNIL et des personnes concernées par le traitement Liste des missions non exhaustives contrairement à d’autres pays comme l’Allemagne, Pays-Bas, Suède qui ont déjà délimité clairement les missions Responsabilité du CPD Il ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions de CPD En cas de défaillance ou de manquement => déchargé de ses fonctions sur demande du responsable du traitement ou de la CNIL Le responsable est alors tenu de procéder lui même aux déclarations

27 I – 9 Les pouvoirs de la CNIL
I - La protection des données personnelles I – 9 Les pouvoirs de la CNIL A - Pouvoir d’investigation Vérification sur place entre 6 h et 21 h après information au procureur de la République Procède à des copies, analyse de documents Si opposition du responsable des lieux => nécessité d’une ordonnance motivée du TGI Se pose le cas des autorisations a priori pour créer un effet de surprise En cas d’opposition de délivrance de documents ou de délivrance de documents erronés => délit d’entrave puni d’un an d’emprisonnement et de € d’amende

28 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles B - Pouvoir de sanction Sanctions graduées Prononcer des avertissements à l’encontre d’une entreprise Délivrer des mises en demeure au responsable En cas d’urgence : Procéder à des injonctions de cesser le traitement ou à des retraits de l’autorisation Décider l’interruption de la mise en œuvre du traitement ou le verrouillage de certaines données Demander en référé « toute mesure de sécurité nécessaire à la sauvegarde » des droits de la personne concernée

29 bismuth@bismuth-avocats.com http://www.bismuth-avocats.com
I - La protection des données personnelles C - Sanctions pécuniaires : Montant de la sanction proportionnel à la gravité du manquement et aux avantages tirés de ce manquement Établissement d’un plafond cependant : euros pour un premier manquement et euros en cas de récidive dans les 5 ans L’entrave aux actions de la CNIL par le responsable du traitement est passible d’un an d’emprisonnement et de euros d’amende Ce sont les articles à 24 qui régissent les sanctions des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques Pouvoirs renforcés de la CNIL qui agit en tant que véritable autorité administrative indépendante (AAI) dotée de pouvoirs coercitifs

30 II - La contractualisation sur Internet

31 II – Contractualisation sur Internet
Textes applicables Existence d’un régime spécifique pour les contrats conclus sous forme électronique article 25 de la Loi pour la Confiance en l’Économie Numérique en date du 21 juin 2004, dite LCEN Dont sont issus les articles et suivants du Code civil Régime de la vente à distance : article L et suivants du Code de la consommation

32 II- 1 La légalité du contrat électronique
II – Contractualisation sur Internet II- 1 La légalité du contrat électronique Un contrat = un écrit A titre de preuve A titre de validité Principe de légalité de l’écrit électronique Article du CC : légalité de l’écrit électronique même quand un écrit est exigé pour la validité de l’acte Conditions de validité de cet écrit (article et du CC pour les actes sous seing privé, article 1317 pour les actes authentiques) Identification de la personne dont il émane Établissement et conservation dans des conditions garantissant son intégrité Mention manuscrite => apposition sous format électronique si ces conditions garantissent le lien entre la personne et l’écrit (authentification/ signature électronique) Exceptions à l’admissibilité d’un écrit électronique - les actes relatifs au droit de la famille et des successions  - les actes relatifs à des sûretés personnelles ou réelles, de nature civile ou commerciale, sauf s’ils sont passés par une personne pour les besoins de sa profession.

33 II -2 le processus de contractualisation
II – Contractualisation sur Internet II -2 le processus de contractualisation A - Conditions afférentes au droit de la consommation L’information préalable : article L121-18 Identification du vendeur Frais de livraison Modalités de paiement, livraison et exécution Existence d’un droit de rétractation Durée de validité de l’offre Durée minimale du contrat La confirmation de ces informations au plus tard au moment de la livraison sur un support durable + adresse pour les réclamations,; informations sur le service après vente Délai d’exécution de 30 jours sauf délai autre convenu, à défaut remboursement Droit de rétractation, sauf en matière de prestations de services fournis à une date ou périodicité déterminée (séjours touristiques) Délai de 7 jours francs À compter de la réception pour les biens À compter de l’acceptation de l’offre pour les prestations de services Sans motivation Sans pénalité sauf frais de retour Exclusion des ventes sur catalogues

34 B – Conditions afférentes à la conclusion par voie électronique
II – Contractualisation sur Internet B – Conditions afférentes à la conclusion par voie électronique Conditions afférentes à l’offre : art du CC Mise à disposition des conditions contractuelles Conservation et reproduction de ces conditions contractuelles Conditions afférentes au consentement Certitude de l’acceptation des conditions contractuelles Preuve du consentement Mentions particulières de l’offre Étapes à suivre pour conclure le contrat => signalétique de contractualisation Moyens techniques pour l’utilisateur d’identifier les erreurs et de les corriger => zones obligatoires et bloquantes Langues de contractualisation Modalités d’archivage Règles professionnelles auxquelles le vendeur entend se soumettre

35 II – Contractualisation sur Internet
Principes d’une conclusion en deux temps (le double clic) : art du CC Deux étapes de contractualisation pour l’acheteur Première étape  : possibilité à l’acheteur de vérifier le détail de sa commande ainsi que son prix total, et de corriger d’éventuelles erreurs Deuxième étape : confirmation de la commande pour acceptation Une obligation pour le vendeur : accusé réception « sans délai injustifié » Exceptions : art du CC deux exceptions au processus de contractualisation en deux étapes les contrats pour des prestations de services ou fournitures de biens conclus exclusivement par échange de courriers électroniques, les contrats entre professionnels Interprétation stricte de la notion de professionnel

36 MERCI BISMUTH Avocats Me Muriel ARTIS 63, avenue du Maréchal de Saxe – BP 3167 – – LYON Cedex 03 Tél. : – fax : com Exemple de texte : X respecte votre vie privée. Nous ne vendons, louons, prêtons ni ne communiquons aucune information concernant nos clients à des personnes étrangères à nos services. Vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données qui vous concernent (art. 34 de la loi "Informatique et Libertés"). Pour user de votre droit, écrivez directement à