La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Protection des Données Personnelles

Publié parAlexandrine Hubert Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "La Protection des Données Personnelles"— Transcription de la présentation:

1 La Protection des Données Personnelles
Cours 6 Danièle Véret Avocat

2 OBJECTIFS DU COURS Etudier les principes généraux applicables au domaine de la protection des données personnelles en France et dans l’UE Etudier les règles spécifiques applicables à la protection des données personnelles et internet Etudier les principes applicables aux transferts transnationaux de données

3 Thèmes couverts Introduction : comment est réglementé le domaine de la protection des données ? Etendue de la protection des données La Commission Nationale de l’Informatique et des Libertés (CNIL) Les principes applicables à la collecte de données personnelles Les principes applicables à la protection des personnes et à leurs données Les obligations applicables au responsable du traitement de données La protection des données et internet Les transferts de données à l’international

4 Introduction : Historique (1)
La France, premier pays à mettre en œuvre une législation sur la protection de la vie privée avec la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ». Fondements : droits fondamentaux relatifs à la protection des droits de l’Homme En réaction au développement de l’informatique dans la société et des bases de données automatisées Note sur la loi informatique et libertés Reprendre la loi de 1978, grandes lignes de la loi

5 Historique (2) Le droit européen s’est intéressé à la question plus tardivement  Directive 95/46/CEE sur la protection des données La France a été le dernier Etat-membre de l’UE à transposer la directive (et modifier la loi de 1978) le 6 août 2004 (loi n° du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) Transposition plus rapide dans les pays qui n’avaient pas de texte sur la protection de la vie privée

6 Historique (3) La Loi Informatique et Libertés de 1978 a inspiré plusieurs réglementation relatives à la protection de la vie privée à l’international : La Convention 108 du Conseil de l’Europe du 28 janvier 1981 Les principes directeurs sur les données personnelles adoptés par l’assemblée générale des Nations Unies le 14 décembre 1990 La directive européenne sur la protection des données du 24 octobre 1995 Loi sur la protection des renseignements personnels au Canada

7 Etendue de la protection des données (1)
Protection des Données Personnelles Etendue de la protection des données (1) L’article 2 al.1er la loi s’applique : Aux traitements automatisés de données à caractère perso Traitements non automatisés de données contenues dans un fichier (sf si pour une activité exclusivement perso) Application à tous types de données personnelles, qu’elles fassent l’objet d’un traitement automatisé ou manuel. Par étendue on entend : Quelles données sont concernées Qu’est-ce qu’on entend par un traitement de données (quels types de traitement) Article 2 détermine l’étendue de la protection Al 1er : quels traitements

8 Etendue de la protection des données (2)
L’article 2 al.2 de la Loi Informatique et Libertés prévoit que la protection s’applique aux données à caractère personnel, à savoir : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Il pourra s’agir d’un nom, numéro d’identification, voix, image, empreintes génétiques, adresse IP, numéro de téléphone, etc. Al 2: quelles données

9 Etendue de la protection des données (3)
Protection des Données Personnelles Etendue de la protection des données (3) Sont des traitements de données soumis à la Loi Informatique et Libertés: Toute opération portant sur de telles données, quel que soit le procédé utilisé, (notamment) La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion, la comparaison, l’interconnexion, la suppression, etc. des données à caractère personnel. Les traitements de données mis en œuvre exclusivement pour une finalité personnelle ne sont pas couverts par la loi. Al 3 : procédé utilisé pour la collecte

10 La CNIL – présentation (1)
Protection des Données Personnelles La CNIL – présentation (1) Chapitre III de la Loi, articles 11 à 22 La CNIL est une autorité administrative indépendante crée par la Loi Informatique et Libertés composée de 17 membres: Une autorité Indépendante Administrative Formation plénière Formation contentieuse Une autorité : pouvoir, sanction, budget Indépendante : membres doivent être indépendant de la politique, pourvoir exécutif… Administrative : fait partie du budget de l’état, lorsque litige, devant les TA Formation plénière Formation contentieuse Cf note CNIL

11 La CNIL – rôle (2) Elle a pour rôle :
Assurer l’application et le respect de la Loi Informatique et Libertés; D’émettre des avis, délibérations et recommandations sur la base des questions et problèmes pratiques soulevés par le développement de nouveaux types de traitements de données. Ces documents servent à interpréter et compléter la règlementation en matière de protection de données personnelles

12 Protection des Données Personnelles
La CNIL –pouvoirs (3) pouvoir de contrôle a priori (déclarations, demandes d’autorisation); Depuis la transposition de la directive (loi 2004), pouvoir de contrôle renforcé : elle peut décider de sa propre initiative, de contrôler, au regard de la réglementation, le respect par toute personne morale des traitements de données mis en œuvre. Pour ce faire, elle peut accéder : Aux locaux professionnels; Aux matériels utilisés pour les traitements de données et à tous documents.

13 La CNIL – (4) Organe très actif Site internet: www.cnil.fr
La mission essentielle de la CNIL est de protéger la vie privée et les libertés dans un monde interconnecté. La CNIL plaide pour l'inscription de la protection des données dans la constitution, au titre des droits fondamentaux des citoyens.

14 Principes applicables à la collecte de données personnelles (1)
Protection des Données Personnelles Principes applicables à la collecte de données personnelles (1) Condition de licéité du traitement Il existe deux principes de base s’appliquant à toute collecte de données à caractère personnel: Le principe de loyauté Le principe de proportionnalité Article 6 et 7 de la Loi

15 Protection des Données Personnelles
Principes applicables à la collecte de données personnelles (2) - Le principe de loyauté - L’article 6 de la Loi Informatique et Libertés : les collectes et traitements de données doivent être effectués de manière loyal et licite pour des finalités déterminées, explicites et légitimes; Seules les données objectives strictement liées à la finalité du traitement peuvent être collectées légalement; La collecte et le traitement des données sensibles sont strictement règlementés Les données sensibles sont les données concernant les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance à un syndicat, l’orientation sexuelle

16 Protection des Données Personnelles
Principes applicables à la collecte de données personnelles (3) - Le principe de proportionnalité - Article 6: un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : Les données sont collectées et traitées de manière loyale et licite ; Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ; Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées; Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

17 Principes applicables à la collecte de données personnelles (4)
Protection des Données Personnelles Principes applicables à la collecte de données personnelles (4) Toute collecte de données illégale, déloyale ou frauduleuse et toute modification de la finalité du traitement de données est constitutive d’un manquement à la réglementation La responsabilité civile du responsable du traitement est engagée (art C. civ) La responsabilité pénale du responsable du traitement aussi donnant lieu à 5 ans d’emprisonnement et € d’amende (art C. pénal) La Cour de cassation définit la collecte de données illicites dans un arrêt du 3 novembre 1987 : « Caractérise des moyens frauduleux, déloyaux ou illicites, la collecte de données auprès de tiers à l’insu des intéressés et sans déclaration de traitement »

18 Protection des Données Personnelles
Protection des personnes et de leurs données (1) – Accord exprès & préalable Accord exprès et préalable de la personne concernée par la collecte nécessaire La Loi Informatique et Liberté ne requérait que la notification préalable de la personne concernée La directive transposée exige dorénavant le consentement exprès de la personnes concernée pour la collecte de ses données Consentement nécessaire pour la collecte Consentement différent de celui nécessaire pour le transfert des donnees collectées vers une etat non membre de l’UE et n’offrant pas un niveau de protection adéquat

19 Protection des personnes et de leurs données (2) –limites au principe du consentement exprès et préalable (article 7 loi 1978): Lorsque le responsable du traitement doit respecter une obligation légale Pour sauvegarder la vie de la personne concernée Lorsque le responsable du traitement exerce une mission de service public Dans le cadre de l’exécution d’un contrat avec la personne concernée Lorsque le responsable du traitement remplit un intérêt légitime

20 Protection des Données Personnelles
Protection des personnes et de leurs données (3) – information préalable Une information préalable doit aussi être fournie à la personne concernée: L’identification du responsable du traitement; L’objet du traitement; L’existence des droits d’accès, de contestation, de correction ou d’opposition à la collecte; Le caractère obligatoire ou facultatif des réponses et les conséquences du refus; L’Identification du destinataire des données collectées; L’existence d’un transfert hors UE le cas échéant.

21 Protection des personnes et de leurs données (4) – limites de l’obligation d’information
lorsque les données collectées sont très vite anonymisées, lorsque les données ne sont pas recueillies directement auprès de la personne. Il est des cas où l’obligation d'information est exclue : pour les fichiers de police ou de gendarmerie, pour les fichiers relatifs à des condamnations pénales, lorsque l’information de la personne se révèle impossible ou très difficile.

22 Protection des Données Personnelles
Protection des personnes et de leurs données (5) - droit d’accès à ses données personnelles : Modification et mise à jour des données Contestation du traitement de données Opposition à la collecte de données (par rapport aux campagnes de marketing et aux activités de prospection commerciale)

23 Obligations applicables au responsable du traitement de données
Protection des Données Personnelles Obligations applicables au responsable du traitement de données La Loi Informatique et Libertés définit le responsable d’un traitement comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » Le responsable d’un traitement doit respecter les obligations suivantes : Obligation de déclarer le traitement de données Déclaration autorisation Obligation de sécurité

24 Obligations applicables au responsable du traitement de données
Protection des Données Personnelles Obligations applicables au responsable du traitement de données Obligation de déclaration du traitement de données préalablement à sa création Deux systèmes sont applicables à tout nouveau traitement de données à caractère personnel en fonction de la finalité du traitement et du type de données collectées : La déclaration du traitement de données La demande d’autorisation

25 Obligations applicables au responsable du traitement de données - Déclaration
La déclaration « normale » La déclaration de conformité à une norme simplifiée (déclaration « simplifiée »)

26 La déclaration « normale »
Protection des Données Personnelles La déclaration « normale » Tout traitement de données à caractère personnel (sauf dispense), même non informatisé, doit faire l’objet d’une déclaration auprès de la CNIL Exemples de traitements de données soumis à déclaration préalable: Traitement dont la finalité est le contrôle de l’activité professionnelle des salariés (vidéosurveillance, utilisation d’Internet et de la messagerie, géolocalisation) Les traitements liés à l’embauche (bases de données de candidats, CV) Les fichiers médicaux informatisés Les fichiers utilisés par les comités d’entreprise Les traitements transférés hors de l’UE

27 La déclaration « normale »
Protection des Données Personnelles La déclaration « normale » Sanction en cas de manquement: Responsabilité pénale Peine d’emprisonnement de 5 ans et/ou d’une amende de € Les sites web en tant que tels sont exemptés de déclaration

28 La déclaration « simplifiée »
Protection des Données Personnelles La déclaration « simplifiée » La loi prévoit « pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu, le cas échéant, les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration » Il s’agit alors d’une déclaration de conformité à une norme simplifiée

29 « La déclaration simplifiée »
Protection des Données Personnelles « La déclaration simplifiée » Exemples de normes simplifiées publiées par la CNIL : La norme simplifiée n°72 sur le contrôle d’accès aux locaux professionnels et sur la gestion du temps de travail et des congés La norme simplifiée n°46 sur les traitements les plus fréquemment mis en œuvre par les services des ressources humaines (gestion du personnel, utilisation des matériels informatiques, organisation du travail, gestion de carrière, formation) La norme simplifiée n°48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects

30 Dispense de déclaration
Sont dispensés de déclaration 13 types de traitements ayant fait l’objet d’une décision de la CNIL dont : Ceux mis en œuvre par les particuliers agissant dans le cadre d'activités exclusivement personnelles Ceux mis en œuvre par les Eglises, partis politiques, syndicats et organismes ou associations à caractère religieux, politique, philosophique ou syndical pour les fichiers de membres, d’adhérents ou de personnes qui sont en contact régulier avec Ceux mis en œuvre par les professionnels du domaine artistique pour les traitements de données personnelles utilisés dans le cadre de cette activité (livres, films, TV…) Les traitements de comptabilité général

31 Protection des Données Personnelles
Le CIL Suite à la transposition de la directive en droit français, les entreprises peuvent désormais désigner un « correspondant informatique et libertés – CIL » Le CIL a la charge de : s’assurer que tous les traitements mis en œuvre par l’entreprise sont conformes à la loi et que le principe de respect de la vie privée est dûment appliqué au sein de l’entreprise Conserver une liste à jour de tous les traitements internes Effectuer des formations en interne sur les questions liées à l’informatique et aux libertés De mener des audits informatique et libertés réguliers La nomination d’un CIL n’est pas obligatoire Si un CIL est désigné, sa désignation doit être déclarée à la CNIL et approuvée par celle-ci L’entreprise reste responsable en cas de violation de la loi Le CIL peut être un tiers à la société Les entreprises disposant d’un CIL sont dispensées de l’obligation de déclaration pour la plupart des traitements de données personnelles

32 Protection des Données Personnelles
Obligations applicables au responsable du traitement de données - Autorisation Certains types de fichiers sont soumis à un contrôle renforcé de la part de la CNIL par le biais de son autorisation préalable : Soit à cause de la catégorie de données collectées (données sensibles) Soit à cause de la finalité du traitement ; 8 catégories de traitements prévus à l’article 25 de la Loi Informatique et Liberté dont notamment: Les fichiers de statistiques qui contiennent des données relatives aux origines raciales ou ethniques, etc. sans l’accord exprès de la personne intéressée sont interdits. Les dérogations sont strictement réglementées Les traitements automatisés concernant les données génétiques, sauf pour les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires dans le cadre de la médecine préventive, du diagnostic, etc. Les traitements relatifs aux délits, aux condamnations ou aux mesures de sûreté Les traitements relatifs aux interconnexions de fichiers aux finalités différentes

33 Protection des Données Personnelles
Obligations applicables au responsable du traitement de données – obligation de sécurité Les personnes traitant des données doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les données contre les risques suivants: Destruction accidentelle ou illicite des données Perte accidentelle Altération des données Accès ou divulgation non autorisé Tout autre traitement illicite

34 Obligation de sécurité
Protection des Données Personnelles Obligation de sécurité Les mesures de sécurité doivent être: décrites dans le formulaire de déclaration à la CNIL (art. 34 Loi Informatique et Liberté) Appliquées préalablement à la mise en œuvre du traitement de données Contrôles sur la fiabilité des équipements et des logiciels utilisés, avec possibilité d’un audit préalable pour tester des problèmes éventuels d’erreurs ou d’omissions, etc. pouvant donner des résultats incorrects avec des conséquences négatives sur les personnes concernées Evaluation générale de la sécurité et des risques

35 Obligation de sécurité
Protection des Données Personnelles Obligation de sécurité L’archivage des données Décision de la CNIL concernant les procédures et les mesures de sécurité applicables à l’archivage des données à caractère personnel L’obligation de sécurité est applicable aux tiers traitant les données pour le compte d’une entreprise Tout manquement aux obligations de sécurité peut entraîner la mise en œuvre de la responsabilité pénale : 5 ans d’emprisonnement et/ou € d’amende (x5 pour les personnes morales)

36 Obligations applicables au responsable du traitement de données -fin
Protection des Données Personnelles Obligations applicables au responsable du traitement de données -fin Autorégulation et Codes de conduite: Les organisation professionnelles et les associations peuvent développer leur propre système d’autorégulation concernant la prospection et la collecte des données à caractère personnel Par exemple, les associations marketing suivantes ont développé des Codes de conduite, approuvés par la CNIL : le Syndicat national de la communication directe (SNCD) et l’Union française du marketing direct (UFMD)

37 Protection des données et internet
Protection des Données Personnelles Protection des données et internet Règles spécifiques applicables à la protection des données et à internet Sites web Cookies Sollicitations commerciales et spamming Données de connexion

38 Protection des Données Personnelles
Sites web Sur certains sites web, il peut être demandé de remplir un questionnaire (ex. sites de e-commerce). Ces questionnaires doivent préciser quelles questions/réponses sont obligatoires pour pouvoir fournir le service ou traiter la commande et lesquelles sont optionnelles Les fichiers de données personnelles collectées par l’intermédiaire du web sont soumis à toutes les dispositions de la Loi Informatique et Libertés à partir du moment où le site vise le public français (en France) et/ou est exploité par une personne morale de droit français. Mentions obligatoires: la personne concernée doit être informée de ses droits, mentions en langue française

39 Protection des Données Personnelles
Cookies « Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client (le vôtre), informations que ce même serveur (et lui seul) peut aller relire et modifier ultérieurement » (déf. CNIL) Les cookies permettent la collecte de données à l’insu de l’internaute. Ces données permettent ensuite d’identifier le profil des utilisateurs : fréquence de retour sur le site, type et nombre de pages vues, etc. Ils sont utilisés à des fins de marketing L’utilisation de cookies par les sites web est autorisée, sous réserve d’informer les utilisateurs de leur présence sur le site et la possibilité de les refuser Toute absence de notification est constitutive d’un délit (art du Code pénal) Collecte invisible, dispositif mis en œuvre à l’insu des internautes Recommendation de la CNIL: information 2 ans €

40 Protection des Données Personnelles
Spamming Le spamming consiste en l’envoi en masse de courriels non- sollicités à un grand nombre de destinataires avec lesquels l’émetteur n’a pas de contacts pré-existants Les adresses électroniques ont généralement été collectées de manière illicite La pratique du spamming est différente de la prospection commerciale/sollicitation qui sont des pratiques licites Les traitements de données dans le but de prospection commerciale sont soumis aux dispositions de la Loi Informatique et Libertés à partir du moment où le public concerné est situé en France La personne concernée doit donner son consentement libre, spécifique et informé pour la collecte (système de l’opt-in), sauf concernant les messages marketing pour des produits ou services identiques ou similaires à ceux préalablement fournis (système de l’opt-out autorisé) Prospection électronique Principe de l’opt-in Exception l’opt-out Moyens d’action: Mission de surveillance de la CNIL - la boite a spam de la CNIL Pouvoir de dénonciation de la CNIL - sanction du princ de l’opt-in: 750 € pour chaque message irrégulièrement expédié + non respect des regles de collecte et du droit d’opposition 5 ans et € - projet « signal spam »

41 Protection des Données Personnelles
Données de connexion Jusqu’à récemment, la CNIL recommandait vivement que les données de connexion ne soient conservées que pour la durée de la transmission des données Un certain nombre d’exceptions ont, par la suite, été admises: les FAI et opérateurs de télécom ont été autorisés à conserver les données de connexion à des fins de facturation et de paiement; également aux fins d’aider les autorités de police et la sécurité nationale La LCEN du 21 juin 2004 dispose désormais que les FAI et les hébergeurs doivent conserver les données de connexion pendant une période d’un an et divulguer ces données aux autorités/forces de l’ordre à leur demande afin de les aider dans le cadre de leurs enquêtes

42 Transfert de données à l’international
à l’intérieur de l’Union Européenne à l’extérieur de l’UE, vers un pays présentant un niveau de protection adéquat à l’extérieur de l’UE, vers un pays ne présentant pas un niveau de protection suffisant

43 Transferts au sein de l’UE
Protection des Données Personnelles Transferts au sein de l’UE L’un des objectifs principaux de la directive sur la protection des données de 1995 a été de créer un ensemble de règles relatives à la protection de la vie privée commun à tous les pays membres de l’UE : Pour établir un système de protection de haut niveau équivalent dans tous les Etat-membres Pour éliminer les obstacles aux échanges de données nécessaires au bon fonctionnement du marché intérieur Nécessité d’équilibrer les finalités de libre circulation des données entre les Etats-membres tout en sauvegardant les droits fondamentaux des personnes

44 Transferts au sein de l’UE
Protection des Données Personnelles Transferts au sein de l’UE Principe : pas de restriction aux transferts de données à caractère personnel vers un autre Etat- membre Extension aux pays membres de l’EEE (Espace économique européen – Islande, Norvège, Liechtenstein)

45 Protection des Données Personnelles
Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat Principe : tout transfert de données personnelles hors de l’UE est soumis à la condition que le pays destinataire fournisse un niveau de protection de la vie privée et des droits fondamentaux des personnes (art. 68 Loi Informatique et Libertés) – à savoir, un niveau de protection adéquat

46 Protection des Données Personnelles
Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat La Commission Européenne est la seule autorité pouvant décider quels pays paraissent présenter un niveau adéquat de protection de la vie privée, compte tenu des critères figurant dans la directive de 1995. A ce jour, seul un nombre très limité de pays ont été admis comme présentant ce niveau de protection: L’Argentine, le Canada, Guernesey, L’Ile de Man, la Suisse Pour les Etats-Unis, seules les sociétés ayant choisi de se conformer aux principes du Safe Harbor sont concernées

47 Protection des Données Personnelles
Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant Principe : aucun transfert de données personnelles vers un pays non-membre de l’UE ne présentant pas un niveau de protection adéquat n’est autorisé Cela inclus les transferts de données intra-groupes, à savoir, les transferts entre les sociétés d’un même groupe mais opérant dans des régions du monde différentes Sauf si le destinataire s’engage à fournir un niveau de protection de la vie privée suffisant

48 Pays ne présentant pas un niveau adéquat de protection
Exception Art. 69 de la loi Informatique et libertés Consentement de la personne concernée Transfert nécessaire à l’une des conditions énumérées à l’article 69 de la loi

49 Protection des Données Personnelles
Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant Les sociétés peuvent décider individuellement de se conformer aux obligations de fournir un niveau de protection suffisant aux données à caractère personnel transférées vers des pays qui n’offrent pas un niveau de protection adéquat Trois systèmes ont été développés pour permettre aux entreprises de transférer les données à l’international Le contrat standard de transfert de données Les Safe Harbour Principles (Etats-Unis) Les Binding Corporate Rules (BCR)

50 Contrat standard ou Clauses Contractuelles Types
Protection des Données Personnelles Contrat standard ou Clauses Contractuelles Types La Commission européenne a développé un contrat standard de transfert de données (publié en 2001 et modifié en 2004). Ce document contient un certain nombre d’obligations à la charge de l’importateur des données : Mise en œuvre de procédures de sécurité applicables au transfert de données et au traitement Respect de la finalité du traitement de données Identification d’un service interne responsable du suivi des demandes de l’exportateur des données et de la CNIL, ainsi que des questions posées par les personnes concernées L’exportateur des données doit s’assurer que l’importateur est capable de respecter les obligations légales Les entreprises ne sont pas obligées d’utiliser le contrat standard. Si elles l’utilisent, aucune stipulation contractuelle ne peut être modifiée (principe du « tout ou rien »)

51 Contrat standard Lien sur le site de la CNIL
Les clauses contractuelles type responsabilites/transferer-des-donnees-a- letranger/contrats-types-de-la-commission- europeenne/

52 Les Clauses Contractuelles Types
modèles de contrats de transfert adoptés par la Commission européenne les Clauses Contractuelles Types encadrant les transferts de données personnelles entre deux responsables de traitement (CCT et 2004) les Clauses Contractuelles Types encadrant  les transferts de données personnelles entre un responsable de traitement et un sous- traitant (CCT 2010)

53 Définitions Responsable de traitement : Sous-traitant : personne, autorité publique, service ou organisme qui détermine les finalités et les moyens du traitement. Un responsable de traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte et sur instruction du responsable du traitement. Clauses contractuelles types adaptées aux différentes situations Exemples CNIL

54 Protection des Données Personnelles
Le Safe Harbor Le Safe Harbor (Sphère de sécurité) repose sur une démarche volontaire d’entreprises établies aux Etats-Unis qui s’auto- certifient comme adhérant à une série de principes de protection des données personnelles et de protection de la vie privée, publiés par le « Ministère du commerce » des Etats- Unis (US Commerce Department) Les Etats-Unis privilégient le principe de l’auto-régulation et du contrat en matière de protection des données à caractère personnel La Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes du Safe Harbor assurent une protection adéquate

55 Le Safe Harbor Les Safe Harbor Principles
Protection des Données Personnelles Le Safe Harbor Les Safe Harbor Principles Des FAQs complètent le dispositif avec un rappel des règles de base, notamment: Les principes, négociés entre les autorités américaines et la Commission européenne, sont essentiellement basés sur ceux de la directive de1995 : Information des personnes Possibilité accordée à la personne concernée de s’opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes Consentement explicite pour les données sensibles Droit d’accès Sécurité Etc. La liste des entreprises adhérentes au Safe Harbor est dressée par le « Ministère du commerce » US et publié dans un registre public

56 Protection des Données Personnelles
Le safe Harbor Toutes les entreprises américaines ne choisissent pas de se conformer aux principes du Safe Harbor Dans le cadre des transferts internationaux de données à caractère personnel, elles peuvent également choisir de mettre en place des systèmes de transferts régis contractuellement : Contrat de protection de la vie privée Binding Corporate Rules

57 Les Binding Corporate Rules
Protection des Données Personnelles Les Binding Corporate Rules Système similaire à un contrat intra-groupe (ex. General Electric, Microsoft) contenant un ensemble de règles applicables à la protection des données personnelles et aux transferts de données à l’intérieur du groupe. Les BCRs sont communiquées à l’autorité de régulation des données à caractère personnel d’un Etat-membre de l’UE pour approbation/validation. Une fois approuvées par une autorité les BCRs seront automatiquement reconnues comme valides par les autres autorités Système développé par quelques très grandes entreprises et validé à niveau européen par le « groupe de l’article 29 » (groupe des représentants des autorités de protection des données personnelles des différents Etats-membres) issu de l’article 29 de la directive de 1995

Télécharger ppt "La Protection des Données Personnelles"

Présentations similaires

Droit de la Concurrence Européen & Transferts de Technologie

Droit de la Concurrence Européen & Transferts de Technologie
Panorama réglementaire Textes internationaux

Panorama réglementaire Textes internationaux
La Réforme Des Tutelles

La Réforme Des Tutelles
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
LA CONVENTION DE CHICAGO

LA CONVENTION DE CHICAGO
LES CONTRATS DE TRAVAIL

LES CONTRATS DE TRAVAIL
Thème 2 : Comment est exercé le pouvoir de décision dans l’entreprise

Thème 2 : Comment est exercé le pouvoir de décision dans l’entreprise
Principes de base de la négociation collective

Principes de base de la négociation collective
2nd thème : La notion de données à caractère personnel.

2nd thème : La notion de données à caractère personnel.
8ème thème : Le transfert à létranger de données à caractère personnel.

8ème thème : Le transfert à létranger de données à caractère personnel.
La politique de Sécurité

La politique de Sécurité
La collecte des données personnelles

La collecte des données personnelles
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.

DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.
Protéger la personne et la vie privée

Protéger la personne et la vie privée
Lactualité de la publicité des comptes, enjeux Monique M ILLOT -P ERNIN Présidente du Comité « Associations » du Conseil Supérieur de lOrdre des Experts-Comptables.

Lactualité de la publicité des comptes, enjeux Monique M ILLOT -P ERNIN Présidente du Comité « Associations » du Conseil Supérieur de lOrdre des Experts-Comptables.
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.

1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Les recommandations de la CNIL

Les recommandations de la CNIL
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.

Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
C2i Être responsable à l'ère du numérique

C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.

COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.

Présentations similaires

Annonces Google