Franck Dumortier Le point sur le droit des logiciels… jusqu’au « Cloud Computing » Droit à la vie privée et « Cloud Computing.

Slides:



Advertisements
Présentations similaires
Panorama réglementaire Textes internationaux
Advertisements

E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
Accord politique en trilogue
CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN TUNISIE
Principes de base de la négociation collective
30 ÈME ANNIVERSAIRE DE LA CONVENTION 108 DU CONSEIL DE LEUROPE POUR LA PROTECTION DES PERSONNES À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL.
SECRET MEDICAL SECRET PROFESSIONNEL
Thierry Sobanski – HEI Lille
8ème thème : Le transfert à létranger de données à caractère personnel.
La politique de Sécurité
EMBAUCHE.
Protéger la personne et la vie privée
Article 86 § 1 Les Etats membres, en ce qui concerne les entreprises publiques et les entreprises auxquelles ils accordent des droits spéciaux ou exclusifs,
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
La revue de projet.
Gestion des risques Contrôle Interne
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Quelques réflexions sur le régime de la copie privée par Carine Doutrelepont, avocat au Barreau de Bruxelles, professeur à lUniversité libre de Bruxelles.
1 Loi sur les divulgations faites dans lintérêt public (protection des divulgateurs dactes répréhensibles)
Lintérêt général dans les services sociaux Marianne DONY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Protection de la vie privée
Formation Informatique et Libertés
Principes de protection des données personnelles DRT 3808.
Le cycle de vie du document et les exigences pour chacune des étapes
Pr. François-André ALLAERT Médecin de santé publique et juriste
Bucarest, 2 – 4 novembre 2006 Le rôle du Conseil de l’Europe
Equipements de protection individuelle.
Van De Sande J.M. SPF Economie – DG Potentiel économique directive «services»
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Diffusion de la « culture Informatique et Libertés » par le C2i
UE 3.2 S2 Sciences et techniques infirmières fondements et méthodes
Formalisation de la politique qualité
RSZ-ONSS Journée d’étude Dimona - DMFA 7/01/ L’E-government dans la sécurité sociale M. Allard, Directeur général à l’ONSS.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Responsabilité non contractuelle , par. 2 et 3 Chiara Favilli Rome 7-8 avril 2014.
Cours de Gestion d’entreprise
Bien-être au travail des intérimaires arrêté royal du15 décembre 2010 Etablir la fiche poste de travail Nadine Gilis attaché SPF ETCS DG Humanisation.
La Convention de Budapest sur la cybercriminalité
Les données personnelles
Sophie Kwasny 16 June 2011 Forum Africain sur la Protection des Données Personnelles Dakar – 18 au 20 mai 2015 Les normes de protection des données à caractère.
relative aux peuples indigènes et tribaux
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Directives «nouvelle approche» Formation continue OLAS 2015
8e Conférence de l’AFAPDP, Bruxelles 25 juin 2015
TICE Exposé L’école et la Vie Privée
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
/ Autor Contrat CEREC Club (valable jusqu’au ) Concessionnaire CEREC Entre le Concessionnaire CEREC et le Membre du CEREC Club (ci-après.
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Le droit et le Web MTEYREK Mohamad.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
SÉANCE 12: Les droits et libertés de la personne Session automne 2014.
La Charte Informatique
Etre responsable à l’ère du numérique Domaine D2.
Club INTELECO – Jeudi 14 mai Club Inteléco « Protection de l’information sensible dans l’entreprise » Jeudi 14 mai 2009 CCI Rennes Bretagne.
Le règlement de travail et les questions de procédure Quant il revient à l’employeur de s’auto- discipliner CATHERINE BOULANGER Avocate au barreau de Bruxelles.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
LA PLACE DU DROIT 2.1 La place du droit dans l’organisation de la vie publique et des relations sociales Les notions et caractère du droit  L’objet.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
KM CS – Avril 2004 Monographies de projets CS Guide d’utilisation.
Département CFOCT *** Avantages du statut OEA pour les Transporteurs ? 8 ème Symposium des juristes.
Le Canada : L’étude de cas parfaite Suzanne Legault Commissaire à l’information du Canada intérimaire Groupe de discussion 2—Institution spécialisée, ombudsman.
Ensemble, formons les citoyens de demain!. Avis important : droits d’auteur et utilisation Le matériel contenu dans cette trousse pédagogique est la propriété.
Banque Carrefour de la sécurité sociale Quai de Willebroeck 38 B-1000 Bruxelles Site web BCSS: 09/2015 RÉGLEMENT.
L’adoption internationale Exposé général des règles applicables à l’adoption internationale.
Edited by: IFAMU AMU 120h Le secouriste-ambulancier dans l’arrêté royal n°78 relatif à l'exercice des professions des soins de santé ROSIERE Pascal.
Transcription de la présentation:

Franck Dumortier Le point sur le droit des logiciels… jusqu’au « Cloud Computing » Droit à la vie privée et « Cloud Computing » 1

- 2 « Cloud Computing » : contexte technique SAAS: Application(s) accessible(s) à distance comme un (des) service(s) via Internet et le Web Ex: CRM, GRH, , travail collaboratif, vidéo-conférence, etc Applications (et donc données) hébergées …  NON pas en interne dans l’entreprise  MAIS en EXTERNE par les éditeurs de SAAS (SAAS providers) La pluralité de ces « hébergements applicatifs externes » a pour conséquence la formation d’un « nuage » (cloud) d’acteurs responsables…

- 3 « Cloud Computing »: illustration CRM GRH Vidéo-Conférence Comptabilité Quelles normes s’appliquent-elles et à qui? Quelles sont les responsabilités des divers acteurs?

- 4 Rappel: vie privée et données à caractère personnel Bases juridiques:  Au niveau international: Art. 8 CEDH et C°108  Au niveau UE: Art. 7 et 8 Charte UE et Directive 95/46  Au niveau belge: Art. 22 Const. et Loi du 8 décembre 1992 une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement [...] » ex: nom, photo, , tel, ip, etc (notion très large) Traitement: « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés […] »

- 5 « Cloud Computing » & privacy: Questions juridiques 1.L’éditeur-hébergeur SAAS (SAAS Provider) est-il « responsable du traitement » ou simple « sous-traitant »? 2.Quelle est la loi applicable? 3.Quelles sont les obligations respectives des responsables du traitement et des sous-traitants? 4.Quid des flux transfrontières (vers des pays non-européens) de données effectués entre l’entreprise et des SAAS providers? 5.Quid d’une injonction donnée par une autorité publique d’un pays tiers à un SAAS provider établi sur son territoire?

- 6 « responsable du traitement »? Responsable du traitement: « la personne physique ou morale, […] qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Critère: la DECISION Qualification importante puisque celui-ci a plusieurs obligations:  Déclaration  Information  Sécurité  Confidentialité  Donner droit d’accès  Donner droit de rectification

- 7 « sous-traitant »? Sous-traitant: « la personne physique ou morale […] qui traite des données à caractère personnel pour le compte du responsable du traitement et est autre que la personne qui, placée sous l'autorité directe du responsable du traitement, est habilitée à traiter les données ». Critère: l’ACTION (!!!) La notion de sous-traitant a une définition propre en vertu du droit de la protection des données et ne peut être interprétée au départ de sources juridiques externes Obligations moindres:  Sécurité  N’agir que sur instruction du responsable  Contrat écrit (électronique OK)

- 8 Quelle qualification pour le SAAS provider? (1) Une piste: le considérant 47 de la Directive 95/46: « lorsqu'un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c'est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message; que, toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service ». Interprétation téléologique? Interprétation littérale?

- 9 Quelle qualification pour le SAAS provider? (2) Qui détermine « les finalités » et « les moyens » du traitement effectué par une application SAAS? « Pour établir qui détermine la finalité et les moyens de chaque traitement identifié, il importe peu que des institutions ou des groupements [par exemple des entreprises] aient manifesté un ou plusieurs besoins. La question est de savoir qui décide que ce sera ce traitement particulier-là (opération physique), ayant telle finalité propre, réalisé de telle manière (caractéristiques techniques) et dans telles conditions (moyens généraux, notamment organisationnels) qui satisfera ou concourra à satisfaire ce besoin. » (Déc. SWIFT) Celui qui décide de l’opération technique réalisée, de la finalité, des caractéristiques techniques du traitement ainsi que des moyens généraux, notamment organisationnels pour réaliser le besoin considéré…

- 10 Quelle qualification pour le SAAS provider? (3) Qui détermine les finalités et les moyens du traitement effectué par une application SAAS? « il faut bien entendu apprécier le fait que le responsable doit garder la maîtrise, ne serait-ce qu'intellectuelle, tant du traitement que des données traitées, et que le traitement ne peut évidemment dépasser ce que le responsable présumé est capable de maîtriser ou ce que théoriquement il aurait été capable de réaliser, à supposer qu'il ait eu les moyens de le faire ou qu'il ait choisi de mobiliser ces moyens ». (Déc. SWIFT) Maitrise intellectuelle (>< matérielle) tant du traitement que des données + le traitement ne peut dépasser ce que le responsable est « capable » de maitriser (ne pas traiter de données supplémentaires ou effectuer de traitement supplémentaire)…

- 11 Quelle qualification pour le SAAS provider? (4) L’entreprise doit être considéré comme « responsable »...  Des traitements et des données dont elle a la maitrise intellectuelle (ou)  Des opérations techniques et moyens organisationnels qu’elle a demandé au SAAS provider pour la finalité qu’elle a déterminée Pour ces opérations, le SAAS provider est « sous-traitant ». Le SAAS provider doit être considéré comme « responsable du traitement » pour tous traitements non directement liés aux opérations demandées.

- 12 Des concepts flous? (1) Critère: « qui détermine les finalités et les moyens du traitement » Problème: les moyens ne sont plus directement déterminés par le responsable du traitement Les moyens du traitement sont les services fournis par les sous-traitants (les SAAS providers) Le service est organisé par le sous-traitant = les moyens du traitement sont déterminés et fournis par les sous-traitants Le critère de la détermination des moyens est-il encore adéquat? On parle de « co-responsables »… Quid de la sécurité juridique?

- 13 Des concepts flous? (2) Critère: « qui détermine les finalités et les moyens du traitement » Problème: le sous-traitant détermine la finalité de son service… et le service fourni est le traitement… Le sous-traitant détermine la finalité du traitement? Le critère de la détermination de la finalité est-il encore adéquat? On parle de « co-responsables »… Quid de la sécurité juridique?

- 14 La loi applicable La loi applicable est celle:  du lieu d’un établissement du responsable du traitement (il peut y en avoir plusieurs);  du lieu où, bien que n’y étant pas établi, le responsable du traitement recourt à des moyens pour réaliser son traitement (à l’exception du simple transit). Vers une extra-territorialité? Cookies Spyware, …

- 15 Les obligations des responsables du traitement (1) Les données doivent être traitées:  Dans un but déterminé, explicite, légitime (et traitement ultérieur compatible)  Adéquates, pertinentes et non excessives au regard de ces finalités  Exactes et mises à jour  Conservées pour une durée non excessive par rapport au but défini Les données ne peuvent être traitées que si:  Consentement libre, spécifique et informé de la personne concernée  Le traitement est nécessaire à l’exécution d’un contrat  Le traitement est exigé par la loi  Sauvegarde de l’intérêt vital de la personne concernée  Mission d’intérêt public  Si l’intérêt légitime du responsable du traitement ne dépasse pas l’intérêt ou les droits de la personne dont on traite les données

- 16 Les obligations des responsables du traitement (2) Les données « sensibles » (qui révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à vie sexuelle) et données relatives à la santé ne peuvent pas être traitées sauf:  consentement par écrit  données manifestement publiques  associations à finalité politique, religieuse,... et pas de communication à des tiers  obligation légale (droit du travail)  permis par ou en vertu d’une loi, en vue de l’application de la sécurité sociale ou pour un motif d’intérêt public important.  aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé

- 17 Les obligations des responsables du traitement (3) Information Déclaration à la Commission de la protection de la vie privée Donner droits d’accès et de rectification Sécurité  En tenant compte de l’état de la technique,  des frais  des risques  et de la nature des données à protéger Informer le personnel Confidentialité (+ limiter l’accès au personnel adéquat) Mais aussi…

- 18 Les obligations des responsables du traitement (4) Le responsable du traitement doit: choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements; veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles; fixer dans le contrat la responsabilité du sous-traitant à l'égard du responsable du traitement; convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement; consigner par écrit ou sur un support électronique ces éléments du contrat.

- 19 Les obligations des sous- traitants 1.Sécurité  En tenant compte de l’état de la technique,  des frais  des risques  et de la nature des données à protéger 2.Confidentialité 3.Ne peut traiter les données que sur instruction du responsable du traitement

- 20 « Cloud Computing » et flux transfrontières CRM GRH Vidéo-Conférence Comptabilité

- 21 Flux transfrontières « Transfert »? CJCE, arrêt Lindqvist: «Eu égard, d'une part, à l'état du développement d'Internet à l'époque de l'élaboration de la directive 95/46 et, d'autre part, à l'absence, dans son chapitre IV, de critères applicables à l'utilisation d'Internet, on ne saurait présumer que le législateur communautaire avait l'intention d'inclure prospectivement dans la notion de "transfert vers un pays tiers de données" l'inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d'y accéder ». Position de la Commission Dans le cas des SAAS, les données sont placées dans des bases de données distantes…

- 22 Flux: Etape n°1 Des données à caractère personnel sont elles transférées? Non Oui Avant/pendant le transfert; les données ont-elles été traitées conformément à la loi? Oui Le but du transfert est-il compatible avec la finalité pour laquelle les données ont été initialement collectées? Le transfert peut avoir lieu au regard de la loi du 8/12/92 Non Le transfert ne peut pas avoir lieu Oui Voir étape n°2 Le transfert ne peut pas avoir lieu Non

- 23 Flux: Etape n°2 Les données sont-elles transférées vers un pays situé en dehors de l’EEE? Non Principe: liberté de circulation Oui Les données sont-elles transférées vers un pays tiers assurant un « niveau de protection adéquat »? Non Oui Le transfert peut avoir lieu moyennant le respect de la loi Passez à l’étape n°3 La Commission Européenne a déjà reconnu “adéquats” la Suisse, le Canada (secteur privé), l’Argentine, le Guernsey, Jersey, l’Ile de Man et le Safe Harbor (US).

- 24 Flux: Etape n°3 Les données sont-elles transférées entre des sociétés d’une même multinationale? Oui Binding Corporate Rules? Non Le responsable du traitement offre-t’il des garanties suffisantes? (clauses contactuelles, clauses standard) Non Le transfert ne peut avoir lieu sauf si vous pouvez vous prévaloir d’une exception de l’article 22 Oui Le transfert peut avoir lieu.

- 25 Contrats Article 22 LVP … le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées. PME CPVP A.R.

- 26 Clauses contractuelles types (1) Article 26 §4 Dir. 95/46 Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. PME CPVP CCTypes destinataire

- 27 Clauses contractuelles types (2) Faut-il obligatoirement utiliser les Clauses contractuelles types? NON Faut-il une autorisation de la CPVP pour pouvoir les utiliser? NON, mais copie (vérification) + déclaration du traitement si nécessaire L’autorité de contrôle peut-elle tout de même bloquer le transfert? OUI (3 cas)  L’importateur est soumis à des règles qui l’obligent à déroger au contrat (sauf exceptions art restrictions nécessaires dans une société démocratique)  L’importateur n’a pas respecté les clauses du contrat (constat par une autorité)  Fort probable que les CCtypes ne seront pas respectées

- 28 Clauses contractuelles types (3) Obligations du responsable du traitement  Traitement et transfert respectent le droit applicable  Charger l’importateur de traiter les données pour son compte exclusif et conformément au droit applicable  Garantir que l’importateur offre des garanties suffisantes  Garantir que les mesures de sécurité sont adéquates  Veiller au respect de ces mesures  Cat. particulières : informer les personnes avant le transfert  Remettre la notification de l’imp. (voir après) à l’aut. de contrôle  Copie à disposition

- 29 Clauses contractuelles types (4) Obligations du sous-traitant (1):  Traiter pour le compte exclusif de l’exportateur  Aucune raison de croire qu’il existe des règles empêchant de remplir ses obligations  Mettre en œuvre les mesures techniques et d’organisation  Communiquer à l’exportateur: Demande de divulgation de données par une autorité (maintien de l’ordre) sauf règle contraire Tout cas d’accès fortuit, non autorisé Toute demande reçue des personnes c. (pas répondre sauf autorisation contraire)

- 30 Clauses contractuelles types (5) Obligations du sous-traitant (2):  Traiter les demandes d’info venant de l’exportateur  Audit sur demande de l’exportateur  Copie à disposition des personnes concernées (description sommaire des mesures de sécurité uniquement)  Accepter que l’autorité de contrôle effectue des vérifications dans les mêmes conditions qu’auprès du responsable du traitement.

- 31 Clauses contractuelles types (6) Responsabilité:  Revient au responsable du traitement  Si l’exp. a matériellement disparu ou cessé d’exister en droit ou insolvable: plainte à l’encontre de l’importateur  Si l’un est tenu pour responsable d’une violation commise par l’autre: dédommagement

- 32 Franck Dumortier Chercheur – Assistant en droit Centre de Recherches Informatique et Droit (CRID)