Le notaire et le droit des données personnelles Thibault Douville Agrégé de droit privé Professeur des universités - Université du Mans Directeur du Master droit du numérique - Université de Caen thibault.douville@gmail.com
Sources Loi 6 janvier 1978 Directive 95/46/CE du Parlement européen et du Conseil: 1/harmonisation de la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement 2/ assurer le libre flux des données à caractère personnel entre les Etats membres. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 : traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques Règlement (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (application : 25 mai 2008) (il permet dans certains cas au droit national de le compléter) Loi pour une république numérique du 7 octobre 2016 (directives anticipées) À cela s’ajoutent des textes sectoriels et l’activité normative de la CNIL. Valeur internationale du » droit à la protection des données personnelles » : Article 8, Charte des droits fondamentaux de l’Union européenne (2000) ; Art. 16 TFUE. – Droits fondamentaux en cause (charte des droits fondamentaux + Convention européenne des droits de l’homme) : droit à la vie privée, liberté d’expression, droit de propriété. Toutes les règles en matière de protection des données doivent assurer un équilibre entre ces différents droits et libertés.
Les notions cardinales « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). « Traitement »: toute opération effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. « responsable du traitement »: la personne qui détermine les finalités et les moyens du traitement. « consentement »: toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
La philosophie Que deviennent les déclaration, déclarations simplifiées, autorisation unique… ? Principe : obligation de conformité ; contrôle possible à tout moment. Exception : étude d’impact soumise à un contrôle préalable ; certification possible par un organisme agréé ; respect d’un code de bonne conduite... Régime d’autorisation : la loi interne peut le maintenir dans certains cas…
Les « principes généraux » Origine : loi du 6 janvier 1978 ; le règlement de 2016 les reprend. Ces principes gouvernent tous les traitements de données à caractère personnel. Ces principes sont les suivants : Exigence de licéité, de loyauté et de transparence (voir page suivante) Finalité(s) déterminée(s) et limitée(s) du traitement (commercial, archivage, étude…) Minimisation des données collectées par rapport aux finalités poursuivies Exactitude des données collectées Limitation de la conservation des données Intégrité et confidentialité des données
Les « principes généraux » (la licéité) Conditions de la licéité Consentement de la personne concernée : Preuve Exprès Retrait possible Mineur de 16 ans : autorisation parents Autres cas Intérêt légitime du responsable du traitement Nécessité pour l’exécution d’un contrat Obligation légale Intérêt vital de la personne Service public
Les données sensibles Le système : Principe : collecte / traitement interdits. Par exception, à certaines conditions, la collecte et le traitement de ces données est autorisé. Les données (toutes les autres peuvent être collectées et traitées) concernées portent sur : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, le traitement des données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Les droits des personnes en matière de données à caractère personnel personne concernée ou non) Information de la personne concernée (identité du responsable du traitement, finalités…) + Droit d’accès Droit de rectification (en cas d’inexactitude) Droit d’effacement (conditionnel) – régime favorable pour les mineurs + droit au déréférencement (arrêt Google spain) Droit à la limitation (conditionnel) Droit à la portabilité (pour elle-même ou pour un tiers réutilisant les données) Droit de ne pas faire l’objet d’une décision algorithmique produisant des effets juridiques (sauf consentement exprès, loi, nécessité pour la conclusion d’un contrat
Les sanctions en cas de non respect du règlement Garanties substantielles : Responsabilité civile pour les dommages matériels ou moraux (art. 82). Ex. fuite de données / modification des données qui a entraîné une prise de décision erronée ou un retard dans l’exécution d’un contrat… Action collective en matière de données à caractère personnel Sanction et amendes administratives (art. 83) après réclamation puis recours auprès de l’autorité de contrôle. Montant variable en fonction du manquement (de 10.000.000 à 20.000.000 d’euros ou de 2% à 4% du CA mondial de l’exercice précédent). Garanties processuelles : Droit à un recours effectif contre le responsable du traitement et le sous-traitant Droit à un recours effectif contre l’autorité compétente (CNIL).
Les données à caractère personnel traitées par le notaire
Les données personnelles traitées par le notariat En droit positif : Autorisation unique n°AU-006 issue de la Délibération n° 2014-016 du 23 janvier 2014 portant autorisation unique de traitements de données à caractère personnel aux fins d’exercice des activités notariales et de rédaction des documents des offices notariaux (sont couvertes, les données liées à la rédaction des actes / dossiers clients – envoi dématérialisé des documents ; durée : 5 ans après le PACS / 30 ans / 75 ans ; conditions de sécurité ; information des clients ; destinataires des données traitées) Conservation des actes au minutier central : Norme simplifiée NS-055. Avec le règlement : le système antérieur disparaît. Conformité au règlement + contrôle a posteriori. catégorie de responsables de traitement élaboration de code de bonne conduite détaillant les conditions du traitement des données en conformité avec le règlement + avis préalable et approbation possible du code par la CNIL. tenue d’un registre des traitements de données à caractère personnel
Le notaire, acteur de la protection des données à caractère personnel Quatre domaines d’intervention : - 1 - Les directives anticipées en matière de données personnelles - 2 - Le notaire conseil de l’entreprise - 3 - Le contrôle de conformité à l’occasion d’une cession (fonds de commerce, société…) - 4 - La désignation du notaire comme délégué à la protection des données personnelles
Les directives anticipées en matière de données personnelles Principe : extinction de la protection au décès de la personne. Exception : art. 40-1 de la loi du 6 janvier 1978 introduit par la loi n° 2016-321 du 7 octobre 2016. Consécration des directives (anticipées) en matière de données personnelles mais aussi de droit minimum en l’absence de directives anticipées (conseil sur ce point).
Les directives anticipées en matière de données personnelles Objet : conservation, effacement et communication des données à caractère personnel + détermination de la manière dont les droits en matière de données personnelles sont exercés. Générales ou particulières. Générales : l'ensemble des données à caractère personnel se rapportant à la personne concernée (« peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL » mais aussi par d’autres personnes) + enregistrement sur un registre unique (décret à venir). Particulières : uniquement les traitements désignés (délicats) + enregistrement possible auprès du responsable du traitement mais il faut un consentement exprès (un simple consentement à des CGU est insuffisant). La personne de confiance : soit elle est désignée, à défaut : les héritiers. Mise en œuvre : après le décès de la personne concernée Portée: révocables / modifiables à tout moment. Elément possible du testament, quelle que soit sa forme.
Les directives anticipées en matière de données personnelles En l’absence de directives anticipées (art. 40-1 III) : Personnes visées : les héritiers (au sens des héritiers légaux ou institués en l’absence des premiers) Limitation générale de leurs droits : seulement pour l’organisation et le règlement de la succession du défunt. Droits : 1/ d’accès au traitement de données à caractère personnel qui concernent le défunt afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession (ex. accès à un système de messagerie, accès à un système de cloud…) ; 2/ de recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers (ex. photos ou vidéos disponibles sur un serveur…) ; 3/ d’obliger le responsable du traitement à prendre en compte le décès (clôture des comptes utilisateurs, opposition à la poursuite des traitements de données, mise à jour des données traitées) ; 4/ d’obtenir la justification de l’exécution des opérations précitées. Conflit entre les héritiers : résolution par le juge (TGI du lieu d’ouvertue de la succession).
Le notaire conseil de l’entreprise en matière de données personnelles Rappel des principes généraux en matière de données à caractère personnel Le niveau de sécurité du traitement des données à caractère personnel : 1/ L’évaluation du niveau de sécurité : : De l’état des connaissances Des coûts de mise en œuvre De la nature, portée, contexte, finalités du traitement Des risques (notamment liées à la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite). 2/ Les réponses aux risques : la pseudonymisation et le chiffrement des données à caractère personnel des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; une procédure visant à tester, à analyser et à évaluer régulièrement l’éfficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Application d’un code de conduite Certification
Le notaire conseil de l’entreprise en matière de données personnelles Règle du privacy by design. 1/ Prise en compte des exigences du règlement dans la conception du traitement : « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ». Cette exigence varie selon l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques que présente le traitement pour les droits et libertés des personnes physique. 2/ Minimisation des données traitées par finalité spécifique : - mesures techniques et organisationnelles appropriées pour garantir que, par défaut seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
Le notaire conseil de l’entreprise en matière de données personnelles L’analyse d’impact Exigence d’une analyse d’impact : En cas de risque élevé pour les droits et libertés des personnes physiques Et compte tenu de la nature, de la portée, du contexte et des finalités du traitement Exemples : 1/ évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques (y compris profilage) et sur la base de laquelle des effets juridiques sont adoptés ; 2/ traitement à grand échelle de catégorie de données sensibles ou sur des données relatives à des condamnations pénales et à des infractions 3/ La surveillance systématique à grande échelle d’une zone accessible au public Réalisation antérieure à la mise en place du traitement CNIL : publiera une liste de cas dans lesquels une analyse d’impact est exigée et une liste de cas dans lesquels une analyse d’impact est inutile.
Le notaire conseil de l’entreprise en matière de données personnelles Contenu de l’analyse d’impact : description systématique des opérations de traitement envisagées et des finalités du traitement ; évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; évaluation des risques pour les droits et libertés des personnes concernées conformément ; les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement. Pour une méthodologie détaillée : https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil Consultation de la CNIL préalablement à la mise en place du traitement – Un avis est rendu dans les 8 à 14 semaines quant à la conformité au règlement.
Le notaire conseil de l’entreprise en matière de données personnelles Sous-traitance : Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Obligations du responsable du traitement : 1/ s’assure de la qualité du sous-traitant 2/ autorise les sous-traitance en cascade 3/ donne les instructions sur le traitement des données Rapport entre le sous-traitant et le responsable du traitement : contrat fixant les conditions de l’intervention du sous-traitant.
Le notaire conseil de l’entreprise en matière de données personnelles Notification des failles de sécurité : Principe : dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Contenu : description de la nature de la violation; catégories et nombre des personnes concernées + nombre d’enregistrement de données concernés ; indication du nom du délégué à la protection des données à caractère personnel ; description des conséquences probables de la violation de données à caractère personnel ; mesures prises ou proposées pour remédier à la violation des données à caractère personnel ou pour en atténuer les conséquences. Documentation des failles de sécurité : indication des faits concernant la violation des données à caractère personnel, de ses effets et des mesures prises pour y remédier. Information de l’intéressé en cas de risque élevé pour les droits et libertés d'une personne physique + dans les meilleurs délais.
Le contrôle de conformité en matière de données personnelles Quand ? cession de fichiers clients cession d’un fonds de commerce cession du contrôle d’une société Objet ? Pas de vérification en détail des conditions du traitement des données à caractère personnel Mais clause générale à prévoir en matière de données à caractère personnel par laquelle le cédant : 1/ déclare procéder à des traitements de données à caractère personnel, remettra le registre des traitements, 2/ déclare – le cas échéant – avoir procédé à une analyse d’impact, la remettra, 3/ déclare que son/ses traitements a/ont fait l’objet d’une certification par un organisme agréé dont le certificat est remis ou qu’il respecte le code de bonne conduite de l’association ou l’organisme de responsables de traitement à laquelle/auquel il appartient ; 4/ le cas échéant qu’un DPO a été désigné en la personne de XX 5/ affirme que le traitement mis en œuvre est conforme aux dispositions de la loi du 6 janvier 1978 (demain du règlement). + renseignement à prendre sur une éventuelle procédure en manquement engagée par la CNIL.
Le notaire délégué à la protection des données personnelles (DPO) Dans quels cas un DPO est-il désigné ? Désignation obligatoire : Autorités publiques et organismes publics (collectivités, hopitaux…) Les activités du responsable du traitement exigent un suivi régulier et systématique des personnes (banques…) Traitement de données sensibles ou relatives à des condamnations pénales Désignation facultative : - Dans toutes les autres hypothèses
Le notaire délégué à la protection des données personnelles (DPO) La désignation du DPO : Formation : connaissances spécialisées du droit et des pratiques en matière de protection des données à caractère personnel. Qualités : indépendance dans l’exercice de ses fonctions (s’il exerce d’autres fonctions : vérification de l’absence de conflit d’intérêts résultant des différentes fonctions). Soumission au secret professionnel. La mutualisation du DPO : Oui pour les groupements d’entreprises (condition : disponibilité du DPO). Oui pour les autorités publiques et organismes publics compte tenu de leur taille et de leur organisation (ex. commune et communauté de communes).
Le notaire délégué à la protection des données personnelles (DPO) Fonction générale du DPO : Il est associé à toutes les questions relatives à la protection des données à caractère personnel de manière appropriée (c’est-à-dire véritablement associé) et en temps utile (sans retard). Missions du DPO : informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur leurs obligations + le faire s’agissant de l’analyse d’impact et sa réalisation ; contrôler le respect des exigences protectrices (conditions du traitement, invocation par les personnes concernées de leurs droits…) coopération avec la CNIL