La Protection des Données Personnelles Cours 6 Danièle Véret Avocat
OBJECTIFS DU COURS Etudier les principes généraux applicables au domaine de la protection des données personnelles en France et dans l’UE Etudier les règles spécifiques applicables à la protection des données personnelles et internet Etudier les principes applicables aux transferts transnationaux de données
Thèmes couverts Introduction : comment est réglementé le domaine de la protection des données ? Etendue de la protection des données La Commission Nationale de l’Informatique et des Libertés (CNIL) Les principes applicables à la collecte de données personnelles Les principes applicables à la protection des personnes et à leurs données Les obligations applicables au responsable du traitement de données La protection des données et internet Les transferts de données à l’international
Introduction : Historique (1) La France, premier pays à mettre en œuvre une législation sur la protection de la vie privée avec la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « Loi Informatique et Libertés ». Fondements : droits fondamentaux relatifs à la protection des droits de l’Homme En réaction au développement de l’informatique dans la société et des bases de données automatisées Note sur la loi informatique et libertés Reprendre la loi de 1978, grandes lignes de la loi
Historique (2) Le droit européen s’est intéressé à la question plus tardivement Directive 95/46/CEE sur la protection des données La France a été le dernier Etat-membre de l’UE à transposer la directive (et modifier la loi de 1978) le 6 août 2004 (loi n°2004- 801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) Transposition plus rapide dans les pays qui n’avaient pas de texte sur la protection de la vie privée
Historique (3) La Loi Informatique et Libertés de 1978 a inspiré plusieurs réglementation relatives à la protection de la vie privée à l’international : La Convention 108 du Conseil de l’Europe du 28 janvier 1981 Les principes directeurs sur les données personnelles adoptés par l’assemblée générale des Nations Unies le 14 décembre 1990 La directive européenne sur la protection des données du 24 octobre 1995 Loi sur la protection des renseignements personnels au Canada
Etendue de la protection des données (1) Protection des Données Personnelles Etendue de la protection des données (1) L’article 2 al.1er la loi s’applique : Aux traitements automatisés de données à caractère perso Traitements non automatisés de données contenues dans un fichier (sf si pour une activité exclusivement perso) Application à tous types de données personnelles, qu’elles fassent l’objet d’un traitement automatisé ou manuel. Par étendue on entend : Quelles données sont concernées Qu’est-ce qu’on entend par un traitement de données (quels types de traitement) Article 2 détermine l’étendue de la protection Al 1er : quels traitements
Etendue de la protection des données (2) L’article 2 al.2 de la Loi Informatique et Libertés prévoit que la protection s’applique aux données à caractère personnel, à savoir : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Il pourra s’agir d’un nom, numéro d’identification, voix, image, empreintes génétiques, adresse IP, numéro de téléphone, etc. Al 2: quelles données
Etendue de la protection des données (3) Protection des Données Personnelles Etendue de la protection des données (3) Sont des traitements de données soumis à la Loi Informatique et Libertés: Toute opération portant sur de telles données, quel que soit le procédé utilisé, (notamment) La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la diffusion, la comparaison, l’interconnexion, la suppression, etc. des données à caractère personnel. Les traitements de données mis en œuvre exclusivement pour une finalité personnelle ne sont pas couverts par la loi. Al 3 : procédé utilisé pour la collecte
La CNIL – présentation (1) Protection des Données Personnelles La CNIL – présentation (1) Chapitre III de la Loi, articles 11 à 22 La CNIL est une autorité administrative indépendante crée par la Loi Informatique et Libertés composée de 17 membres: Une autorité Indépendante Administrative Formation plénière Formation contentieuse Une autorité : pouvoir, sanction, budget Indépendante : membres doivent être indépendant de la politique, pourvoir exécutif… Administrative : fait partie du budget de l’état, lorsque litige, devant les TA Formation plénière Formation contentieuse Cf note CNIL
La CNIL – rôle (2) Elle a pour rôle : Assurer l’application et le respect de la Loi Informatique et Libertés; D’émettre des avis, délibérations et recommandations sur la base des questions et problèmes pratiques soulevés par le développement de nouveaux types de traitements de données. Ces documents servent à interpréter et compléter la règlementation en matière de protection de données personnelles
Protection des Données Personnelles La CNIL –pouvoirs (3) pouvoir de contrôle a priori (déclarations, demandes d’autorisation); Depuis la transposition de la directive (loi 2004), pouvoir de contrôle renforcé : elle peut décider de sa propre initiative, de contrôler, au regard de la réglementation, le respect par toute personne morale des traitements de données mis en œuvre. Pour ce faire, elle peut accéder : Aux locaux professionnels; Aux matériels utilisés pour les traitements de données et à tous documents.
La CNIL – (4) Organe très actif Site internet: www.cnil.fr La mission essentielle de la CNIL est de protéger la vie privée et les libertés dans un monde interconnecté. La CNIL plaide pour l'inscription de la protection des données dans la constitution, au titre des droits fondamentaux des citoyens.
Principes applicables à la collecte de données personnelles (1) Protection des Données Personnelles Principes applicables à la collecte de données personnelles (1) Condition de licéité du traitement Il existe deux principes de base s’appliquant à toute collecte de données à caractère personnel: Le principe de loyauté Le principe de proportionnalité Article 6 et 7 de la Loi
Protection des Données Personnelles Principes applicables à la collecte de données personnelles (2) - Le principe de loyauté - L’article 6 de la Loi Informatique et Libertés : les collectes et traitements de données doivent être effectués de manière loyal et licite pour des finalités déterminées, explicites et légitimes; Seules les données objectives strictement liées à la finalité du traitement peuvent être collectées légalement; La collecte et le traitement des données sensibles sont strictement règlementés Les données sensibles sont les données concernant les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance à un syndicat, l’orientation sexuelle
Protection des Données Personnelles Principes applicables à la collecte de données personnelles (3) - Le principe de proportionnalité - Article 6: un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : Les données sont collectées et traitées de manière loyale et licite ; Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ; Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées; Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Principes applicables à la collecte de données personnelles (4) Protection des Données Personnelles Principes applicables à la collecte de données personnelles (4) Toute collecte de données illégale, déloyale ou frauduleuse et toute modification de la finalité du traitement de données est constitutive d’un manquement à la réglementation La responsabilité civile du responsable du traitement est engagée (art.1382 C. civ) La responsabilité pénale du responsable du traitement aussi donnant lieu à 5 ans d’emprisonnement et 300.000 € d’amende (art. 226-18 C. pénal) La Cour de cassation définit la collecte de données illicites dans un arrêt du 3 novembre 1987 : « Caractérise des moyens frauduleux, déloyaux ou illicites, la collecte de données auprès de tiers à l’insu des intéressés et sans déclaration de traitement »
Protection des Données Personnelles Protection des personnes et de leurs données (1) – Accord exprès & préalable Accord exprès et préalable de la personne concernée par la collecte nécessaire La Loi Informatique et Liberté ne requérait que la notification préalable de la personne concernée La directive transposée exige dorénavant le consentement exprès de la personnes concernée pour la collecte de ses données Consentement nécessaire pour la collecte Consentement différent de celui nécessaire pour le transfert des donnees collectées vers une etat non membre de l’UE et n’offrant pas un niveau de protection adéquat
Protection des personnes et de leurs données (2) –limites au principe du consentement exprès et préalable (article 7 loi 1978): Lorsque le responsable du traitement doit respecter une obligation légale Pour sauvegarder la vie de la personne concernée Lorsque le responsable du traitement exerce une mission de service public Dans le cadre de l’exécution d’un contrat avec la personne concernée Lorsque le responsable du traitement remplit un intérêt légitime
Protection des Données Personnelles Protection des personnes et de leurs données (3) – information préalable Une information préalable doit aussi être fournie à la personne concernée: L’identification du responsable du traitement; L’objet du traitement; L’existence des droits d’accès, de contestation, de correction ou d’opposition à la collecte; Le caractère obligatoire ou facultatif des réponses et les conséquences du refus; L’Identification du destinataire des données collectées; L’existence d’un transfert hors UE le cas échéant.
Protection des personnes et de leurs données (4) – limites de l’obligation d’information lorsque les données collectées sont très vite anonymisées, lorsque les données ne sont pas recueillies directement auprès de la personne. Il est des cas où l’obligation d'information est exclue : pour les fichiers de police ou de gendarmerie, pour les fichiers relatifs à des condamnations pénales, lorsque l’information de la personne se révèle impossible ou très difficile.
Protection des Données Personnelles Protection des personnes et de leurs données (5) - droit d’accès à ses données personnelles : Modification et mise à jour des données Contestation du traitement de données Opposition à la collecte de données (par rapport aux campagnes de marketing et aux activités de prospection commerciale)
Obligations applicables au responsable du traitement de données Protection des Données Personnelles Obligations applicables au responsable du traitement de données La Loi Informatique et Libertés définit le responsable d’un traitement comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » Le responsable d’un traitement doit respecter les obligations suivantes : Obligation de déclarer le traitement de données Déclaration autorisation Obligation de sécurité
Obligations applicables au responsable du traitement de données Protection des Données Personnelles Obligations applicables au responsable du traitement de données Obligation de déclaration du traitement de données préalablement à sa création Deux systèmes sont applicables à tout nouveau traitement de données à caractère personnel en fonction de la finalité du traitement et du type de données collectées : La déclaration du traitement de données La demande d’autorisation
Obligations applicables au responsable du traitement de données - Déclaration La déclaration « normale » La déclaration de conformité à une norme simplifiée (déclaration « simplifiée »)
La déclaration « normale » Protection des Données Personnelles La déclaration « normale » Tout traitement de données à caractère personnel (sauf dispense), même non informatisé, doit faire l’objet d’une déclaration auprès de la CNIL Exemples de traitements de données soumis à déclaration préalable: Traitement dont la finalité est le contrôle de l’activité professionnelle des salariés (vidéosurveillance, utilisation d’Internet et de la messagerie, géolocalisation) Les traitements liés à l’embauche (bases de données de candidats, CV) Les fichiers médicaux informatisés Les fichiers utilisés par les comités d’entreprise Les traitements transférés hors de l’UE
La déclaration « normale » Protection des Données Personnelles La déclaration « normale » Sanction en cas de manquement: Responsabilité pénale Peine d’emprisonnement de 5 ans et/ou d’une amende de 300.000 € Les sites web en tant que tels sont exemptés de déclaration
La déclaration « simplifiée » Protection des Données Personnelles La déclaration « simplifiée » La loi prévoit « pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu, le cas échéant, les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration » Il s’agit alors d’une déclaration de conformité à une norme simplifiée
« La déclaration simplifiée » Protection des Données Personnelles « La déclaration simplifiée » Exemples de normes simplifiées publiées par la CNIL : La norme simplifiée n°72 sur le contrôle d’accès aux locaux professionnels et sur la gestion du temps de travail et des congés La norme simplifiée n°46 sur les traitements les plus fréquemment mis en œuvre par les services des ressources humaines (gestion du personnel, utilisation des matériels informatiques, organisation du travail, gestion de carrière, formation) La norme simplifiée n°48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects
Dispense de déclaration Sont dispensés de déclaration 13 types de traitements ayant fait l’objet d’une décision de la CNIL dont : Ceux mis en œuvre par les particuliers agissant dans le cadre d'activités exclusivement personnelles Ceux mis en œuvre par les Eglises, partis politiques, syndicats et organismes ou associations à caractère religieux, politique, philosophique ou syndical pour les fichiers de membres, d’adhérents ou de personnes qui sont en contact régulier avec Ceux mis en œuvre par les professionnels du domaine artistique pour les traitements de données personnelles utilisés dans le cadre de cette activité (livres, films, TV…) Les traitements de comptabilité général
Protection des Données Personnelles Le CIL Suite à la transposition de la directive en droit français, les entreprises peuvent désormais désigner un « correspondant informatique et libertés – CIL » Le CIL a la charge de : s’assurer que tous les traitements mis en œuvre par l’entreprise sont conformes à la loi et que le principe de respect de la vie privée est dûment appliqué au sein de l’entreprise Conserver une liste à jour de tous les traitements internes Effectuer des formations en interne sur les questions liées à l’informatique et aux libertés De mener des audits informatique et libertés réguliers La nomination d’un CIL n’est pas obligatoire Si un CIL est désigné, sa désignation doit être déclarée à la CNIL et approuvée par celle-ci L’entreprise reste responsable en cas de violation de la loi Le CIL peut être un tiers à la société Les entreprises disposant d’un CIL sont dispensées de l’obligation de déclaration pour la plupart des traitements de données personnelles
Protection des Données Personnelles Obligations applicables au responsable du traitement de données - Autorisation Certains types de fichiers sont soumis à un contrôle renforcé de la part de la CNIL par le biais de son autorisation préalable : Soit à cause de la catégorie de données collectées (données sensibles) Soit à cause de la finalité du traitement ; 8 catégories de traitements prévus à l’article 25 de la Loi Informatique et Liberté dont notamment: Les fichiers de statistiques qui contiennent des données relatives aux origines raciales ou ethniques, etc. sans l’accord exprès de la personne intéressée sont interdits. Les dérogations sont strictement réglementées Les traitements automatisés concernant les données génétiques, sauf pour les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires dans le cadre de la médecine préventive, du diagnostic, etc. Les traitements relatifs aux délits, aux condamnations ou aux mesures de sûreté Les traitements relatifs aux interconnexions de fichiers aux finalités différentes
Protection des Données Personnelles Obligations applicables au responsable du traitement de données – obligation de sécurité Les personnes traitant des données doit mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger les données contre les risques suivants: Destruction accidentelle ou illicite des données Perte accidentelle Altération des données Accès ou divulgation non autorisé Tout autre traitement illicite
Obligation de sécurité Protection des Données Personnelles Obligation de sécurité Les mesures de sécurité doivent être: décrites dans le formulaire de déclaration à la CNIL (art. 34 Loi Informatique et Liberté) Appliquées préalablement à la mise en œuvre du traitement de données Contrôles sur la fiabilité des équipements et des logiciels utilisés, avec possibilité d’un audit préalable pour tester des problèmes éventuels d’erreurs ou d’omissions, etc. pouvant donner des résultats incorrects avec des conséquences négatives sur les personnes concernées Evaluation générale de la sécurité et des risques
Obligation de sécurité Protection des Données Personnelles Obligation de sécurité L’archivage des données Décision de la CNIL concernant les procédures et les mesures de sécurité applicables à l’archivage des données à caractère personnel L’obligation de sécurité est applicable aux tiers traitant les données pour le compte d’une entreprise Tout manquement aux obligations de sécurité peut entraîner la mise en œuvre de la responsabilité pénale : 5 ans d’emprisonnement et/ou 300.000€ d’amende (x5 pour les personnes morales)
Obligations applicables au responsable du traitement de données -fin Protection des Données Personnelles Obligations applicables au responsable du traitement de données -fin Autorégulation et Codes de conduite: Les organisation professionnelles et les associations peuvent développer leur propre système d’autorégulation concernant la prospection et la collecte des données à caractère personnel Par exemple, les associations marketing suivantes ont développé des Codes de conduite, approuvés par la CNIL : le Syndicat national de la communication directe (SNCD) et l’Union française du marketing direct (UFMD)
Protection des données et internet Protection des Données Personnelles Protection des données et internet Règles spécifiques applicables à la protection des données et à internet Sites web Cookies Sollicitations commerciales et spamming Données de connexion
Protection des Données Personnelles Sites web Sur certains sites web, il peut être demandé de remplir un questionnaire (ex. sites de e-commerce). Ces questionnaires doivent préciser quelles questions/réponses sont obligatoires pour pouvoir fournir le service ou traiter la commande et lesquelles sont optionnelles Les fichiers de données personnelles collectées par l’intermédiaire du web sont soumis à toutes les dispositions de la Loi Informatique et Libertés à partir du moment où le site vise le public français (en France) et/ou est exploité par une personne morale de droit français. Mentions obligatoires: la personne concernée doit être informée de ses droits, mentions en langue française
Protection des Données Personnelles Cookies « Un cookie est un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client (le vôtre), informations que ce même serveur (et lui seul) peut aller relire et modifier ultérieurement » (déf. CNIL) Les cookies permettent la collecte de données à l’insu de l’internaute. Ces données permettent ensuite d’identifier le profil des utilisateurs : fréquence de retour sur le site, type et nombre de pages vues, etc. Ils sont utilisés à des fins de marketing L’utilisation de cookies par les sites web est autorisée, sous réserve d’informer les utilisateurs de leur présence sur le site et la possibilité de les refuser Toute absence de notification est constitutive d’un délit (art. 226- 18 du Code pénal) Collecte invisible, dispositif mis en œuvre à l’insu des internautes Recommendation de la CNIL: information 2 ans 300 000 €
Protection des Données Personnelles Spamming Le spamming consiste en l’envoi en masse de courriels non- sollicités à un grand nombre de destinataires avec lesquels l’émetteur n’a pas de contacts pré-existants Les adresses électroniques ont généralement été collectées de manière illicite La pratique du spamming est différente de la prospection commerciale/sollicitation qui sont des pratiques licites Les traitements de données dans le but de prospection commerciale sont soumis aux dispositions de la Loi Informatique et Libertés à partir du moment où le public concerné est situé en France La personne concernée doit donner son consentement libre, spécifique et informé pour la collecte (système de l’opt-in), sauf concernant les messages marketing pour des produits ou services identiques ou similaires à ceux préalablement fournis (système de l’opt-out autorisé) Prospection électronique Principe de l’opt-in Exception l’opt-out Moyens d’action: Mission de surveillance de la CNIL - la boite a spam de la CNIL Pouvoir de dénonciation de la CNIL - sanction du princ de l’opt-in: 750 € pour chaque message irrégulièrement expédié + non respect des regles de collecte et du droit d’opposition 5 ans et 300 000 € - projet « signal spam »
Protection des Données Personnelles Données de connexion Jusqu’à récemment, la CNIL recommandait vivement que les données de connexion ne soient conservées que pour la durée de la transmission des données Un certain nombre d’exceptions ont, par la suite, été admises: les FAI et opérateurs de télécom ont été autorisés à conserver les données de connexion à des fins de facturation et de paiement; également aux fins d’aider les autorités de police et la sécurité nationale La LCEN du 21 juin 2004 dispose désormais que les FAI et les hébergeurs doivent conserver les données de connexion pendant une période d’un an et divulguer ces données aux autorités/forces de l’ordre à leur demande afin de les aider dans le cadre de leurs enquêtes
Transfert de données à l’international à l’intérieur de l’Union Européenne à l’extérieur de l’UE, vers un pays présentant un niveau de protection adéquat à l’extérieur de l’UE, vers un pays ne présentant pas un niveau de protection suffisant
Transferts au sein de l’UE Protection des Données Personnelles Transferts au sein de l’UE L’un des objectifs principaux de la directive sur la protection des données de 1995 a été de créer un ensemble de règles relatives à la protection de la vie privée commun à tous les pays membres de l’UE : Pour établir un système de protection de haut niveau équivalent dans tous les Etat-membres Pour éliminer les obstacles aux échanges de données nécessaires au bon fonctionnement du marché intérieur Nécessité d’équilibrer les finalités de libre circulation des données entre les Etats-membres tout en sauvegardant les droits fondamentaux des personnes
Transferts au sein de l’UE Protection des Données Personnelles Transferts au sein de l’UE Principe : pas de restriction aux transferts de données à caractère personnel vers un autre Etat- membre Extension aux pays membres de l’EEE (Espace économique européen – Islande, Norvège, Liechtenstein)
Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat Principe : tout transfert de données personnelles hors de l’UE est soumis à la condition que le pays destinataire fournisse un niveau de protection de la vie privée et des droits fondamentaux des personnes (art. 68 Loi Informatique et Libertés) – à savoir, un niveau de protection adéquat
Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays présentant un niveau de protection adéquat La Commission Européenne est la seule autorité pouvant décider quels pays paraissent présenter un niveau adéquat de protection de la vie privée, compte tenu des critères figurant dans la directive de 1995. A ce jour, seul un nombre très limité de pays ont été admis comme présentant ce niveau de protection: L’Argentine, le Canada, Guernesey, L’Ile de Man, la Suisse Pour les Etats-Unis, seules les sociétés ayant choisi de se conformer aux principes du Safe Harbor sont concernées
Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant Principe : aucun transfert de données personnelles vers un pays non-membre de l’UE ne présentant pas un niveau de protection adéquat n’est autorisé Cela inclus les transferts de données intra-groupes, à savoir, les transferts entre les sociétés d’un même groupe mais opérant dans des régions du monde différentes Sauf si le destinataire s’engage à fournir un niveau de protection de la vie privée suffisant
Pays ne présentant pas un niveau adéquat de protection Exception Art. 69 de la loi Informatique et libertés Consentement de la personne concernée Transfert nécessaire à l’une des conditions énumérées à l’article 69 de la loi
Protection des Données Personnelles Transferts en dehors de l’UE, vers un pays ne présentant pas un niveau de protection suffisant Les sociétés peuvent décider individuellement de se conformer aux obligations de fournir un niveau de protection suffisant aux données à caractère personnel transférées vers des pays qui n’offrent pas un niveau de protection adéquat Trois systèmes ont été développés pour permettre aux entreprises de transférer les données à l’international Le contrat standard de transfert de données Les Safe Harbour Principles (Etats-Unis) Les Binding Corporate Rules (BCR)
Contrat standard ou Clauses Contractuelles Types Protection des Données Personnelles Contrat standard ou Clauses Contractuelles Types La Commission européenne a développé un contrat standard de transfert de données (publié en 2001 et modifié en 2004). Ce document contient un certain nombre d’obligations à la charge de l’importateur des données : Mise en œuvre de procédures de sécurité applicables au transfert de données et au traitement Respect de la finalité du traitement de données Identification d’un service interne responsable du suivi des demandes de l’exportateur des données et de la CNIL, ainsi que des questions posées par les personnes concernées L’exportateur des données doit s’assurer que l’importateur est capable de respecter les obligations légales Les entreprises ne sont pas obligées d’utiliser le contrat standard. Si elles l’utilisent, aucune stipulation contractuelle ne peut être modifiée (principe du « tout ou rien »)
Contrat standard Lien sur le site de la CNIL Les clauses contractuelles type http://www.cnil.fr/vos- responsabilites/transferer-des-donnees-a- letranger/contrats-types-de-la-commission- europeenne/
Les Clauses Contractuelles Types modèles de contrats de transfert adoptés par la Commission européenne les Clauses Contractuelles Types encadrant les transferts de données personnelles entre deux responsables de traitement (CCT 2001 et 2004) les Clauses Contractuelles Types encadrant les transferts de données personnelles entre un responsable de traitement et un sous- traitant (CCT 2010)
Définitions Responsable de traitement : Sous-traitant : personne, autorité publique, service ou organisme qui détermine les finalités et les moyens du traitement. Un responsable de traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte et sur instruction du responsable du traitement. Clauses contractuelles types adaptées aux différentes situations Exemples CNIL
Protection des Données Personnelles Le Safe Harbor Le Safe Harbor (Sphère de sécurité) repose sur une démarche volontaire d’entreprises établies aux Etats-Unis qui s’auto- certifient comme adhérant à une série de principes de protection des données personnelles et de protection de la vie privée, publiés par le « Ministère du commerce » des Etats- Unis (US Commerce Department) Les Etats-Unis privilégient le principe de l’auto-régulation et du contrat en matière de protection des données à caractère personnel La Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation qui reconnaît que les principes du Safe Harbor assurent une protection adéquate
Le Safe Harbor Les Safe Harbor Principles Protection des Données Personnelles Le Safe Harbor Les Safe Harbor Principles Des FAQs complètent le dispositif avec un rappel des règles de base, notamment: Les principes, négociés entre les autorités américaines et la Commission européenne, sont essentiellement basés sur ceux de la directive de1995 : Information des personnes Possibilité accordée à la personne concernée de s’opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes Consentement explicite pour les données sensibles Droit d’accès Sécurité Etc. La liste des entreprises adhérentes au Safe Harbor est dressée par le « Ministère du commerce » US et publié dans un registre public
Protection des Données Personnelles Le safe Harbor Toutes les entreprises américaines ne choisissent pas de se conformer aux principes du Safe Harbor Dans le cadre des transferts internationaux de données à caractère personnel, elles peuvent également choisir de mettre en place des systèmes de transferts régis contractuellement : Contrat de protection de la vie privée Binding Corporate Rules
Les Binding Corporate Rules Protection des Données Personnelles Les Binding Corporate Rules Système similaire à un contrat intra-groupe (ex. General Electric, Microsoft) contenant un ensemble de règles applicables à la protection des données personnelles et aux transferts de données à l’intérieur du groupe. Les BCRs sont communiquées à l’autorité de régulation des données à caractère personnel d’un Etat-membre de l’UE pour approbation/validation. Une fois approuvées par une autorité les BCRs seront automatiquement reconnues comme valides par les autres autorités Système développé par quelques très grandes entreprises et validé à niveau européen par le « groupe de l’article 29 » (groupe des représentants des autorités de protection des données personnelles des différents Etats-membres) issu de l’article 29 de la directive de 1995