Introduction au Droit des Bases de Données

Slides:



Advertisements
Présentations similaires
La Réforme Des Tutelles
Advertisements

PROTECTION DES BASES DE DONNEES : DROIT D'AUTEUR ET DROIT SUI GENERIS
I expo, Paris juin 2007 LA RÉUTILISATION DES DONNÉES PUBLIQUES EN EUROPE ET EN FRANCE LES LICENCES TYPES Pourquoi ? Comment ? Et après ? Bernard.
Thème 2 : Comment est exercé le pouvoir de décision dans l’entreprise
Principes de base de la négociation collective
Agence Nationale de la Statistique et de la Démographie Direction du Management de lInformation Statistique Confidentialité et anonymisation des microdonnées.
LES ACCORDS SECTORIELS CONCLUS DANS LE CADRE DE LEXCEPTION PEDAGOGIQUE B.O.E.N. DU 23 JANVIER 2007.
8ème thème : Le transfert à létranger de données à caractère personnel.
La politique de Sécurité
La collecte des données personnelles
Droit à l'image.
Protéger la personne et la vie privée
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Les recommandations de la CNIL
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles ne pas diffuser.
Droit d’auteur et administration
B2i Lycée Circulaire BO n°31 du 29/08/2013.
Association loi 1901 Régime juridique.
3 avril 2007IFAP - Débat thématique "Conservation numérique"1 Conservation des publications électroniques et du dépôt légal Catherine Lupovici Département.
Entretiens Communautaires: la propriété intellectuelle en Europe
Guide de gestion environnementale dans l’entreprise industrielle
Lintérêt général dans les services sociaux Marianne DONY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Protection de la vie privée
C2I Métiers de la santé Domaine Juridique
Conférence Vanham & Vanham 8 mai 2003 Les nouvelles obligations en matière de publicité et de marketing réalisés par le biais des nouvelles technologies.
Formation Informatique et Libertés
Le cycle de vie du document et les exigences pour chacune des étapes
Qu’est-ce que le DROIT? Un système…de règles ou de normes
Pr. François-André ALLAERT Médecin de santé publique et juriste
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
La.
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
LE DROIT A L’IMAGE Le droit à l’image consiste en un droit de regard sur la diffusion de son image : toute personne peut s’opposer à la diffusion de son.
Déontologie et Droit à l’image
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Diffusion de la « culture Informatique et Libertés » par le C2i
UE 3.2 S2 Sciences et techniques infirmières fondements et méthodes
INTRODUCTION Présentez-vous, puis présentez le scénario ainsi que tous les outils éventuels utilisés. DÉFINITION DES RÈGLES DE DISCUSSION Exposez les règles.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
CNAM - FORUM FRANCO-RUSSE IRT RAILENIUM – Olivier ADAM Le 31 mars 2015
Initiation aux SGBD Frédéric Gava (MCF)
1. Le blanchiment, variation « symphonique » de la prévention de recel
1 Atelier Juridique du 6/10/09 Cybervendeurs : quelles sont vos obligations ? Franck Martin Selarl – 15 rue Vignon Paris Contact :
Le système de traitement des plaintes de l’IDP. Cadre Légal.
8e Conférence de l’AFAPDP, Bruxelles 25 juin 2015
Externat Bon Accueil Mars 2008
TICE Exposé L’école et la Vie Privée
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
ÉDUCALOI : Votre référence pour intégrer le droit en classe © Le présent matériel est la propriété exclusive d’Éducaloi. Les enseignants du Québec.
Les newsletters d’un point de vue légal
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
> Nouveaux services en ligne > avril 2014 > Page ‹#›
INTRODUCTION AUX BASES DE DONNEES
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
L’information commerciale, ressource stratégique.
LE DROIT ET LE WEB SI28 GODEAU Manon A2006. Le droit et le Web Introduction Le droit d’auteur Création d’un site Un site illicite.
Le Droit et le Web Exposé SI28 Printemps 2006 M. Gabriela Scanu
Le Droit et Le Web Printemps Le Droit et Le Web Introduction Notion de droit d’auteur Création de sites web Un site illicite en 11 points-clés.
Le droit et le Web MTEYREK Mohamad.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
1. Les Rôles Un rôle est une fonction détenue par un utilisateur à un moment donné. Un rôle confère des droits spécifiques. » Le CIL – correspondant informatique.
ARCNA – Formation adhérents 2015 L’extranet - loi ALUR du 24 mars 2014 N°12.
La Charte Informatique
Etre responsable à l’ère du numérique Domaine D2.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Ensemble, formons les citoyens de demain!. Avis important : droits d’auteur et utilisation Le matériel contenu dans cette trousse pédagogique est la propriété.
Transcription de la présentation:

Introduction au Droit des Bases de Données Frédéric Gava (MCF) gava@univ-paris12.fr LACL, bâtiment P2 du CMC, bureau 223 Université de Paris XII Val-de-Marne 61 avenue du Général de Gaulle 94010 Créteil cedex

ATTENTION ! L’auteur n’ayant pas une formation juridique, ni de compétences poussées en Droit, celui-ci ne souhaite pas que ce cours soit pris comme une référence Ce cours est utilisé pour compléter une formation informatique (« Initiation aux SGBD ») pour des étudiants en Droit : il n’est là qu’à titre informatif, « pédagogique » et pour permettre un débat plus instructif sur le sujet

Références Le site de la CNIL « Commission National de l’Informatique et des Libertés » http://www.cnil.fr http://www.droit-technologie.org/ http://www.rabenou.org/ (site d’un avocat) http://www.jurisnet.org/ http://www.dit.presse.fr/ (revue de Droit de l’informatique et des télécoms) www.legalis.net (site de jurisprudences)

Introduction Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnel Les entreprises préfèrent, à tout prendre, envisager un archivage électronique souvent synonyme de coûts diminués. L'archivage électronique des données de l'entreprise (ou une BD) n'est pas innocent par rapport à la loi de 1978 sur la protection des données à caractère personnel.

Définitions (1) Les bases de données en Europe possèdent leur propre protection juridique, depuis la directive européenne du 11 mars 1996. Cette protection a la caractéristique d'être double. Les bases de données sont protégées d'une part comme oeuvre de l'esprit, par le droit d'auteur, et comme bien informationnel d'un genre nouveau, par le droit "sui generis" du producteur de la base de données Par base de données, on entend ici tout recueil d'informations, sous forme électronique ou non, (à l'exception du moteur logiciel, si la base est sous forme électronique), accessibles individuellement Cette définition très large couvre aussi bien en pratique les banques de données que des sites Internet par exemple

Définitions (2) Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (quel que soit la requête) Constitue un fichier de données (ou une BD) à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés Ce implique : l'archivage électronique de données à caractère personnel qui étaient à l'origine sous forme électronique et qui étaient déjà soumise à la loi de 1978 l'archivage sous forme électronique de données et qui faisaient à l'origine l’objet d’un traitement non automatisé et dont le basculement dans l’univers électronique crée un traitement automatisé qui entraîne application de la loi.

D’après la CNIL

Vos Droit dans les SGBD Dans un monde largement informatisé, la loi du 6 janvier 1978 (1994) prévoit de solides garde-fous pour protéger les personnes des dangers liés aux fichiers et aux traitements informatiques contenant des données à caractère personnel. La loi « Informatique et libertés » reconnaît aux citoyens des droits spécifiques pour préserver leur vie privée. Les droits « Informatique et libertés » Le droit à l’information Le droit d’opposition Le droit d’accès Le droit de rectification Le non-respect de ces droits est sanctionné pénalement. En cas de difficulté dans l’exercice de vos droits, vous pouvez saisir la CNIL

Droit à l’information (1) « Soyez curieux des informations vous concernant » Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de : l’identité du responsable du traitement, l’objectif de la collecte d’informations, le caractère obligatoire ou facultatif des réponses, les conséquences de l’absence de réponse,  les destinataires des informations, les droits reconnus à la personne, les éventuels transferts de données vers un pays hors de l’Union Européenne s’applique aussi réseaux via des témoins de connexion

Droit à l’information (2) Les limites au droit à l’information Il est des cas où l’obligation d'information est allégée : lorsque les données collectées sont très vite anonymisées, lorsque les données ne sont pas recueillies directement auprès de la personne. Il est des cas où l’obligation d'information est exclue : pour les fichiers de police ou de gendarmerie, pour les fichiers relatifs à des condamnations pénales, lorsque l’information de la personne se révèle impossible ou très difficile

Droit d’opposition « Restez maître de vos données personnelles » Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier et cela sans se justifier (contre la prospection commercial) ; en ce sens, elle peut refuser d’apparaître dans certains fichiers ou de voir communiquer des informations sur elles à des tiers. Le droit d'opposition peut s’exprimer : par un refus de répondre lors d’une collecte non obligatoire de données, par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses, la faculté de demander la radiation des données contenues dans des fichiers commerciaux, la possibilité d'exiger la non-cession ou la non-commercialisation d’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte… Les limites au droit d’opposition : le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale…

Droit d’accès (1) « Consultez vos données personnelles » Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication : Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction. Toute personne est en droit d’obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (finalités du traitement, du type de données enregistrées) En exerçant son droit d’accès, la personne peut s’informer éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne

Droit d’accès (2) Les limites au droit d’accès : Si un responsable de traitement estime qu'une demande est manifestement abusive, il peut ne pas y donner suite. En revanche si l’affaire est portée devant un juge il devra apporter la preuve du caractère manifestement abusif de la demande en cause. Le droit d'accès ne s’exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d'atteinte à la vie privée et pendant une durée n'excédant pas celle nécessaire à l'établissement de statistiques ou à la recherche scientifique ou historique. L’exercice du droit d’accès ne doit pas porter atteinte au droit d’auteur. Le droit d'accès aux fichiers de police et de gendarmerie

Droit de rectification « Info ou intox, à vous de contrôler » Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite : Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu'il a effectuées. Pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations Le demandeur peut obtenir gratuitement une copie de l'enregistrement modifié

Les obligations (1) Les utilisateurs de données personnelles ont des obligations à respecter : La collecte des données En principe, il faut recueillir le consentement de la personne pour utiliser une information qui l’identifie. Sauf dérogations, vous ne pouvez pas collecter des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelles ou à la santé) La finalité des traitements Un fichier doit avoir un objectif précis : les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.  La durée de conservation des informations Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier La sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement.

Les obligations (2) Suite : La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit : des destinataires explicitement désignés pour en obtenir régulièrement communication, des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc) L’information des personnes Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. La déclaration des fichiers Certains traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être déclarés ou soumis à la CNIL. Sinon, en gros 5 ans de prison et beaucoup d’amendes (de 1500 à 300.000 euros…)

Divers avis

Extraction de données Un arrêt de la Cour d’appel de Versailles du 18 novembre 2004 (CA Versailles 9ème chambre 18 novembre 2004 Rojo R. c/ Guy R., disponible sur le site legalis.net) soumet à mention préalable le droit d’interdire l’extraction d’une base de données Concrètement, ici, une "base de données«  correspond à tout ensemble organisé de fichiers, y compris un site web. Et ce que signale cet arrêt, c’est que si le producteur de la base de données ne manifeste pas sa volonté d’interdire les extractions, il ne sera ensuite pas fondé à agir en cas d’extraction (fût-t-elle substantielle, comme par exemple la totalité d’un site) du contenu de sa base de données par un tiers Donc, faite des requêtes que quand on vous l’autorise…et préciser bien si on le droit d’extraire des informations

Protections (1) Les protections : La première protection, conformément à la philosophie du droit d'auteur, concerne uniquement la forme de la base, son architecture, et est conditionnée comme pour tout autre oeuvre par une condition d'originalité. La base doit avoir un choix d'indexage original pour être protégé par le droit d'auteur. La deuxième protection, spécifique aux bases de données, concerne la matière contenue par la base. Le droit « sui generis » est rangé dans la catégorie des droits voisins du droit d'auteurs, droit de propriété incorporelle ad hoc, donnant des prérogatives patrimoniales au producteur de la base. Mais comme pour le droit d'auteur, l'exercice du droit est attaché à une condition. Ici, il ne s'agit pas d'originalité, mais de valeur économique : la base doit avoir été l'objet d'un investissement qualitativement ou quantitativement substantiel Le producteur de la base de données peut donc interdire à tout utilisateur l'extraction d'éléments quantitativement ou qualitativement substantiels de la base, ou l'extraction systématique de celle-ci

Protections (2) La protection vaut pour 15 ans Certaines exceptions sont prévues pour les utilisateurs légitimes La théorie de droit commercial des facilités essentielles s'applique aussi et limite largement la porté du droit dans la situation où le producteur de la base serait dans une situation de monopole de fait. A noter : il est indépendant que la base soit une base de données publiques ou non. Les données publiques restent publiques et sont libres de droit, mais ce qui est protégé c'est leur assemblage en un schéma particulier, selon l'idée que le tout vaut plus que la somme des composants. Ainsi n'importe qui par exemple pourrait construire et commercialiser sa propre base de données d'annuaire téléphonique. Par contre, personne n'aurait le droit de simplement "copier-coller" les pages jaunes...

Le référencement Référencez vos créations avec le système IDDN : http://www.iddn.org/fr/accueil.htm Pourquoi référencer ? En référençant vous vous pré constituez la preuve de l'antériorité de vos droits Que puis-je référencer ? Tout fichier sous forme numérique, quelque soit le format, quelque soit le système d'exploitation. Il peut s'agir d'une oeuvre (film, texte, logiciel, site web, image, son), d'une base de données, d'une idée, d'un concept, d'une "business méthode", d'une revendication sur un effet technique. Que vais-je obtenir à l'issue du référencement ? Vous allez obtenir un certificat de référencement en ligne, accessible en 4 langues. Vous pourrez faire appel à ce certificat sécurisé depuis votre site et ainsi faire connaître vos conditions d'utilisation. Qui est InterDeposit ? InterDeposit est la fédération internationale de l'informatique et des technologies de l'information, créée à Genève le 10 janvier 1994. Elle rassemble les organisations concernées par la protection des droits de propriété intellectuelle sur les œuvres numériques. L'un de ses membres fondateurs est l'Agence pour la Protection des Programmes.

Décisions de procès On trouve pleins de jurisprudence sur http://legalis.net et en cliquant sur « base de donnée » Ce que l’on trouve : extraction substantielle, contrefaçon, concurrence déloyale piratage des SGBD mise à disposition illicite du public d’une partie substantielle accès non autorisé abus de position dominante discrimination

Archivage de données

Archivage selon la CNIL La CNIL distingue trois types d’archives : Les archives « courantes » : les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) Les archives « intermédiaires » : les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables Les archives « définitives » : les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction

Droit à l’oubli Les archives courantes et intermédiaires doivent respecter le « droit à l’oubli » (loi du 6 janvier 1978 modifié en 1994) Article 6-5° : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Article 24 : Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration La CNIL recommande à cet égard que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel

Dilution de données (1) Éviter la « dilution » des données archivées dans le système informatique de l’entreprise. Les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Dilution de données (2) La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise) Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

Droit d’accès (1) Pour la CNIL, les archives courantes et intermédiaires sont soumises au droit d’accès : « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir (...) la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ». Et les archives définitives ? La base juridique de cette modalisation est l’article 39-II de la loi : « Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».

Droit d’accès (2) Dès lors, pour la CNIL : « Si, en application de la loi informatique et libertés modifiée, il peut exister pour les archives dites définitives une exception au principe du droit d’accès aux données archivées, la CNIL recommande néanmoins d’utiliser, en particulier en cas de données sensibles au sens de l’article 8 de la loi précitée, des procédés d’anonymisation Un archivage ne s’improvise pas : il se prépare et se pense. Dès lors la CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage soucieuses de la loi Informatique et Libertés, et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.