REFORME DE LA LOI INFORMATIQUE ET LIBERTES : ENST REFORME DE LA LOI INFORMATIQUE ET LIBERTES : les nouveaux enjeux Ariane MOLE Avocat Associé BIRD & BIRD ariane.mole@twobirds.com ariane.mole@twobirds.com

LES TEXTES Loi Informatique, fichiers Code de la santé Code pénal et libertés modifiée le 6 août 2004 Code pénal Code de la santé publique Code civil Code de la consommation Code du travail Directive Données Personnelles Loi pour la confiance dans l’économie numérique Directive Communications Électroniques ariane.mole@twobirds.com

PLAN FOCUS: LE SPAMMING LES POINTS CLES DE LA REFORME LES TRANSFERTS INTERNATIONAUX DE DONNEES DECLARATIONS ET DEMANDES D’AUTORISATIONS FOCUS: LE SPAMMING

NOUVELLE LOI INFORMATIQUE LES POINTS CLES DE LA REFORME ET LIBERTES LES POINTS CLES DE LA REFORME ariane.mole@twobirds.com

LA LOI INFORMATIQUE, FICHIERS ET LIBERTES DU 6 JANVIER 1978 MODIFIEE PAR LA LOI DU 6 AOÛT 2004

REFORME DE LA LOI I&L Renforcement de la protection des personnes (information, données sensibles) Modifications des déclarations/autorisations préalables auprès de la CNIL Mise en place d’un correspondant à la protection des données Nouveaux pouvoirs de la CNIL Nouvelles dispositions du Code pénal

L’ADDITION DES RISQUES Le risque pénal Le risque civil Le risque administratif

LES NOUVEAUX POUVOIRS DE LA CNIL pouvoir d’autorisation (ou de retrait d’autorisation) mise en demeure du responsable de cesser un manquement / avertissement / injonction d’arrêter ou de détruire le traitement sanctions pécuniaires (150 000 € ou 300 000 € si récidive) le président de la CNIL peut demander au juge (par référé) d’ordonner des mesures label sur produits et procédures avis sur les codes professionnels avis sur la cessation des fonctions du correspondant

OMNIPRESENCE DES TRAITEMENTS AUTOMATISES DE DONNEES PERSONNELLES Les données personnelles: art.2 al.2 informations permettant, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques Le traitement automatisé : art.2 al.3 tout ensemble d’opérations réalisées par des moyens automatiques ... ariane.mole@twobirds.com

T.A.D.P. ET LOI I&L Fichiers de paie, RH, clients, prospects, fournisseurs … Autocommutateurs téléphoniques, badges, cartes à mémoire... Sites internet, intranet, extranet, minitel... Annuaires, trombinoscopes, listes d ’adresses…

NOUVELLE LOI INFORMATIQUE DEMANDES D'AUTORISATIONS ET LIBERTES LES DECLARATIONS ET DEMANDES D'AUTORISATIONS AUPRES DE LA CNIL ariane.mole@twobirds.com

LES NOUVELLES REGLES Secteurs public et privé : même régime Principe : déclaration préalable auprès de la CNIL, qui doit en délivrer récépissé (CE, 06/01/97, CERAL/CNIL) Certains traitements peuvent être exonérés de déclaration, ou la déclaration peut être simplifiée Mais traitements à risques spécifiques : autorisation ou avis préalable de la CNIL

PRINCIPAUX TRAITEMENTS AUTOMATISES SOUMIS A AVIS OU AUTORISATION PREALABLE Activités régaliennes de l’Etat : recherche ou poursuite des infractions, condamnations, défense, sûreté, sécurité publique Utilisation du NIR Téléservices d’administration électronique utilisant un identifiant Transferts de données hors UE

AUTRES TRAITEMENTS AUTOMATISES SOUMIS A AUTORISATION PREALABLE DE LA CNIL Traitements automatisés ayant pour finalité de sélectionner les personnes en vue de les exclure du bénéfice d’un droit, d’une prestation ou d’un contrat Données génétiques (sauf médecins) Traitements automatisés ayant pour objet l’interconnexion de fichiers dont les finalités principales sont différentes

AUTRES TRAITEMENTS AUTOMATISES SOUMIS A AUTORISATION PREALABLE DE LA CNIL Traitements automatisés comportant des appréciations sur les difficultés sociales Traitements automatisés comportant des données biométriques pour le contrôle de l’identité Traitements automatisés sur la recherche en matière de santé ou sur l’évaluation des pratiques de soins

DECLARATION ORDINAIRE DECLARATION SIMPLIFIEE (si norme simplifiée) CNIL CNIL DEMANDE DE COMPLEMENTS DEMANDE DE COMPLEMENTS RECEPISSE

DEMANDE D’AUTORISATION Demande d’autorisation RECOURS JURIDICTIONNEL CNIL Silence de 2 mois (ou 4 mois) REFUS AUTORISATION RECOURS JURIDICTIONNEL MISE EN OEUVRE ariane.mole@twobirds.com

L’EXPLOITATION DOIT RESTER CONFORME A LA DECLARATION/AUTORISATION La durée de conservation Le respect de la finalité déclarée La mise à jour de la déclaration/autorisation

L’ALTERNATIVE : LE CORRESPONDANT A LA PROTECTION DES DONNEES • Les avantages • Les inconvénients

QUI? • QUI? • Sa nomination: • Sa révocation Une personnes bénéficiant des qualifications requises • Sa nomination: notifiée à la CNIL portée à la connaissance des IRP • Sa révocation

QUOI? (SES MISSIONS) • Tenir une liste des traitements Diffusion de la culture I&L Conseil, audit, médiation • Saisir la CNIL en cas de difficultés (alerte)

LES DONNEES SENSIBLES INTERDITES Les données interdites : La liste de l’art. 8 loi du 6.01.78 Les exceptions (consentement exprès, donnée manifestement rendue publique, partis politiques, professionnels de santé …) La nationalité / le PACS Le cas particulier de l’anonymisation à bref délai autorisée par la CNIL Comparaison avec l’interdiction de discrimination : art.L.122-45 du Code du travail ariane.mole@twobirds.com

LE DROIT D’INFORMATION, D’ACCES ET DE RECTIFICATION (Art.39 & s.) Droit d’interrogation Droit à une information complémentaire Droit de consultation Droit de copie Droit de rectification : données inexactes, incomplètes, équivoques, périmées, interdites

L’OBLIGATION DE SECURITE L’article 34 Nouvelle loi I&L : obligation d’un contrat écrit en cas de sous-traitance (art.35) Projet de décret sur l’hébergement des données de santé : prescriptions techniques fixées par décret / agrément de l’hébergeur / consentement de la personne concernée (L 04.03.2002)

LE CONTENU DE L’OBLIGATION DE SECURITE ET DE CONFIDENTIALITE Sécurité physique Sécurité logique (attention au traçage) Sécurité juridique : sensibilisation des utilisateurs (respect de la charte et des consignes de sécurité) / contrats avec les prestataires

FOCUS : SPAMMING ET PROSPECTION ELECTRONIQUE Envoi en masse non sollicité = spamming La loi vise tout forme de prospection électronique (mail, SMS…) La CNIL et la boîte à spams – les résultats

LE CHAMP D’APPLICATION LA PROSPECTION PAR COURRIER ELECTRONIQUE (Consentement obligatoire depuis la nouvelle loi sur l’économie numérique) LE CHAMP D’APPLICATION Automates d’appel / télécopieur / courrier électronique / Prospection directe Personnes physiques

LA PROSPECTION PAR COURRIER ELECTRONIQUE : le principe Le consentement préalable obligatoire Un consentement libre … … spécifique et … … informé Indication des coordonnées Interdiction de dissimuler l’identité de l’expéditeur ou l’objet de la communication

LA PROSPECTION PAR COURRIER ELECTRONIQUE : l’exception Coordonnées recueillies directement auprès du destinataire Dans le respect de la loi Informatique et libertés À l’occasion d’une vente ou d’une prestation de service Prospection concernant des produits ou services analogues Fournis par la même personne physique ou morale La constante : prévoir un droit d’opposition sur le courrier électronique

LA PROSPECTION PAR COURRIER ELECTRONIQUE : la période transitoire est terminée Possibilité de solliciter le consentement par courrier électronique pendant 6 mois après l’entrée en vigueur de la loi (soit jusqu’au 22 décembre 2004)

LA QUESTION DES TRANSFERTS INTERNATIONAUX DE DONNEES NOUVELLE LOI INFORMATIQUE ET LIBERTES LA QUESTION DES TRANSFERTS INTERNATIONAUX DE DONNEES ariane.mole@twobirds.com

LE NOUVEAU CADRE JURIDIQUE DE LA GESTION TRANSNATIONALE DES DONNEES Qui est concerné? Tous les flux de données personnelles à destination d’un pays tiers à l’UE (même en cas de transmission à un prestataire hors UE) La délocalisation des traitements La gestion internationale des BDD /mise en œuvre internationale des ERP La gestion des expatriés

LES TRANSFERTS DE DONNEES DANS UN PAYS TIERS A L’UNION EUROPEENNE Les nouvelles contraintes légales La nécessité d’un niveau de protection suffisant dans les pays tiers Les nouvelles sanctions pénales La liste des pays tiers autorisés par la Commissaire Européenne Le cas particulier des accords de Safe Harbor aux USA ariane.mole@twobirds.com

TABLEAU CARTOGRAPHIQUE DES PAYS CONCERNES/ Pays tiers avec protection adéquate reconnue par l’UE UE : loi nationale applicable Pays tiers avec loi nationale non reconnue par l’UE Pays tiers sans loi de protection de données Safe Harbor (USA) TABLEAU CARTOGRAPHIQUE DES PAYS CONCERNES/ LOIS APPLICABLES/ DETERMINATION DES OBLIGATIONS PRESCRITES PAR LES LOIS APPLICABLES

LES TRANSFERTS DE DONNEES DANS UN PAYS TIERS A L’UNION EUROPEENNE (suite) Les autres dérogations possibles avec l’autorisation de la CNIL Le consentement Le recours au contrat (clauses type de la Commission Européenne) Le recours à un Code de Conduite Intra-groupe (Binding Corporate Rules / Règles Internes d’Entreprise) ariane.mole@twobirds.com

LES TRANSFERTS DE DONNEES DANS UN PAYS TIERS A L’UNION EUROPEENNE De nouvelles sanctions pénales depuis le 6 août 2004… Et donc des litiges en perspective TGI Nanterre, 2 juin 2004 : les clauses d’accès à Internet d’AOL, qui prévoient le transfert et le stockage aux USA des données sur les abonnées, sont jugées abusives

MERCI Ariane MOLE Avocat Associé BIRD & BIRD ariane.mole@twobirds.com