Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parSarah Richard Modifié depuis plus de 8 années
1
Franck Dumortier franck.dumortier@fundp.ac.be Le point sur le droit des logiciels… jusqu’au « Cloud Computing » Droit à la vie privée et « Cloud Computing » 1
2
- 2 « Cloud Computing » : contexte technique SAAS: Application(s) accessible(s) à distance comme un (des) service(s) via Internet et le Web Ex: CRM, GRH, e-mail, travail collaboratif, vidéo-conférence, etc Applications (et donc données) hébergées … NON pas en interne dans l’entreprise MAIS en EXTERNE par les éditeurs de SAAS (SAAS providers) La pluralité de ces « hébergements applicatifs externes » a pour conséquence la formation d’un « nuage » (cloud) d’acteurs responsables…
3
- 3 « Cloud Computing »: illustration CRM GRH E-mail Vidéo-Conférence Comptabilité Quelles normes s’appliquent-elles et à qui? Quelles sont les responsabilités des divers acteurs?
4
- 4 Rappel: vie privée et données à caractère personnel Bases juridiques: Au niveau international: Art. 8 CEDH et C°108 Au niveau UE: Art. 7 et 8 Charte UE et Directive 95/46 Au niveau belge: Art. 22 Const. et Loi du 8 décembre 1992 une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement [...] » ex: nom, photo, e-mail, tel, ip, etc (notion très large) Traitement: « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés […] »
5
- 5 « Cloud Computing » & privacy: Questions juridiques 1.L’éditeur-hébergeur SAAS (SAAS Provider) est-il « responsable du traitement » ou simple « sous-traitant »? 2.Quelle est la loi applicable? 3.Quelles sont les obligations respectives des responsables du traitement et des sous-traitants? 4.Quid des flux transfrontières (vers des pays non-européens) de données effectués entre l’entreprise et des SAAS providers? 5.Quid d’une injonction donnée par une autorité publique d’un pays tiers à un SAAS provider établi sur son territoire?
6
- 6 « responsable du traitement »? Responsable du traitement: « la personne physique ou morale, […] qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Critère: la DECISION Qualification importante puisque celui-ci a plusieurs obligations: Déclaration Information Sécurité Confidentialité Donner droit d’accès Donner droit de rectification
7
- 7 « sous-traitant »? Sous-traitant: « la personne physique ou morale […] qui traite des données à caractère personnel pour le compte du responsable du traitement et est autre que la personne qui, placée sous l'autorité directe du responsable du traitement, est habilitée à traiter les données ». Critère: l’ACTION (!!!) La notion de sous-traitant a une définition propre en vertu du droit de la protection des données et ne peut être interprétée au départ de sources juridiques externes Obligations moindres: Sécurité N’agir que sur instruction du responsable Contrat écrit (électronique OK)
8
- 8 Quelle qualification pour le SAAS provider? (1) Une piste: le considérant 47 de la Directive 95/46: « lorsqu'un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c'est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message; que, toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service ». Interprétation téléologique? Interprétation littérale?
9
- 9 Quelle qualification pour le SAAS provider? (2) Qui détermine « les finalités » et « les moyens » du traitement effectué par une application SAAS? « Pour établir qui détermine la finalité et les moyens de chaque traitement identifié, il importe peu que des institutions ou des groupements [par exemple des entreprises] aient manifesté un ou plusieurs besoins. La question est de savoir qui décide que ce sera ce traitement particulier-là (opération physique), ayant telle finalité propre, réalisé de telle manière (caractéristiques techniques) et dans telles conditions (moyens généraux, notamment organisationnels) qui satisfera ou concourra à satisfaire ce besoin. » (Déc. SWIFT) Celui qui décide de l’opération technique réalisée, de la finalité, des caractéristiques techniques du traitement ainsi que des moyens généraux, notamment organisationnels pour réaliser le besoin considéré…
10
- 10 Quelle qualification pour le SAAS provider? (3) Qui détermine les finalités et les moyens du traitement effectué par une application SAAS? « il faut bien entendu apprécier le fait que le responsable doit garder la maîtrise, ne serait-ce qu'intellectuelle, tant du traitement que des données traitées, et que le traitement ne peut évidemment dépasser ce que le responsable présumé est capable de maîtriser ou ce que théoriquement il aurait été capable de réaliser, à supposer qu'il ait eu les moyens de le faire ou qu'il ait choisi de mobiliser ces moyens ». (Déc. SWIFT) Maitrise intellectuelle (>< matérielle) tant du traitement que des données + le traitement ne peut dépasser ce que le responsable est « capable » de maitriser (ne pas traiter de données supplémentaires ou effectuer de traitement supplémentaire)…
11
- 11 Quelle qualification pour le SAAS provider? (4) L’entreprise doit être considéré comme « responsable »... Des traitements et des données dont elle a la maitrise intellectuelle (ou) Des opérations techniques et moyens organisationnels qu’elle a demandé au SAAS provider pour la finalité qu’elle a déterminée Pour ces opérations, le SAAS provider est « sous-traitant ». Le SAAS provider doit être considéré comme « responsable du traitement » pour tous traitements non directement liés aux opérations demandées.
12
- 12 Des concepts flous? (1) Critère: « qui détermine les finalités et les moyens du traitement » Problème: les moyens ne sont plus directement déterminés par le responsable du traitement Les moyens du traitement sont les services fournis par les sous-traitants (les SAAS providers) Le service est organisé par le sous-traitant = les moyens du traitement sont déterminés et fournis par les sous-traitants Le critère de la détermination des moyens est-il encore adéquat? On parle de « co-responsables »… Quid de la sécurité juridique?
13
- 13 Des concepts flous? (2) Critère: « qui détermine les finalités et les moyens du traitement » Problème: le sous-traitant détermine la finalité de son service… et le service fourni est le traitement… Le sous-traitant détermine la finalité du traitement? Le critère de la détermination de la finalité est-il encore adéquat? On parle de « co-responsables »… Quid de la sécurité juridique?
14
- 14 La loi applicable La loi applicable est celle: du lieu d’un établissement du responsable du traitement (il peut y en avoir plusieurs); du lieu où, bien que n’y étant pas établi, le responsable du traitement recourt à des moyens pour réaliser son traitement (à l’exception du simple transit). Vers une extra-territorialité? Cookies Spyware, …
15
- 15 Les obligations des responsables du traitement (1) Les données doivent être traitées: Dans un but déterminé, explicite, légitime (et traitement ultérieur compatible) Adéquates, pertinentes et non excessives au regard de ces finalités Exactes et mises à jour Conservées pour une durée non excessive par rapport au but défini Les données ne peuvent être traitées que si: Consentement libre, spécifique et informé de la personne concernée Le traitement est nécessaire à l’exécution d’un contrat Le traitement est exigé par la loi Sauvegarde de l’intérêt vital de la personne concernée Mission d’intérêt public Si l’intérêt légitime du responsable du traitement ne dépasse pas l’intérêt ou les droits de la personne dont on traite les données
16
- 16 Les obligations des responsables du traitement (2) Les données « sensibles » (qui révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à vie sexuelle) et données relatives à la santé ne peuvent pas être traitées sauf: consentement par écrit données manifestement publiques associations à finalité politique, religieuse,... et pas de communication à des tiers obligation légale (droit du travail) permis par ou en vertu d’une loi, en vue de l’application de la sécurité sociale ou pour un motif d’intérêt public important. aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé
17
- 17 Les obligations des responsables du traitement (3) Information Déclaration à la Commission de la protection de la vie privée Donner droits d’accès et de rectification Sécurité En tenant compte de l’état de la technique, des frais des risques et de la nature des données à protéger Informer le personnel Confidentialité (+ limiter l’accès au personnel adéquat) Mais aussi…
18
- 18 Les obligations des responsables du traitement (4) Le responsable du traitement doit: choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements; veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles; fixer dans le contrat la responsabilité du sous-traitant à l'égard du responsable du traitement; convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement; consigner par écrit ou sur un support électronique ces éléments du contrat.
19
- 19 Les obligations des sous- traitants 1.Sécurité En tenant compte de l’état de la technique, des frais des risques et de la nature des données à protéger 2.Confidentialité 3.Ne peut traiter les données que sur instruction du responsable du traitement
20
- 20 « Cloud Computing » et flux transfrontières CRM GRH E-mail Vidéo-Conférence Comptabilité
21
- 21 Flux transfrontières « Transfert »? CJCE, arrêt Lindqvist: «Eu égard, d'une part, à l'état du développement d'Internet à l'époque de l'élaboration de la directive 95/46 et, d'autre part, à l'absence, dans son chapitre IV, de critères applicables à l'utilisation d'Internet, on ne saurait présumer que le législateur communautaire avait l'intention d'inclure prospectivement dans la notion de "transfert vers un pays tiers de données" l'inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d'y accéder ». Position de la Commission Dans le cas des SAAS, les données sont placées dans des bases de données distantes…
22
- 22 Flux: Etape n°1 Des données à caractère personnel sont elles transférées? Non Oui Avant/pendant le transfert; les données ont-elles été traitées conformément à la loi? Oui Le but du transfert est-il compatible avec la finalité pour laquelle les données ont été initialement collectées? Le transfert peut avoir lieu au regard de la loi du 8/12/92 Non Le transfert ne peut pas avoir lieu Oui Voir étape n°2 Le transfert ne peut pas avoir lieu Non
23
- 23 Flux: Etape n°2 Les données sont-elles transférées vers un pays situé en dehors de l’EEE? Non Principe: liberté de circulation Oui Les données sont-elles transférées vers un pays tiers assurant un « niveau de protection adéquat »? Non Oui Le transfert peut avoir lieu moyennant le respect de la loi Passez à l’étape n°3 La Commission Européenne a déjà reconnu “adéquats” la Suisse, le Canada (secteur privé), l’Argentine, le Guernsey, Jersey, l’Ile de Man et le Safe Harbor (US).
24
- 24 Flux: Etape n°3 Les données sont-elles transférées entre des sociétés d’une même multinationale? Oui Binding Corporate Rules? Non Le responsable du traitement offre-t’il des garanties suffisantes? (clauses contactuelles, clauses standard) Non Le transfert ne peut avoir lieu sauf si vous pouvez vous prévaloir d’une exception de l’article 22 Oui Le transfert peut avoir lieu.
25
- 25 Contrats Article 22 LVP … le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées. PME CPVP A.R.
26
- 26 Clauses contractuelles types (1) Article 26 §4 Dir. 95/46 Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. PME CPVP CCTypes destinataire
27
- 27 Clauses contractuelles types (2) Faut-il obligatoirement utiliser les Clauses contractuelles types? NON Faut-il une autorisation de la CPVP pour pouvoir les utiliser? NON, mais copie (vérification) + déclaration du traitement si nécessaire L’autorité de contrôle peut-elle tout de même bloquer le transfert? OUI (3 cas) L’importateur est soumis à des règles qui l’obligent à déroger au contrat (sauf exceptions art. 13 - restrictions nécessaires dans une société démocratique) L’importateur n’a pas respecté les clauses du contrat (constat par une autorité) Fort probable que les CCtypes ne seront pas respectées
28
- 28 Clauses contractuelles types (3) Obligations du responsable du traitement Traitement et transfert respectent le droit applicable Charger l’importateur de traiter les données pour son compte exclusif et conformément au droit applicable Garantir que l’importateur offre des garanties suffisantes Garantir que les mesures de sécurité sont adéquates Veiller au respect de ces mesures Cat. particulières : informer les personnes avant le transfert Remettre la notification de l’imp. (voir après) à l’aut. de contrôle Copie à disposition
29
- 29 Clauses contractuelles types (4) Obligations du sous-traitant (1): Traiter pour le compte exclusif de l’exportateur Aucune raison de croire qu’il existe des règles empêchant de remplir ses obligations Mettre en œuvre les mesures techniques et d’organisation Communiquer à l’exportateur: Demande de divulgation de données par une autorité (maintien de l’ordre) sauf règle contraire Tout cas d’accès fortuit, non autorisé Toute demande reçue des personnes c. (pas répondre sauf autorisation contraire)
30
- 30 Clauses contractuelles types (5) Obligations du sous-traitant (2): Traiter les demandes d’info venant de l’exportateur Audit sur demande de l’exportateur Copie à disposition des personnes concernées (description sommaire des mesures de sécurité uniquement) Accepter que l’autorité de contrôle effectue des vérifications dans les mêmes conditions qu’auprès du responsable du traitement.
31
- 31 Clauses contractuelles types (6) Responsabilité: Revient au responsable du traitement Si l’exp. a matériellement disparu ou cessé d’exister en droit ou insolvable: plainte à l’encontre de l’importateur Si l’un est tenu pour responsable d’une violation commise par l’autre: dédommagement
32
- 32 Franck Dumortier Chercheur – Assistant en droit Centre de Recherches Informatique et Droit (CRID) franck.dumortier@fundp.ac.be www.crid.be
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.