Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parMarie-Christine Marois Modifié depuis plus de 8 années
1
1 Internet et vie privée Cécile de Terwangne – Cours Droits de l’homme et société de l’information - UNamur
2
2 Navigation Traces invisibles Courrier électronique Surveillance (cf. cours ultér.) Spamming Actions conscientes d’identification
3
3 Navigation Actions conscientes de fourniture d’informations personnelles - commandes - participation aux forums - participation sur des blogs, des wikis - diffusion d’informations sur des réseaux sociaux - …
4
4 Navigation Traces invisibles - données de navigation: adresses IP, navigateur, page référente,… - cookies - bannières (cybermarketing: Doubleclick) Conservations insoupçonnées - requêtes dans les moteurs de recherche
5
5 Navigation Solutions : - technique - législation - codes de bonne conduite
6
6 Solution technique Art. 14 Directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : « Mesures peuvent être adoptées pour garantir que les équipements soient construits de manière compatible avec le droit des utilisateurs de protéger et contrôler l’utilisation de leurs données » Privacy by Design Ex.: navigateur programmé pour ne faire suivre que très peu de ‘traces’ Ex.: sites permettant d’adapter pour chacun les Privacy settings
7
7 Solution législative - Directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques Complète la directive 95/46 générale - Directive 95/46 du 24 octobre 1995 Application des:
8
8 Sur le plan belge: Application de la loi du 8 décembre 1992 + Application de la loi du 13 juin 2005 et des articles 259bis et 314bis du Code pénal
9
9 I. Directive générale Obligations à l’égard des personnes mentionnées sur un site Internet devoir d’information, consentmt/contrat/int. publ., droit de rectif., d’oppostion, notification à aut. de contr Obligations à l’égard des internautes devoir d’information, base légitime, droit d’accès, de rectif., d’oppostion, notification à aut. de contr. pour les resp. établis en Europe ou utilisant des moyens situés en Europe (cookies sur ord. eur.) Privacy policy affichée sur le site internet
10
10 Données relatives au trafic = toutes les données traitées en vue de l’acheminement d’une communication ou de sa facturation Exemples: données sur la durée d’une communication le moment le volume le réseau de départ ou d’arrivée le protocole de référence II. Directive spécifique
11
11 Données de localisation = toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur final d'un service de communications électroniques accessible au public
12
12 II.1. Obligation de sécurité Obligation de garantir la sécurité des réseaux: mesures devraient garantir que seules des personnes autorisées puissent avoir accès aux données à caractère personnel, à des fins légalement autorisées, et que les données à caractère personnel stockées ou transmises ainsi que le réseau et les services sont protégés Obligation d’informer l’autorité nationale de contrôle des « violations des données à caractère personnel »: des incidents touchant à la sécurité susceptibles d'entraîner des risques graves pour la vie privée de l'abonné (par exemple vol ou usurpation d'identité, atteinte à l'intégrité physique, humiliation grave ou réputation entachée) Data breaches
13
13 Définition de violation de données à caractère personnel: une violation de la sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière. A consulter sur le sujet : Avis 03/2014 du Groupe de l’Article 29 sur la notification des violations de données à caractère personnel du 25 mars 2014
14
14 Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel et la vie privée d'un abonné ou d'un particulier, le fournisseur avertit également sans retard l'abonné ou le particulier concerné de la violation. La notification d'une violation des données à caractère personnel à l'abonné ou au particulier concerné n'est pas nécessaire si le fournisseur a prouvé à la satisfaction de l'autorité compétente qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.
15
Obligation en cas de violation des données à caractère personnel (security breaches) ne s’applique qu’aux fournisseurs de services de communications électroniques Sera généralisée à tous les responsables de traitement (cf. art. 33 et s. du futur règlement UE) En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. 15
16
16 Règle : confidentialité des communications et des données de trafic et de localisation Interdiction de stockage sauf : - consentement des utilisateurs - stockage technique nécessaire à l’acheminement d’une communication - pour fournir la preuve d’une transaction/communication commerciale II.2. Obligation de confidentialité
17
17 + les données de trafic peuvent être traitées pour - établir les factures des abonnés (informer des données traitées et de la durée) - commercialiser les services de communications él. ou services à val. ajoutée (informer + consentement, rétractable) + dérogations pour sauvegarder la sécurité nationale, assurer la poursuite d’infractions,… (art. 15 dir.) Article 122 loi du 13 juin 2005 Article 123 loi du 13 juin 2005 + les données de localisation peuvent être traitées pour - commercialiser des services à valeur ajoutée (informer + consentement rétractable)
18
18 Ex. : Lutte contre le téléchargement illégal d’oeuvres C.J.C.E., arrêt du 29 janvier 2008 (Promusicae): La Cour accepte que « les Etats membres établissent une obligation de transmission à des personnes privées de données à caractère personnel pour permettre d’engager, devant les juridictions civiles, des poursuites contre les atteintes au droit d’auteur, mais elle n’oblige pas non plus ces Etats à prévoir une telle obligation » (§55), à la condition d’assurer un « juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique de l’Union » (§56).
19
19 II.3. Les cookies (témoins de connexion) art. 5, § 3 dir. 2002/58 et considérant 24 Cookies et accès à cookies existants permis à condition que - information claire et complète (not. sur les finalités) -utilisateur ait le droit de refuser/ ait donné son accord, après avoir reçu une information claire et complète Cookies permis sans condition - si vise à effectuer ou faciliter la transmission - si strictement nécessaire à fourniture d’un service demandé Principe: : l’équipement terminal de l’utilisateur et toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la CEDH
20
20
21
Dispositifs permettant de fournir un service demandé expressément par l'abonné ou l'utilisateur final Exemples : Pour la fourniture d’un service de la société de l’information (commerce électronique) sollicité par l’internaute. –les cookies servant pour les paniers d’achat, – des cookies servant pour effectuer un login, – les cookies nécessaires à visionner des images ou écouter des sons, à condition dans tous les cas, qu’ils soient supprimés à la fin de la session. 21
22
A consulter sur le sujet : –Groupe de l’article 29, avis 04/2012 sur l’exemption de l’obligation de consentement pour certains cookies, 7 juin 2012, http://ec.europa.eu/justice/data-protection/. http://ec.europa.eu/justice/data-protection/ 22
23
23 II.4. Le spamming / Les communications non sollicitées Prospection directe via automates d’appel, fax et courrier électronique (y compris les services de messages courts (SMS) et les services de messages multimédias (MMS)) [c.él. = tout message sous forme de texte, de voix, de son ou d'image envoyé par un réseau public de communications qui peut être stocké dans le réseau ou dans l'équipement terminal du destinataire jusqu'à ce que ce dernier le récupère]: consentement préalable (opt-in) Si adresse électronique obtenue dans le cadre d’une vente d’un produit ou d’un service: donner la faculté de s’opposer gratuitement (opt-out) Autres cas: choix entre opt-in et opt-out pour l’Etat membre
24
Rétention des données 24 Directive 2006/24/CE du parlement européen et du conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE
25
CJUE, arrêt 8 avril 2014, Digital Rights Ireland Ltd (C ‑ 293/12) 25 C’est sur le plan de la proportionnalité que la Cour critique la directive, et plus particulièrement sur le caractère nécessaire des mesures adoptées. Trois aspects des dispositions prises dans la directive sont plus particulièrement pointés qui mettent en exergue l’absence de garde-fous suffisants contre une utilisation abusive des données. Premièrement, le fait que ce soit l’ensemble des citoyens de l’Union européenne qui soit visé par ces ingérences sans qu’un lien, fût-il indirect, avec un comportement criminel avec les personnes concernées ne soit exigé. Deuxièmement, c’est l’absence de critère objectif délimitant l’accès des autorités nationales compétentes et la réutilisation des données ainsi que l’absence de garanties procédurales (tel un contrôle préalable effectué par une juridiction) pour encadrer cet accès et cette réutilisation qui sont fustigés. Troisièmement, la Cour relève l’absence de critères objectifs pour déterminer pour quelle durée chacune des données concernées doit être conservée. La Cour déplore également l’absence de garanties suffisantes prévues pour assurer la sécurité des données et d’obligation de conserver les données sur le territoire de l’Union.
26
Conservation indifférenciée, accès, durée, sécurité, données pas conservées nécessairement dans l’UE: « le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité » « Par ces motifs, la Cour (grande chambre) dit pour droit: La directive 2006/24/CE est invalide. » !! 26
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.