Introduction au Droit des Bases de Donn

1
Introduction au Droit des Bases de Données
Frédéric Gava (MCF) gava_at_univ-paris12.fr LACL,
bâtiment P2 du CMC, bureau 223 Université de
Paris XII Val-de-Marne 61 avenue du Général de
Gaulle 94010 Créteil cedex
2
ATTENTION !

• Lauteur nayant pas une formation juridique, ni
  de compétences poussées en Droit, celui-ci ne
  souhaite pas que ce cours soit pris comme une
  référence
• Ce cours est utilisé pour compléter une
  formation informatique ( Initiation aux SGBD )
  pour des étudiants en Droit il nest là quà
  titre informatif,  pédagogique  et pour
  permettre un débat plus instructif sur le sujet

3
Références

• Le site de la CNIL  Commission National de
  lInformatique et des Libertés 
  http//www.cnil.fr
• http//www.droit-technologie.org/
• http//www.rabenou.org/ (site dun avocat)
• http//www.jurisnet.org/
• http//www.dit.presse.fr/ (revue de Droit de
  linformatique et des télécoms)
• www.legalis.net (site de jurisprudences)

4
Introduction

• Les obligations légales en matière de gestion
  fiscale, comptable ou sociale imposent souvent
  aux entreprises de conserver sur de longues
  périodes des documents contenant des données à
  caractère personnel
• Les entreprises préfèrent, à tout prendre,
  envisager un archivage électronique souvent
  synonyme de coûts diminués. L'archivage
  électronique des données de l'entreprise (ou une
  BD) n'est pas innocent par rapport à la loi de
  1978 sur la protection des données à caractère
  personnel.

5
Définitions (1)

• Les bases de données en Europe possèdent leur
  propre protection juridique, depuis la directive
  européenne du 11 mars 1996. Cette protection a la
  caractéristique d'être double. Les bases de
  données sont protégées d'une part comme oeuvre de
  l'esprit, par le droit d'auteur, et comme bien
  informationnel d'un genre nouveau, par le droit
  "sui generis" du producteur de la base de données
• Par base de données, on entend ici tout recueil
  d'informations, sous forme électronique ou non,
  (à l'exception du moteur logiciel, si la base est
  sous forme électronique), accessibles
  individuellement
• Cette définition très large couvre aussi bien en
  pratique les banques de données que des sites
  Internet par exemple

6
Définitions (2)

• Constitue un traitement de données à caractère
  personnel toute opération ou tout ensemble
  dopérations portant sur de telles données, quel
  que soit le procédé utilisé (quel que soit la
  requête)
• Constitue un fichier de données (ou une BD) à
  caractère personnel tout ensemble structuré et
  stable de données à caractère personnel
  accessibles selon des critères déterminés
• Ce implique
• l'archivage électronique de données à caractère
  personnel qui étaient à l'origine sous forme
  électronique et qui étaient déjà soumise à la loi
  de 1978
• l'archivage sous forme électronique de données
  et qui faisaient à l'origine lobjet dun
  traitement non automatisé et dont le basculement
  dans lunivers électronique crée un traitement
  automatisé qui entraîne application de la loi.

7
Daprès la CNIL
8
Vos Droit dans les SGBD

• Dans un monde largement informatisé, la loi du 6
  janvier 1978 (1994) prévoit de solides garde-fous
  pour protéger les personnes des dangers liés aux
  fichiers et aux traitements informatiques
  contenant des données à caractère personnel.
• La loi Informatique et libertés reconnaît
  aux citoyens des droits spécifiques pour
  préserver leur vie privée.
• Les droits Informatique et libertés
• Le droit à linformation
• Le droit dopposition
• Le droit daccès
• Le droit de rectification
• Le non-respect de ces droits est sanctionné
  pénalement.En cas de difficulté dans lexercice
  de vos droits, vous pouvez saisir la CNIL

9
Droit à linformation (1)

• Soyez curieux des informations vous concernant
  
• Toute personne a le droit de savoir si elle est
  fichée et dans quels fichiers elle est recensée.
• Toute personne qui met en œuvre un fichier ou un
  traitement contenant des données personnelles
  doit informer les personnes fichées de
• lidentité du responsable du traitement,
• lobjectif de la collecte dinformations,
• le caractère obligatoire ou facultatif des
  réponses,
• les conséquences de labsence de réponse, 
• les destinataires des informations,
• les droits reconnus à la personne,
• les éventuels transferts de données vers un pays
  hors de lUnion Européenne
• sapplique aussi réseaux via des témoins de
  connexion

10
Droit à linformation (2)

• Les limites au droit à linformation
• Il est des cas où lobligation d'information est
  allégée
• lorsque les données collectées sont très vite
  anonymisées,
• lorsque les données ne sont pas recueillies
  directement auprès de la personne.
• Il est des cas où lobligation d'information est
  exclue
• pour les fichiers de police ou de gendarmerie,
• pour les fichiers relatifs à des condamnations
  pénales,
• lorsque linformation de la personne se révèle
  impossible ou très difficile

11
Droit dopposition

• Restez maître de vos données personnelles
• Toute personne a la possibilité de s'opposer,
  pour des motifs légitimes, à figurer dans un
  fichier et cela sans se justifier (contre la
  prospection commercial) en ce sens, elle peut
  refuser dapparaître dans certains fichiers ou de
  voir communiquer des informations sur elles à des
  tiers.
• Le droit d'opposition peut sexprimer
• par un refus de répondre lors dune collecte non
  obligatoire de données,
• par le refus de donner laccord écrit
  obligatoire pour le traitement de données
  sensibles telles que les opinions politiques ou
  les convictions religieuses,
• la faculté de demander la radiation des données
  contenues dans des fichiers commerciaux,
• la possibilité d'exiger la non-cession ou la
  non-commercialisation dinformations, notamment
  par le biais dune case à cocher dans les
  formulaires de collecte
• Les limites au droit dopposition le droit
  d'opposition n'existe pas pour de nombreux
  fichiers du secteur public comme, par exemple,
  ceux des services fiscaux, des services de
  police, des services de la justice, de la
  sécurité sociale

12
Droit daccès (1)

• Consultez vos données personnelles
• Toute personne justifiant de son identité a le
  droit d'interroger le responsable dun fichier ou
  dun traitement pour savoir sil détient des
  informations sur elle, et le cas échéant den
  obtenir communication
• Toute personne peut prendre connaissance de
  lintégralité des données la concernant et en
  obtenir une copie dont le coût ne peut dépasser
  celui de la reproduction.
• Toute personne est en droit dobtenir des
  explications sur le procédé informatique qui a
  contribué à produire une décision la concernant
  (finalités du traitement, du type de données
  enregistrées)
• En exerçant son droit daccès, la personne peut
  sinformer éventuels transferts de ces
  informations vers des pays nappartenant pas à
  lUnion Européenne

13
Droit daccès (2)

• Les limites au droit daccès
• Si un responsable de traitement estime qu'une
  demande est manifestement abusive, il peut ne pas
  y donner suite. En revanche si laffaire est
  portée devant un juge il devra apporter la preuve
  du caractère manifestement abusif de la demande
  en cause.
• Le droit d'accès ne sexerce pas lorsque les
  données sont conservées sous une forme ne
  présentant aucun risque d'atteinte à la vie
  privée et pendant une durée n'excédant pas celle
  nécessaire à l'établissement de statistiques ou à
  la recherche scientifique ou historique.
• Lexercice du droit daccès ne doit pas porter
  atteinte au droit dauteur.
• Le droit d'accès aux fichiers de police et de
  gendarmerie

14
Droit de rectification

• Info ou intox, à vous de contrôler
• Toute personne peut faire rectifier, compléter,
  actualiser, verrouiller ou effacer des
  informations qui la concernent lorsque ont été
  décelées des erreurs, des inexactitudes ou la
  présence de données dont la collecte,
  l'utilisation, la communication ou la
  conservation est interdite
• Lorsque des modifications sont apportées aux
  données concernant une personne qui a exercé son
  droit de rectification, le responsable du
  traitement doit justifier, sans frais pour la
  personne qui en a fait la demande, des opérations
  qu'il a effectuées.
• Pour exercer son droit de rectification, il faut
  écrire à lorganisme qui détient les informations
• Le demandeur peut obtenir gratuitement une copie
  de l'enregistrement modifié

15
Les obligations (1)

• Les utilisateurs de données personnelles ont des
  obligations à respecter
• La collecte des données
• En principe, il faut recueillir le consentement
  de la personne pour utiliser une information qui
  lidentifie.
• Sauf dérogations, vous ne pouvez pas collecter
  des données sensibles (origines raciales ou
  ethniques, opinions politiques, philosophiques ou
  religieuses, appartenance syndicale, données
  relatives à la vie sexuelles ou à la santé)
• La finalité des traitements
• Un fichier doit avoir un objectif précis les
  informations exploitées dans un fichier doivent
  être cohérentes par rapport à son objectif.
• Les informations ne peuvent pas être réutilisées
  de manière incompatible avec la finalité pour
  laquelle elles ont été collectées. 
• La durée de conservation des informations
• Les données personnelles ont une date de
  péremption.
• Le responsable dun fichier fixe une durée de
  conservation raisonnable en fonction de
  lobjectif du fichier
• La sécurité des fichiers
• Tout responsable de traitement informatique de
  données personnelles doit adopter des mesures de
  sécurité physiques (sécurité des locaux) et
  logiques (sécurité des systèmes dinformation)
  adaptées à la nature des données et aux risques
  présentés par le traitement.

16
Les obligations (2)

• Suite
• La confidentialité des données
• Seules les personnes autorisées peuvent accéder
  aux données personnelles contenues dans un
  fichier. Il sagit des destinataires
  explicitement désignés pour en obtenir
  régulièrement communication, des tiers
  autorisés ayant qualité pour les recevoir de
  façon ponctuelle et motivée (ex. la police, le
  fisc)
• Linformation des personnes
• Le responsable dun fichier doit permettre aux
  personnes concernées par des informations quil
  détient d'exercer pleinement leurs droits.
• Pour cela, il doit leur communiquer son identité,
  la finalité de son traitement, le caractère
  obligatoire ou facultatif des réponses, les
  destinataires des informations, lexistence de
  droits, les transmissions envisagées.
• La déclaration des fichiers
• Certains traitements informatiques de données
  personnelles qui présentent des risques
  particuliers datteinte aux droits et aux
  libertés doivent, avant leur mise en oeuvre, être
  déclarés ou soumis à la CNIL.
• Sinon, en gros 5 ans de prison et beaucoup
  damendes (de 1500 à 300.000 euros)

17
Divers avis
18
Extraction de données

• Un arrêt de la Cour dappel de Versailles du 18
  novembre 2004 (CA Versailles 9ème chambre 18
  novembre 2004 Rojo R. c/ Guy R., disponible sur
  le site legalis.net) soumet à mention préalable
  le droit dinterdire lextraction dune base de
  données
• Concrètement, ici, une "base de données 
  correspond à tout ensemble organisé de fichiers,
  y compris un site web.
• Et ce que signale cet arrêt, cest que si le
  producteur de la base de données ne manifeste pas
  sa volonté dinterdire les extractions, il ne
  sera ensuite pas fondé à agir en cas dextraction
  (fût-t-elle substantielle, comme par exemple la
  totalité dun site) du contenu de sa base de
  données par un tiers
• Donc, faite des requêtes que quand on vous
  lautoriseet préciser bien si on le droit
  dextraire des informations

19
Protections (1)

• Les protections
• La première protection, conformément à la
  philosophie du droit d'auteur, concerne
  uniquement la forme de la base, son architecture,
  et est conditionnée comme pour tout autre oeuvre
  par une condition d'originalité. La base doit
  avoir un choix d'indexage original pour être
  protégé par le droit d'auteur.
• La deuxième protection, spécifique aux bases de
  données, concerne la matière contenue par la
  base. Le droit sui generis est rangé dans la
  catégorie des droits voisins du droit d'auteurs,
  droit de propriété incorporelle ad hoc, donnant
  des prérogatives patrimoniales au producteur de
  la base. Mais comme pour le droit d'auteur,
  l'exercice du droit est attaché à une condition.
  Ici, il ne s'agit pas d'originalité, mais de
  valeur économique la base doit avoir été
  l'objet d'un investissement qualitativement ou
  quantitativement substantiel
• Le producteur de la base de données peut donc
  interdire à tout utilisateur l'extraction
  d'éléments quantitativement ou qualitativement
  substantiels de la base, ou l'extraction
  systématique de celle-ci

20
Protections (2)

• La protection vaut pour 15 ans
• Certaines exceptions sont prévues pour les
  utilisateurs légitimes
• La théorie de droit commercial des facilités
  essentielles s'applique aussi et limite largement
  la porté du droit dans la situation où le
  producteur de la base serait dans une situation
  de monopole de fait.
• A noter il est indépendant que la base soit
  une base de données publiques ou non. Les données
  publiques restent publiques et sont libres de
  droit, mais ce qui est protégé c'est leur
  assemblage en un schéma particulier, selon l'idée
  que le tout vaut plus que la somme des
  composants. Ainsi n'importe qui par exemple
  pourrait construire et commercialiser sa propre
  base de données d'annuaire téléphonique. Par
  contre, personne n'aurait le droit de simplement
  "copier-coller" les pages jaunes...

21
Le référencement

• Référencez vos créations avec le système IDDN
  http//www.iddn.org/fr/accueil.htm
• Pourquoi référencer ? En référençant vous vous
  pré constituez la preuve de l'antériorité de vos
  droits
• Que puis-je référencer ? Tout fichier sous forme
  numérique, quelque soit le format, quelque soit
  le système d'exploitation. Il peut s'agir d'une
  oeuvre (film, texte, logiciel, site web, image,
  son), d'une base de données, d'une idée, d'un
  concept, d'une "business méthode", d'une
  revendication sur un effet technique.
• Que vais-je obtenir à l'issue du référencement ?
  Vous allez obtenir un certificat de référencement
  en ligne, accessible en 4 langues. Vous pourrez
  faire appel à ce certificat sécurisé depuis votre
  site et ainsi faire connaître vos conditions
  d'utilisation.
• Qui est InterDeposit ? InterDeposit est la
  fédération internationale de l'informatique et
  des technologies de l'information, créée à Genève
  le 10 janvier 1994. Elle rassemble les
  organisations concernées par la protection des
  droits de propriété intellectuelle sur les œuvres
  numériques. L'un de ses membres fondateurs est
  l'Agence pour la Protection des Programmes.

22
Décisions de procès

• On trouve pleins de jurisprudence sur
  http//legalis.net et en cliquant sur  base de
  donnée 
• Ce que lon trouve
• extraction substantielle, contrefaçon,
  concurrence déloyale
• piratage des SGBD
• mise à disposition illicite du public dune
  partie substantielle
• accès non autorisé
• abus de position dominante
• discrimination

23
Archivage de données
24
Archivage selon la CNIL

• La CNIL distingue trois types darchives
• Les archives courantes les données
  d'utilisation courante par les services concernés
  dans les entreprises, organismes ou
  établissements privés (par exemple les données
  concernant un client dans le cadre de lexécution
  dun contrat)
• Les archives  intermédiaires  les données
  qui présentent encore pour les services concernés
  un intérêt administratif, comme par exemple en
  cas de contentieux, et dont les durées de
  conservation sont fixées par les règles de
  prescription applicables
• Les archives  définitives  les données
  présentant un intérêt historique, scientifique ou
  statistique justifiant quelles ne fassent
  lobjet daucune destruction

25
Droit à loubli

• Les archives courantes et intermédiaires doivent
  respecter le droit à loubli (loi du 6
  janvier 1978 modifié en 1994)
• Article 6-5 Un traitement ne peut porter que
  sur des données à caractère personnel qui
  satisfont aux conditions suivantes () Elles
  sont conservées sous une forme permettant
  lidentification des personnes concernées pendant
  une durée qui nexcède pas la durée nécessaire
  aux finalités pour lesquelles elles sont
  collectées et traitées.
• Article 24 Pour les catégories les plus
  courantes de traitements de données à caractère
  personnel, dont la mise en œuvre nest pas
  susceptible de porter atteinte à la vie privée ou
  aux libertés, la Commission nationale de
  linformatique et des libertés établit et publie,
  après avoir reçu le cas échéant les propositions
  formulées par les représentants des organismes
  publics et privés représentatifs, des normes
  destinées à simplifier lobligation de
  déclaration
• La CNIL recommande à cet égard que les
  responsables de traitements établissent, dans le
  cadre de leurs moyens darchivage, des procédures
  aptes à gérer des durées de conservation
  distinctes selon les catégories de données quils
  collectent et soient en mesure deffectuer, le
  cas échéant, toute purge ou destruction sélective
  de données à caractère personnel

26
Dilution de données (1)

• Éviter la dilution des données archivées
  dans le système informatique de lentreprise.
• Les responsables de traitements doivent mettre
  en œuvre les mesures techniques et d'organisation
  appropriées pour protéger les données archivées
  notamment contre la diffusion ou l'accès non
  autorisés ainsi que contre toute autre forme de
  traitement illicite.
• Ces mesures doivent assurer un niveau de
  sécurité approprié au regard des risques
  présentés par le traitement et de la nature des
  données à protéger.

27
Dilution de données (2)

• La CNIL recommande que laccès aux archives
  intermédiaires soit limité à un service
  spécifique (par exemple un service du
  contentieux) et quil soit procédé, a minima, à
  un isolement des données archivées au moyen dune
  séparation logique (gestion des droits daccès et
  des habilitations)
• Elle recommande également que les archives
  définitives soient conservées sur un support
  indépendant, non accessible par les systèmes de
  production, nautorisant quun accès distinct,
  ponctuel et précisément motivé auprès dun
  service spécifique seul habilité à consulter ce
  type darchives (par exemple la direction des
  archives de lentreprise)
• Elle recommande enfin de mettre en œuvre des
  dispositifs sécurisés lors de tout changement de
  support de stockage des données archivées ainsi
  que de mettre en œuvre des dispositifs de
  traçabilité des consultations des données
  archivées.

28
Droit daccès (1)

• Pour la CNIL, les archives courantes et
  intermédiaires sont soumises au droit daccès
  Toute personne physique justifiant de son
  identité a le droit d'interroger le responsable
  d'un traitement de données à caractère personnel
  en vue d'obtenir (...) la communication, sous une
  forme accessible, des données à caractère
  personnel qui la concernent ainsi que de toute
  information disponible quant à l'origine de
  celles-ci .
• Et les archives définitives ?
• La base juridique de cette modalisation est
  larticle 39-II de la loi Les dispositions du
  présent article ne sappliquent pas lorsque les
  données à caractère personnel sont conservées
  sous une forme excluant manifestement tout risque
  datteinte à la vie privée des personnes
  concernées et pendant une durée nexcédant pas
  celle nécessaire aux seules finalités
  détablissement de statistiques ou de recherche
  scientifique ou historique. Hormis les cas
  mentionnés au deuxième alinéa de larticle 36,
  les dérogations envisagées par le responsable du
  traitement sont mentionnées dans la demande
  dautorisation ou dans la déclaration adressée à
  la Commission nationale de linformatique et des
  libertés .

29
Droit daccès (2)

• Dès lors, pour la CNIL
• Si, en application de la loi informatique et
  libertés modifiée, il peut exister pour les
  archives dites définitives une exception au
  principe du droit daccès aux données archivées,
  la CNIL recommande néanmoins dutiliser, en
  particulier en cas de données sensibles au sens
  de larticle 8 de la loi précitée, des procédés
  danonymisation
• Un archivage ne simprovise pas il se prépare
  et se pense.
• Dès lors la CNIL recommande que les entreprises
  définissent, dans le cadre de procédures
  formalisées, des règles darchivage soucieuses de
  la loi Informatique et Libertés, et quune
  information puisse être fournie sur ces règles,
  en cas de demande exprimée de leur part, aux
  individus faisant lobjet des traitements
  archivés.