Introduction au Droit des Bases de Donn - PowerPoint PPT Presentation

1 / 29
About This Presentation
Title:

Introduction au Droit des Bases de Donn

Description:

Introduction au Droit des Bases de Donn es Fr d ric Gava (MCF) gava_at_univ-paris12.fr LACL, b timent P2 du CMC, bureau 223 Universit de Paris XII Val-de-Marne – PowerPoint PPT presentation

Number of Views:113
Avg rating:3.0/5.0
Slides: 30
Provided by: laclUpec
Category:

less

Transcript and Presenter's Notes

Title: Introduction au Droit des Bases de Donn


1
Introduction au Droit des Bases de Données
Frédéric Gava (MCF) gava_at_univ-paris12.fr LACL,
bâtiment P2 du CMC, bureau 223 Université de
Paris XII Val-de-Marne 61 avenue du Général de
Gaulle 94010 Créteil cedex
2
ATTENTION !
  • Lauteur nayant pas une formation juridique, ni
    de compétences poussées en Droit, celui-ci ne
    souhaite pas que ce cours soit pris comme une
    référence
  • Ce cours est utilisé pour compléter une
    formation informatique ( Initiation aux SGBD )
    pour des étudiants en Droit il nest là quà
    titre informatif,  pédagogique  et pour
    permettre un débat plus instructif sur le sujet

3
Références
  • Le site de la CNIL  Commission National de
    lInformatique et des Libertés 
    http//www.cnil.fr
  • http//www.droit-technologie.org/
  • http//www.rabenou.org/ (site dun avocat)
  • http//www.jurisnet.org/
  • http//www.dit.presse.fr/ (revue de Droit de
    linformatique et des télécoms)
  • www.legalis.net (site de jurisprudences)

4
Introduction
  • Les obligations légales en matière de gestion
    fiscale, comptable ou sociale imposent souvent
    aux entreprises de conserver sur de longues
    périodes des documents contenant des données à
    caractère personnel
  • Les entreprises préfèrent, à tout prendre,
    envisager un archivage électronique souvent
    synonyme de coûts diminués. L'archivage
    électronique des données de l'entreprise (ou une
    BD) n'est pas innocent par rapport à la loi de
    1978 sur la protection des données à caractère
    personnel.

5
Définitions (1)
  • Les bases de données en Europe possèdent leur
    propre protection juridique, depuis la directive
    européenne du 11 mars 1996. Cette protection a la
    caractéristique d'être double. Les bases de
    données sont protégées d'une part comme oeuvre de
    l'esprit, par le droit d'auteur, et comme bien
    informationnel d'un genre nouveau, par le droit
    "sui generis" du producteur de la base de données
  • Par base de données, on entend ici tout recueil
    d'informations, sous forme électronique ou non,
    (à l'exception du moteur logiciel, si la base est
    sous forme électronique), accessibles
    individuellement
  • Cette définition très large couvre aussi bien en
    pratique les banques de données que des sites
    Internet par exemple

6
Définitions (2)
  • Constitue un traitement de données à caractère
    personnel toute opération ou tout ensemble
    dopérations portant sur de telles données, quel
    que soit le procédé utilisé (quel que soit la
    requête)
  • Constitue un fichier de données (ou une BD) à
    caractère personnel tout ensemble structuré et
    stable de données à caractère personnel
    accessibles selon des critères déterminés
  • Ce implique
  • l'archivage électronique de données à caractère
    personnel qui étaient à l'origine sous forme
    électronique et qui étaient déjà soumise à la loi
    de 1978
  • l'archivage sous forme électronique de données
    et qui faisaient à l'origine lobjet dun
    traitement non automatisé et dont le basculement
    dans lunivers électronique crée un traitement
    automatisé qui entraîne application de la loi.

7
Daprès la CNIL
8
Vos Droit dans les SGBD
  • Dans un monde largement informatisé, la loi du 6
    janvier 1978 (1994) prévoit de solides garde-fous
    pour protéger les personnes des dangers liés aux
    fichiers et aux traitements informatiques
    contenant des données à caractère personnel.
  • La loi Informatique et libertés reconnaît
    aux citoyens des droits spécifiques pour
    préserver leur vie privée.
  • Les droits Informatique et libertés
  • Le droit à linformation
  • Le droit dopposition
  • Le droit daccès
  • Le droit de rectification
  • Le non-respect de ces droits est sanctionné
    pénalement.En cas de difficulté dans lexercice
    de vos droits, vous pouvez saisir la CNIL

9
Droit à linformation (1)
  • Soyez curieux des informations vous concernant
  • Toute personne a le droit de savoir si elle est
    fichée et dans quels fichiers elle est recensée.
  • Toute personne qui met en œuvre un fichier ou un
    traitement contenant des données personnelles
    doit informer les personnes fichées de
  • lidentité du responsable du traitement,
  • lobjectif de la collecte dinformations,
  • le caractère obligatoire ou facultatif des
    réponses,
  • les conséquences de labsence de réponse, 
  • les destinataires des informations,
  • les droits reconnus à la personne,
  • les éventuels transferts de données vers un pays
    hors de lUnion Européenne
  • sapplique aussi réseaux via des témoins de
    connexion

10
Droit à linformation (2)
  • Les limites au droit à linformation
  • Il est des cas où lobligation d'information est
    allégée
  • lorsque les données collectées sont très vite
    anonymisées,
  • lorsque les données ne sont pas recueillies
    directement auprès de la personne.
  • Il est des cas où lobligation d'information est
    exclue
  • pour les fichiers de police ou de gendarmerie,
  • pour les fichiers relatifs à des condamnations
    pénales,
  • lorsque linformation de la personne se révèle
    impossible ou très difficile

11
Droit dopposition
  • Restez maître de vos données personnelles
  • Toute personne a la possibilité de s'opposer,
    pour des motifs légitimes, à figurer dans un
    fichier et cela sans se justifier (contre la
    prospection commercial) en ce sens, elle peut
    refuser dapparaître dans certains fichiers ou de
    voir communiquer des informations sur elles à des
    tiers.
  • Le droit d'opposition peut sexprimer
  • par un refus de répondre lors dune collecte non
    obligatoire de données,
  • par le refus de donner laccord écrit
    obligatoire pour le traitement de données
    sensibles telles que les opinions politiques ou
    les convictions religieuses,
  • la faculté de demander la radiation des données
    contenues dans des fichiers commerciaux,
  • la possibilité d'exiger la non-cession ou la
    non-commercialisation dinformations, notamment
    par le biais dune case à cocher dans les
    formulaires de collecte
  • Les limites au droit dopposition le droit
    d'opposition n'existe pas pour de nombreux
    fichiers du secteur public comme, par exemple,
    ceux des services fiscaux, des services de
    police, des services de la justice, de la
    sécurité sociale

12
Droit daccès (1)
  • Consultez vos données personnelles
  • Toute personne justifiant de son identité a le
    droit d'interroger le responsable dun fichier ou
    dun traitement pour savoir sil détient des
    informations sur elle, et le cas échéant den
    obtenir communication
  • Toute personne peut prendre connaissance de
    lintégralité des données la concernant et en
    obtenir une copie dont le coût ne peut dépasser
    celui de la reproduction.
  • Toute personne est en droit dobtenir des
    explications sur le procédé informatique qui a
    contribué à produire une décision la concernant
    (finalités du traitement, du type de données
    enregistrées)
  • En exerçant son droit daccès, la personne peut
    sinformer éventuels transferts de ces
    informations vers des pays nappartenant pas à
    lUnion Européenne

13
Droit daccès (2)
  • Les limites au droit daccès
  • Si un responsable de traitement estime qu'une
    demande est manifestement abusive, il peut ne pas
    y donner suite. En revanche si laffaire est
    portée devant un juge il devra apporter la preuve
    du caractère manifestement abusif de la demande
    en cause.
  • Le droit d'accès ne sexerce pas lorsque les
    données sont conservées sous une forme ne
    présentant aucun risque d'atteinte à la vie
    privée et pendant une durée n'excédant pas celle
    nécessaire à l'établissement de statistiques ou à
    la recherche scientifique ou historique.
  • Lexercice du droit daccès ne doit pas porter
    atteinte au droit dauteur.
  • Le droit d'accès aux fichiers de police et de
    gendarmerie

14
Droit de rectification
  • Info ou intox, à vous de contrôler
  • Toute personne peut faire rectifier, compléter,
    actualiser, verrouiller ou effacer des
    informations qui la concernent lorsque ont été
    décelées des erreurs, des inexactitudes ou la
    présence de données dont la collecte,
    l'utilisation, la communication ou la
    conservation est interdite
  • Lorsque des modifications sont apportées aux
    données concernant une personne qui a exercé son
    droit de rectification, le responsable du
    traitement doit justifier, sans frais pour la
    personne qui en a fait la demande, des opérations
    qu'il a effectuées.
  • Pour exercer son droit de rectification, il faut
    écrire à lorganisme qui détient les informations
  • Le demandeur peut obtenir gratuitement une copie
    de l'enregistrement modifié

15
Les obligations (1)
  • Les utilisateurs de données personnelles ont des
    obligations à respecter
  • La collecte des données
  • En principe, il faut recueillir le consentement
    de la personne pour utiliser une information qui
    lidentifie.
  • Sauf dérogations, vous ne pouvez pas collecter
    des données sensibles (origines raciales ou
    ethniques, opinions politiques, philosophiques ou
    religieuses, appartenance syndicale, données
    relatives à la vie sexuelles ou à la santé)
  • La finalité des traitements
  • Un fichier doit avoir un objectif précis les
    informations exploitées dans un fichier doivent
    être cohérentes par rapport à son objectif.
  • Les informations ne peuvent pas être réutilisées
    de manière incompatible avec la finalité pour
    laquelle elles ont été collectées. 
  • La durée de conservation des informations
  • Les données personnelles ont une date de
    péremption.
  • Le responsable dun fichier fixe une durée de
    conservation raisonnable en fonction de
    lobjectif du fichier
  • La sécurité des fichiers
  • Tout responsable de traitement informatique de
    données personnelles doit adopter des mesures de
    sécurité physiques (sécurité des locaux) et
    logiques (sécurité des systèmes dinformation)
    adaptées à la nature des données et aux risques
    présentés par le traitement.

16
Les obligations (2)
  • Suite
  • La confidentialité des données
  • Seules les personnes autorisées peuvent accéder
    aux données personnelles contenues dans un
    fichier. Il sagit des destinataires
    explicitement désignés pour en obtenir
    régulièrement communication, des tiers
    autorisés ayant qualité pour les recevoir de
    façon ponctuelle et motivée (ex. la police, le
    fisc)
  • Linformation des personnes
  • Le responsable dun fichier doit permettre aux
    personnes concernées par des informations quil
    détient d'exercer pleinement leurs droits.
  • Pour cela, il doit leur communiquer son identité,
    la finalité de son traitement, le caractère
    obligatoire ou facultatif des réponses, les
    destinataires des informations, lexistence de
    droits, les transmissions envisagées.
  • La déclaration des fichiers
  • Certains traitements informatiques de données
    personnelles qui présentent des risques
    particuliers datteinte aux droits et aux
    libertés doivent, avant leur mise en oeuvre, être
    déclarés ou soumis à la CNIL.
  • Sinon, en gros 5 ans de prison et beaucoup
    damendes (de 1500 à 300.000 euros)

17
Divers avis
18
Extraction de données
  • Un arrêt de la Cour dappel de Versailles du 18
    novembre 2004 (CA Versailles 9ème chambre 18
    novembre 2004 Rojo R. c/ Guy R., disponible sur
    le site legalis.net) soumet à mention préalable
    le droit dinterdire lextraction dune base de
    données
  • Concrètement, ici, une "base de données 
    correspond à tout ensemble organisé de fichiers,
    y compris un site web.
  • Et ce que signale cet arrêt, cest que si le
    producteur de la base de données ne manifeste pas
    sa volonté dinterdire les extractions, il ne
    sera ensuite pas fondé à agir en cas dextraction
    (fût-t-elle substantielle, comme par exemple la
    totalité dun site) du contenu de sa base de
    données par un tiers
  • Donc, faite des requêtes que quand on vous
    lautoriseet préciser bien si on le droit
    dextraire des informations

19
Protections (1)
  • Les protections
  • La première protection, conformément à la
    philosophie du droit d'auteur, concerne
    uniquement la forme de la base, son architecture,
    et est conditionnée comme pour tout autre oeuvre
    par une condition d'originalité. La base doit
    avoir un choix d'indexage original pour être
    protégé par le droit d'auteur.
  • La deuxième protection, spécifique aux bases de
    données, concerne la matière contenue par la
    base. Le droit sui generis est rangé dans la
    catégorie des droits voisins du droit d'auteurs,
    droit de propriété incorporelle ad hoc, donnant
    des prérogatives patrimoniales au producteur de
    la base. Mais comme pour le droit d'auteur,
    l'exercice du droit est attaché à une condition.
    Ici, il ne s'agit pas d'originalité, mais de
    valeur économique la base doit avoir été
    l'objet d'un investissement qualitativement ou
    quantitativement substantiel
  • Le producteur de la base de données peut donc
    interdire à tout utilisateur l'extraction
    d'éléments quantitativement ou qualitativement
    substantiels de la base, ou l'extraction
    systématique de celle-ci

20
Protections (2)
  • La protection vaut pour 15 ans
  • Certaines exceptions sont prévues pour les
    utilisateurs légitimes
  • La théorie de droit commercial des facilités
    essentielles s'applique aussi et limite largement
    la porté du droit dans la situation où le
    producteur de la base serait dans une situation
    de monopole de fait.
  • A noter il est indépendant que la base soit
    une base de données publiques ou non. Les données
    publiques restent publiques et sont libres de
    droit, mais ce qui est protégé c'est leur
    assemblage en un schéma particulier, selon l'idée
    que le tout vaut plus que la somme des
    composants. Ainsi n'importe qui par exemple
    pourrait construire et commercialiser sa propre
    base de données d'annuaire téléphonique. Par
    contre, personne n'aurait le droit de simplement
    "copier-coller" les pages jaunes...

21
Le référencement
  • Référencez vos créations avec le système IDDN
    http//www.iddn.org/fr/accueil.htm
  • Pourquoi référencer ? En référençant vous vous
    pré constituez la preuve de l'antériorité de vos
    droits
  • Que puis-je référencer ? Tout fichier sous forme
    numérique, quelque soit le format, quelque soit
    le système d'exploitation. Il peut s'agir d'une
    oeuvre (film, texte, logiciel, site web, image,
    son), d'une base de données, d'une idée, d'un
    concept, d'une "business méthode", d'une
    revendication sur un effet technique.
  • Que vais-je obtenir à l'issue du référencement ?
    Vous allez obtenir un certificat de référencement
    en ligne, accessible en 4 langues. Vous pourrez
    faire appel à ce certificat sécurisé depuis votre
    site et ainsi faire connaître vos conditions
    d'utilisation.
  • Qui est InterDeposit ? InterDeposit est la
    fédération internationale de l'informatique et
    des technologies de l'information, créée à Genève
    le 10 janvier 1994. Elle rassemble les
    organisations concernées par la protection des
    droits de propriété intellectuelle sur les œuvres
    numériques. L'un de ses membres fondateurs est
    l'Agence pour la Protection des Programmes.

22
Décisions de procès
  • On trouve pleins de jurisprudence sur
    http//legalis.net et en cliquant sur  base de
    donnée 
  • Ce que lon trouve
  • extraction substantielle, contrefaçon,
    concurrence déloyale
  • piratage des SGBD
  • mise à disposition illicite du public dune
    partie substantielle
  • accès non autorisé
  • abus de position dominante
  • discrimination

23
Archivage de données
24
Archivage selon la CNIL
  • La CNIL distingue trois types darchives
  • Les archives courantes les données
    d'utilisation courante par les services concernés
    dans les entreprises, organismes ou
    établissements privés (par exemple les données
    concernant un client dans le cadre de lexécution
    dun contrat)
  • Les archives  intermédiaires  les données
    qui présentent encore pour les services concernés
    un intérêt administratif, comme par exemple en
    cas de contentieux, et dont les durées de
    conservation sont fixées par les règles de
    prescription applicables
  • Les archives  définitives  les données
    présentant un intérêt historique, scientifique ou
    statistique justifiant quelles ne fassent
    lobjet daucune destruction

25
Droit à loubli
  • Les archives courantes et intermédiaires doivent
    respecter le droit à loubli (loi du 6
    janvier 1978 modifié en 1994)
  • Article 6-5 Un traitement ne peut porter que
    sur des données à caractère personnel qui
    satisfont aux conditions suivantes () Elles
    sont conservées sous une forme permettant
    lidentification des personnes concernées pendant
    une durée qui nexcède pas la durée nécessaire
    aux finalités pour lesquelles elles sont
    collectées et traitées.
  • Article 24 Pour les catégories les plus
    courantes de traitements de données à caractère
    personnel, dont la mise en œuvre nest pas
    susceptible de porter atteinte à la vie privée ou
    aux libertés, la Commission nationale de
    linformatique et des libertés établit et publie,
    après avoir reçu le cas échéant les propositions
    formulées par les représentants des organismes
    publics et privés représentatifs, des normes
    destinées à simplifier lobligation de
    déclaration
  • La CNIL recommande à cet égard que les
    responsables de traitements établissent, dans le
    cadre de leurs moyens darchivage, des procédures
    aptes à gérer des durées de conservation
    distinctes selon les catégories de données quils
    collectent et soient en mesure deffectuer, le
    cas échéant, toute purge ou destruction sélective
    de données à caractère personnel

26
Dilution de données (1)
  • Éviter la dilution des données archivées
    dans le système informatique de lentreprise.
  • Les responsables de traitements doivent mettre
    en œuvre les mesures techniques et d'organisation
    appropriées pour protéger les données archivées
    notamment contre la diffusion ou l'accès non
    autorisés ainsi que contre toute autre forme de
    traitement illicite.
  • Ces mesures doivent assurer un niveau de
    sécurité approprié au regard des risques
    présentés par le traitement et de la nature des
    données à protéger.

27
Dilution de données (2)
  • La CNIL recommande que laccès aux archives
    intermédiaires soit limité à un service
    spécifique (par exemple un service du
    contentieux) et quil soit procédé, a minima, à
    un isolement des données archivées au moyen dune
    séparation logique (gestion des droits daccès et
    des habilitations)
  • Elle recommande également que les archives
    définitives soient conservées sur un support
    indépendant, non accessible par les systèmes de
    production, nautorisant quun accès distinct,
    ponctuel et précisément motivé auprès dun
    service spécifique seul habilité à consulter ce
    type darchives (par exemple la direction des
    archives de lentreprise)
  • Elle recommande enfin de mettre en œuvre des
    dispositifs sécurisés lors de tout changement de
    support de stockage des données archivées ainsi
    que de mettre en œuvre des dispositifs de
    traçabilité des consultations des données
    archivées.

28
Droit daccès (1)
  • Pour la CNIL, les archives courantes et
    intermédiaires sont soumises au droit daccès
    Toute personne physique justifiant de son
    identité a le droit d'interroger le responsable
    d'un traitement de données à caractère personnel
    en vue d'obtenir (...) la communication, sous une
    forme accessible, des données à caractère
    personnel qui la concernent ainsi que de toute
    information disponible quant à l'origine de
    celles-ci .
  • Et les archives définitives ?
  • La base juridique de cette modalisation est
    larticle 39-II de la loi Les dispositions du
    présent article ne sappliquent pas lorsque les
    données à caractère personnel sont conservées
    sous une forme excluant manifestement tout risque
    datteinte à la vie privée des personnes
    concernées et pendant une durée nexcédant pas
    celle nécessaire aux seules finalités
    détablissement de statistiques ou de recherche
    scientifique ou historique. Hormis les cas
    mentionnés au deuxième alinéa de larticle 36,
    les dérogations envisagées par le responsable du
    traitement sont mentionnées dans la demande
    dautorisation ou dans la déclaration adressée à
    la Commission nationale de linformatique et des
    libertés .

29
Droit daccès (2)
  • Dès lors, pour la CNIL
  • Si, en application de la loi informatique et
    libertés modifiée, il peut exister pour les
    archives dites définitives une exception au
    principe du droit daccès aux données archivées,
    la CNIL recommande néanmoins dutiliser, en
    particulier en cas de données sensibles au sens
    de larticle 8 de la loi précitée, des procédés
    danonymisation
  • Un archivage ne simprovise pas il se prépare
    et se pense.
  • Dès lors la CNIL recommande que les entreprises
    définissent, dans le cadre de procédures
    formalisées, des règles darchivage soucieuses de
    la loi Informatique et Libertés, et quune
    information puisse être fournie sur ces règles,
    en cas de demande exprimée de leur part, aux
    individus faisant lobjet des traitements
    archivés.
Write a Comment
User Comments (0)
About PowerShow.com