Title: La protection des donn
1- La protection des données personnelles
- et
- la contractualisation sur Internet
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
2- I - La protection des données personnelles
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
3Introduction textes applicables
I - La protection des données personnelles
- Loi du 6 janvier 1978 (loi Informatique et
libertés) première loi européenne sur les
données nominatives - Directive du 24 octobre 1995 sur la protection
des personnes physiques à légard de traitements
de données à caractère personnel et à la libre
circulation des données - Loi du 6 août 2004 (LIL) gt transposition de la
Directive
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
4I.1 - Champ dapplication
I - La protection des données personnelles
- A - Champ dapplication territorial
- La LIL sapplique aux traitements dont le
responsable - Est établi sur le territoire français
- Nest pas établi en France, mais recourt à des
moyens de traitement situés sur le territoire
français - La LIL ne sapplique pas
- quand le responsable du traitement nest pas
établi en France et ne recourt à aucun moyen
situé en France - Aux prestataires de services fournissant des
copies temporaires (catching)
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
5I - La protection des données personnelles
- B - Champ dapplication matériel
- Un fichier de données un ensemble structuré et
stable de données accessible selon des critères
déterminés - Un traitement
- Définition toute opération , quel que soit le
procédé utilisé et notamment la collecte,
lenregistrement, lorganisation, la
conservation, ladaptation, la modification,
lextraction, la consultation, lutilisation, la
communication, le rapprochement, linterconnexion
- Caractère automatisé ou non du traitement
- Lautomatisation nest donc plus un critère
dapplication - Application des obligations de déclaration aux
fichiers papier - Exception
- Traitement mis en œuvre pour lexercice
dactivités exclusivement personnelles gt
application de la loi LIL pour des fichiers même
partiellement professionnel
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
6I - La protection des données personnelles
- B - Champ dapplication matériel (suite)
- Les données concernées
- Loi de 1978 données nominatives
- Loi de 2004 données à caractère personnel
- Toute information relative à une personne
identifiée ou pouvant être identifiée par un
numéro didentification ou un ou plusieurs
éléments qui lui sont propres - Enregistrements visuels de vidéosurveillance
permettant didentifier directement ou
indirectement une personne
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
7I - La protection des données personnelles
- C - Application dans le temps
- La mise en conformité les responsables de
traitements dont la mise en œuvre est
régulièrement intervenue avant la publication
de la nouvelle loi disposent de trois ans (avant
le 6 août 2007) - Si mise en conformité na pas pour effet de
modifier les caractéristiques gt les traitements
sont alors réputés conforme à la nouvelle loi
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
8I.2 Qui est assujetti ?
I - La protection des données personnelles
- Le responsable du traitement personne physique
ou morale qui détermine les finalités et les
moyens du traitement - Assujetti à la responsabilité civile et pénale,
- Responsabilité pénale y compris pour les
personnes morales
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
9 I - La protection des données personnelles
- Le sous-traitant Toute personne traitant des
données à caractère personnel pour le compte du
responsable du traitement - Agit sous lautorité et sur instruction du
responsable du traitement - Doit présenter des garanties suffisantes pour
assurer la mise en œuvre des mesures de sécurité
et de confidentialité - Le responsable du traitement nest pas déchargé
de son obligation de veiller au respect des
mesures - Le contrat écrit doit prévoir
- Lindication des obligations du sous traitant en
matière de sécurité et de confidentialité - Le sous traitant agit sous instruction du
responsable - Le prestataire de service de certification
électronique peut traiter des données sous
conditions - Pour les seuls besoins de la délivrance et
conservation des certificats liés aux signatures
électroniques et si les données sont directement
collectées auprès de la personne concernée aux
fins en vue desquelles elles ont été recueillies
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
10 I 3 Conditions de licéité
I - La protection des données personnelles
- A - Dispositions générales
- Les données doivent être
- Collectées et traitées de manière loyale et
licite - Collectées pour des finalités déterminées,
explicites et légitimes - Recueil du consentement de la personne concernée
- Absence de recueil du consentement en cas de
satisfaction des conditions particulières - Respect dune obligation légale incombant au
responsable de traitement - Sauvegarde de la vie de la personne concernée
- Exécution dune mission de service public
- Exécution dun contrat auquel la personne
concernée est partie - Réalisation de lintérêt légitime poursuivi par
le responsable du traitement ou par le
destinataire
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
11I - La protection des données personnelles
- Obligation de preuve du consentement à la charge
du responsable du traitement (système du opt-in) - Nécessité détablir le consentement de la
personne lors de la collecte - Sur internet des cases doivent être proposées
aux internautes pour établir leur consentement,
elles ne doivent cependant pas être
pré-cochées - Exigence dun consentement exprès supplémentaire
pour - Traiter des données sensibles
- Traiter des données pour une nouvelle finalité
- Transférer les données vers un état hors UE qui
na pas un niveau de protection suffisant - Consentement exigé pour chacune de ces hypothèses
(ex par le biais de cases à cocher
supplémentaires)
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
12 I - La protection des données personnelles
- B - Dispositions propre à certaines catégories de
données - Les données sensibles données faisant
apparaître directement ou indirectement les
origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses,
lappartenance syndicale ou relatives à la santé
ou la vie sexuelle - Principe interdiction de collecte
- Dérogation consentement exprès de la personne
concernée, nécessaire à la sauvegarde de la vie
humaine, association ou organisme à but non
lucratif et à caractère religieux, philosophique,
politique ou syndical - Données relatives aux infractions et
condamnations - Ne peuvent être mises en œuvre que par
- les juridictions, autorités publiques et
personnes morales gérant un service public - Les auxiliaires de justice pour les stricts
besoins de lexercice de leur mission - Les sociétés de perception et répartition des
droits dauteur aux fins dassurer la gestion des
droits quelles assurent
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
13I 4 Obligations relatives à la collecte
I - La protection des données personnelles
- A - Informations obligatoires
- La personne concernée doit être informée
- 1 De lidentité du responsable du traitement
- 2 De la finalité du traitement
- 3 Du caractère obligatoire ou facultatif des
réponses - 4 Des conséquences dun défaut de réponse
- 5 Des destinataires des données
- 6 Des droits quelle détient,
- 7 Des transferts de données à destination dun
État hors UE - Obligation renforcée puisque exigée lors de la
collecte directe auprès de la personne concernée,
mais également lors de la collecte indirecte (cf
cessions de fichiers) lors de communication aux
tiers
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
14I - La protection des données personnelles
- B - Pour les autres procédés de collecte
- Par voie de questionnaire la personne concernée
doit être informée de lidentité du responsable,
de la finalité poursuivie, du caractère
obligatoire ou non des réponses et de ses droits - Sur un réseau de communications électroniques
- Principe dinformation claire et complète sur
- la finalité du traitement
- les moyens dopposition (cas des cookies) au
traitement de ses données - Absence dinformation si
- Stockage a pour seule finalité de faciliter la
communication électronique - Stockage strictement à la fourniture du service
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
15I - La protection des données personnelles
- C - Dispositions particulières
- Collecte initiale de données pour un autre objet
gt pas de nouvelle information si - Personne déjà informée de cet autre finalité ou
finalité compatible avec la première - Traitement destiné à la conservation des données
à des fins historiques, statistiques ou
scientifiques - Information impossible ou exige des efforts
disproportionnés par rapport à lintérêt de la
démarche - Certains traitements nexigent pas lobligation
dinformation - Procédé danonymisation
- Pour le compte de lÉtat et intéressant la
défense, sécurité publique ou ayant pour objet
lexécution de condamnations pénales ou de
mesures de sûreté - Pour objet la prévention, la recherche, la
constatation ou la poursuite dinfractions
pénales
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
16I 5 Droits de la personne
I - La protection des données personnelles
- Trois droits à respecter
- Incombe au responsable de traitement de mettre en
œuvre les moyens pour une information et un
exercice de ces droits - A - Le droit dopposition
- Au traitement de ses données, sous réserve de
motifs légitimes - Informations susceptibles de nuire à la vie
privée - Référence à larticle 1 de la LIL ne pas porter
atteinte à lidentité de lhumaine, aux droits de
lhomme, à la vie privée, aux libertés
individuelles ou publiques - Opposition sans justification et sans frais à
une utilisation commerciale à des fins de
prospection
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
17I - La protection des données personnelles
- B - Le droit daccès
- Possibilité dinterrogation du responsable sur
les données traitées, la finalité, les
transmission hors UE - Délivrance dune copie des données à la personne
concernée (ne pouvant excéder le coût de la
reproduction) - Refus des demandes manifestement abusives (par
leur nombre ou leur caractère répétitif,
systématique) la charge de la preuve appartient
au responsable - C - Le droit de rectification
- Modification des données inexactes,
incomplètes, équivoques, périmées, ou dont la
collecte, lutilisation, la communication ou la
conservation est interdite - Le responsable devra justifier quil a procédé
aux opérations exigées et en cas de données
transmises à un tiers, le responsable devra lui
notifier les opérations modificatives effectuées
(suivi de la commercialisation des données
traitées) - Le responsable du traitement peut sopposer à une
demande de rectification si - Données communiquées par la personne
- Données collectées indirectement mais avec le
consentement de la personne
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
18 I- 6 Obligations de déclaration
I - La protection des données personnelles
- A - Procédure de déclaration
- Le principe obligation de déclaration préalable
- Pour les traitements automatisés de données non
sensibles - Tempérament déclaration simplifiée
- Pour les traitements de catégories les plus
courantes qui ne portent pas atteinte à la vie
privée et aux libertés - La CNIL édicte des normes simplifiant
lobligation de déclaration - Norme simplifiée n48 relative aux fichiers de
clients et prospects
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
19I - La protection des données personnelles
- Exception absence de déclaration préalable
- Traitements dont soccupe le CPD
- Traitements ayant pour seul objet la tenue dun
registre dont la finalité est linformation
publique - Traitements définis par la CNIL comme faisant
lobjet dune dispense - Ainsi, la CNIL permet de dispenser de déclaration
certains traitements qui ne sont pas
susceptibles, dans le cadre de leur utilisation
régulière, de porter atteinte à la vie privée ou
aux libertés des personnes - Ex Les employeurs nont désormais plus à
déclarer les fichiers de paie, les traitements
relatifs aux déclarations sociales obligatoires
ou la gestion informatisée des registres
obligatoires
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
20I - La protection des données personnelles
- B - Procédure dautorisation
- Régime particulier en raison de
- Nature des données traitées (données dites
sensibles ou à risque ) - Finalité du traitement
- Procédure plus lourde fichiers soumis à
autorisation de la CNIL - Traitement statistique INSEE
- Données à caractère politique, philosophique
- Données génétiques
- Infractions sauf ceux mis en œuvre par
auxiliaires de justice - Traitement susceptible dexclure des personnes
dun droit, dun contrat (liste noire, interdit
bancaire)
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
21I - La protection des données personnelles
- C - Modalités particulières de procédure
- Les déclarations ordinaires ou simplifiées
peuvent désormais être faites par voie
électronique - Déclaration unique pour les traitements
relevant dun même organisme et ayant des
finalités identiques ou liées - Autorisations par décision unique pour les
traitements qui répondent à une même finalité,
portent sur des catégories de données identiques
et ont les mêmes destinataires
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
22I 7 Exploitation des données
I - La protection des données personnelles
- A Exploitation commerciale
- Communication des données à des tiers
- Au sein de EU seulement une information de la
personne concernée de cette possibilité lors de
la collecte - Hors EU
- Pays satisfaisant un niveau de protection
suffisant - A défaut, nécessité dun consentement exprès
- Pas de recueil de consentement quand
linformation est impossible ou exigeant des
efforts disproportionnés par rapport à lintérêt
de la démarche - Droit dopposition gratuit et sans justification
pour la personne concernée à ce que les données
la concernant soient utilisées à des fins de
prospection, notamment commerciale
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
23I - La protection des données personnelles
- B - Exploitation pour le profilage
- la LIL précise qu aucune autre décision
produisant des effets juridiques à légard dune
personne ne peut être prise sur le seul fondement
dun traitement automatisé de données destiné à
définir le profil de lintéressé ou à évaluer
certains aspects de sa personnalité - Cet article ninterdit pas le principe du
profilage - Il en interdit lutilisation
- Cependant, ne sont pas regardées comme prise
sur le seul fondement dun traitement les
décisions prises dans le cadre de la conclusion
ou de lexécution dun contrat et pour lesquelles
la personne concernée a été mise à même de
présenter ses observations, ni celles
satisfaisant les demandes de la personne
concernée - Critère cumulatif et existence dun contrat
et présentation dobservations
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
24I-8 le CPD
I - La protection des données personnelles
- Le correspondant à la protection des données
(CPD) chargé dassurer, dune manière
indépendante, le respect des obligations prévues
dans la loi - Grande nouveauté adoptée dans le but de pallier
aux manquements des entreprises quant à leur
obligation de déclaration - Nommé librement par le responsable du traitement
sous réserve des qualités requises - Le texte ne précise pas quelles sont ces
compétences requises - Personne physique/ morale
- Employé de lorganisme ou tiers
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
25I - La protection des données personnelles
- Le correspondant à la protection des données
(CPD) - Fonctions indépendantes
- Absence de conflit dintérêt avec ses fonctions
exercées en même temps - Directeur de lorganisme ne peut alors pas être
correspondant - Interdiction au responsable du traitement
dinterférer dans laccomplissement de ses
fonctions
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
26 I - La protection des données personnelles
- Missions du CPD
- Assurer le respect des obligations prévues dans
la LIL - En cas de difficulté, possibilité de saisir la
CNIL - Rôle dalerte et de conseil
- Interlocuteur privilégié de la CNIL et des
personnes concernées par le traitement - Liste des missions non exhaustives contrairement
à dautres pays comme lAllemagne, Pays-Bas,
Suède qui ont déjà délimité clairement les
missions - Responsabilité du CPD
- Il ne peut faire lobjet daucune sanction de la
part de lemployeur du fait de laccomplissement
de ses missions de CPD - En cas de défaillance ou de manquement gt
déchargé de ses fonctions sur demande du
responsable du traitement ou de la CNIL - Le responsable est alors tenu de procéder lui
même aux déclarations
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
27I 9 Les pouvoirs de la CNIL
I - La protection des données personnelles
- A - Pouvoir dinvestigation
- Vérification sur place entre 6 h et 21 h après
information au procureur de la République - Procède à des copies, analyse de documents
- Si opposition du responsable des lieux gt
nécessité dune ordonnance motivée du TGI - Se pose le cas des autorisations a priori pour
créer un effet de surprise - En cas dopposition de délivrance de documents ou
de délivrance de documents erronés gt délit
dentrave puni dun an demprisonnement et de 15
000 damende
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
28I - La protection des données personnelles
- B - Pouvoir de sanction
- Sanctions graduées
- Prononcer des avertissements à lencontre dune
entreprise - Délivrer des mises en demeure au responsable
- En cas durgence
- Procéder à des injonctions de cesser le
traitement ou à des retraits de lautorisation - Décider linterruption de la mise en œuvre du
traitement ou le verrouillage de certaines
données - Demander en référé toute mesure de sécurité
nécessaire à la sauvegarde des droits de la
personne concernée
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
29I - La protection des données personnelles
- C - Sanctions pécuniaires
- Montant de la sanction proportionnel à la gravité
du manquement et aux avantages tirés de ce
manquement - Établissement dun plafond cependant 150 000
euros pour un premier manquement et 300 000 euros
en cas de récidive dans les 5 ans - Lentrave aux actions de la CNIL par le
responsable du traitement est passible dun an
demprisonnement et de 15 000 euros damende - Ce sont les articles 226-16 à 24 qui régissent
les sanctions des atteintes aux droits de la
personne résultant des fichiers ou des
traitements informatiques - Pouvoirs renforcés de la CNIL qui agit en tant
que véritable autorité administrative
indépendante (AAI) dotée de pouvoirs coercitifs
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
30- II - La contractualisation sur Internet
bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
31Textes applicables
II Contractualisation sur Internet
- Existence dun régime spécifique pour les
contrats conclus sous forme électronique - article 25 de la Loi pour la Confiance en
lÉconomie Numérique en date du 21 juin 2004,
dite LCEN - Dont sont issus les articles 1369 -1 et suivants
du Code civil - Régime de la vente à distance article L121-16
et suivants du Code de la consommation
32II- 1 La légalité du contrat électronique
II Contractualisation sur Internet
- Un contrat un écrit
- A titre de preuve
- A titre de validité
- Principe de légalité de lécrit électronique
- Article 1108-1 du CC légalité de lécrit
électronique même quand un écrit est exigé pour
la validité de lacte - Conditions de validité de cet écrit (article
1316-1 et 1316-4 du CC pour les actes sous seing
privé, article 1317 pour les actes authentiques) - Identification de la personne dont il émane
- Établissement et conservation dans des conditions
garantissant son intégrité - Mention manuscrite gt apposition sous format
électronique si ces conditions garantissent le
lien entre la personne et lécrit
(authentification/ signature électronique) - Exceptions à ladmissibilité dun écrit
électronique - - les actes relatifs au droit de la famille et
des successions - - les actes relatifs à des sûretés personnelles
ou réelles, de nature civile ou commerciale, sauf
sils sont passés par une personne pour les
besoins de sa profession.
33II -2 le processus de contractualisation
II Contractualisation sur Internet
- A - Conditions afférentes au droit de la
consommation - Linformation préalable article L121-18
- Identification du vendeur
- Frais de livraison
- Modalités de paiement, livraison et exécution
- Existence dun droit de rétractation
- Durée de validité de loffre
- Durée minimale du contrat
- La confirmation de ces informations au plus tard
au moment de la livraison sur un support durable
adresse pour les réclamations, informations
sur le service après vente - Délai dexécution de 30 jours sauf délai autre
convenu, à défaut remboursement - Droit de rétractation, sauf en matière de
prestations de services fournis à une date ou
périodicité déterminée (séjours touristiques) - Délai de 7 jours francs
- À compter de la réception pour les biens
- À compter de lacceptation de loffre pour les
prestations de services - Sans motivation
- Sans pénalité sauf frais de retour
- Exclusion des ventes sur catalogues
34 II Contractualisation sur Internet
- B Conditions afférentes à la conclusion par
voie électronique - Conditions afférentes à loffre art 1369-1 du
CC - Mise à disposition des conditions contractuelles
- Conservation et reproduction de ces conditions
contractuelles - Conditions afférentes au consentement
- Certitude de lacceptation des conditions
contractuelles - Preuve du consentement
- Mentions particulières de loffre
- Étapes à suivre pour conclure le contrat gt
signalétique de contractualisation - Moyens techniques pour lutilisateur didentifier
les erreurs et de les corriger gt zones
obligatoires et bloquantes - Langues de contractualisation
- Modalités darchivage
- Règles professionnelles auxquelles le vendeur
entend se soumettre
35 II Contractualisation sur Internet
- Principes dune conclusion en deux temps (le
double clic) art 1369-2 du CC - Deux étapes de contractualisation pour lacheteur
- Première étape possibilité à lacheteur de
vérifier le détail de sa commande ainsi que son
prix total, et de corriger déventuelles erreurs - Deuxième étape confirmation de la commande pour
acceptation - Une obligation pour le vendeur accusé réception
sans délai injustifié - Exceptions art 1369-3 du CC
- deux exceptions au processus de
contractualisation en deux étapes - les contrats pour des prestations de services ou
fournitures de biens conclus exclusivement par
échange de courriers électroniques, - les contrats entre professionnels
- Interprétation stricte de la notion de
professionnel
36MERCIBISMUTH AvocatsMe Muriel ARTIS63,
avenue du Maréchal de Saxe BP 3167 69406
LYON Cedex 03Tél. 04.72.60.53.93 fax
04.72.60.53.94Bismuth_at_bismuth-avocats .com