La protection des donn - PowerPoint PPT Presentation

1 / 36
About This Presentation
Title:

La protection des donn

Description:

Title: PowerPoint Presentation Last modified by: rgambier Created Date: 1/1/1601 12:00:00 AM Document presentation format: Affichage l' cran Other titles – PowerPoint PPT presentation

Number of Views:76
Avg rating:3.0/5.0
Slides: 37
Provided by: somm93
Category:

less

Transcript and Presenter's Notes

Title: La protection des donn


1
  • La protection des données personnelles
  • et
  • la contractualisation sur Internet

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
2
  • I - La protection des données personnelles

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
3
Introduction textes applicables
I - La protection des données personnelles
  • Loi du 6 janvier 1978 (loi Informatique et
    libertés) première loi européenne sur les
    données nominatives
  • Directive du 24 octobre 1995 sur la protection
    des personnes physiques à légard de traitements
    de données à caractère personnel et à la libre
    circulation des données
  • Loi du 6 août 2004 (LIL) gt transposition de la
    Directive

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
4
I.1 - Champ dapplication
I - La protection des données personnelles
  • A - Champ dapplication territorial
  • La LIL sapplique aux traitements dont le
    responsable
  • Est établi sur le territoire français
  • Nest pas établi en France, mais recourt à des
    moyens de traitement situés sur le territoire
    français
  • La LIL ne sapplique pas
  • quand le responsable du traitement nest pas
    établi en France et ne recourt à aucun moyen
    situé en France
  • Aux prestataires de services fournissant des
    copies temporaires (catching)

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
5
I - La protection des données personnelles
  • B - Champ dapplication matériel
  • Un fichier de données un ensemble structuré et
    stable de données accessible selon des critères
    déterminés
  • Un traitement
  • Définition toute opération , quel que soit le
    procédé utilisé et notamment la collecte,
    lenregistrement, lorganisation, la
    conservation, ladaptation, la modification,
    lextraction, la consultation, lutilisation, la
    communication, le rapprochement, linterconnexion
  • Caractère automatisé ou non du traitement
  • Lautomatisation nest donc plus un critère
    dapplication
  • Application des obligations de déclaration aux
    fichiers papier
  • Exception
  • Traitement mis en œuvre pour lexercice
    dactivités exclusivement personnelles gt
    application de la loi LIL pour des fichiers même
    partiellement professionnel

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
6
I - La protection des données personnelles
  • B - Champ dapplication matériel (suite)
  • Les données concernées
  • Loi de 1978 données nominatives
  • Loi de 2004 données à caractère personnel
  • Toute information relative à une personne
    identifiée ou pouvant être identifiée par un
    numéro didentification ou un ou plusieurs
    éléments qui lui sont propres
  • Enregistrements visuels de vidéosurveillance
    permettant didentifier directement ou
    indirectement une personne

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
7
I - La protection des données personnelles
  • C - Application dans le temps
  • La mise en conformité les responsables de
    traitements dont  la mise en œuvre est
    régulièrement intervenue  avant la publication
    de la nouvelle loi disposent de trois ans (avant
    le 6 août 2007)
  • Si mise en conformité na pas pour effet de
    modifier les caractéristiques gt les traitements
    sont alors réputés conforme à la nouvelle loi

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
8
I.2 Qui est assujetti ?
I - La protection des données personnelles
  • Le responsable du traitement personne physique
    ou morale qui détermine les finalités et les
    moyens du traitement
  • Assujetti à la responsabilité civile et pénale,
  • Responsabilité pénale y compris pour les
    personnes morales

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
9

I - La protection des données personnelles
  • Le sous-traitant  Toute personne traitant des
    données à caractère personnel pour le compte du
    responsable du traitement 
  • Agit sous lautorité et sur instruction du
    responsable du traitement
  •  Doit présenter des garanties suffisantes pour
    assurer la mise en œuvre des mesures de sécurité
    et de confidentialité 
  • Le responsable du traitement nest pas déchargé
    de  son obligation de veiller au respect des
    mesures 
  • Le contrat écrit doit prévoir
  • Lindication des obligations du sous traitant en
    matière de sécurité et de confidentialité
  • Le sous traitant agit sous instruction du
    responsable
  • Le prestataire de service de certification
    électronique peut traiter des données sous
    conditions
  • Pour les seuls besoins de la délivrance et
    conservation des certificats liés aux signatures
    électroniques et si les données sont directement
    collectées auprès de la personne concernée aux
    fins en vue desquelles elles ont été recueillies

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
10
I 3 Conditions de licéité
I - La protection des données personnelles
  • A - Dispositions générales
  • Les données doivent être
  • Collectées et traitées de manière loyale et
    licite
  • Collectées pour des finalités déterminées,
    explicites et légitimes
  • Recueil du consentement de la personne concernée
  • Absence de recueil du consentement en cas de
    satisfaction des conditions particulières
  • Respect dune obligation légale incombant au
    responsable de traitement
  • Sauvegarde de la vie de la personne concernée
  • Exécution dune mission de service public
  • Exécution dun contrat auquel la personne
    concernée est partie
  • Réalisation de lintérêt légitime poursuivi par
    le responsable du traitement ou par le
    destinataire

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
11
I - La protection des données personnelles
  • Obligation de preuve du consentement à la charge
    du responsable du traitement (système du opt-in)
  • Nécessité détablir le consentement de la
    personne lors de la collecte
  • Sur internet des cases doivent être proposées
    aux internautes pour établir leur consentement,
    elles ne doivent cependant pas être
     pré-cochées 
  • Exigence dun consentement exprès supplémentaire
    pour
  • Traiter des données  sensibles 
  • Traiter des données pour une nouvelle finalité
  • Transférer les données vers un état hors UE qui
    na pas un niveau de protection suffisant
  • Consentement exigé pour chacune de ces hypothèses
    (ex par le biais de cases à cocher
    supplémentaires)

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
12

I - La protection des données personnelles
  • B - Dispositions propre à certaines catégories de
    données
  • Les données sensibles données faisant
    apparaître directement ou indirectement les
    origines raciales ou ethniques, les opinions
    politiques, philosophiques ou religieuses,
    lappartenance syndicale ou relatives à la santé
    ou la vie sexuelle
  • Principe interdiction de collecte
  • Dérogation consentement exprès de la personne
    concernée, nécessaire à la sauvegarde de la vie
    humaine, association ou organisme à but non
    lucratif et à caractère religieux, philosophique,
    politique ou syndical
  • Données relatives aux infractions et
    condamnations
  • Ne peuvent être mises en œuvre que par
  • les juridictions, autorités publiques et
    personnes morales gérant un service public
  • Les auxiliaires de justice pour les stricts
    besoins de lexercice de leur mission
  • Les sociétés de perception et répartition des
    droits dauteur aux fins dassurer la gestion des
    droits quelles assurent

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
13
I 4 Obligations relatives à la collecte
I - La protection des données personnelles
  • A - Informations obligatoires
  • La personne concernée doit être informée
  • 1 De lidentité du responsable du traitement
  • 2 De la finalité du traitement
  • 3 Du caractère obligatoire ou facultatif des
    réponses
  • 4 Des conséquences dun défaut de réponse
  • 5 Des destinataires des données
  • 6 Des droits quelle détient,
  • 7 Des transferts de données à destination dun
    État hors UE
  • Obligation renforcée puisque exigée lors de la
    collecte directe auprès de la personne concernée,
    mais également lors de la collecte indirecte (cf
    cessions de fichiers) lors de communication aux
    tiers

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
14
I - La protection des données personnelles
  • B - Pour les autres procédés de collecte
  • Par voie de questionnaire la personne concernée
    doit être informée de lidentité du responsable,
    de la finalité poursuivie, du caractère
    obligatoire ou non des réponses et de ses droits
  • Sur un réseau de communications électroniques
  • Principe dinformation claire et complète sur
  • la finalité du traitement
  • les moyens dopposition (cas des cookies) au
    traitement de ses données
  • Absence dinformation si
  • Stockage a pour seule finalité de faciliter la
    communication électronique
  • Stockage strictement à la fourniture du service

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
15
I - La protection des données personnelles
  • C - Dispositions particulières
  • Collecte initiale de données pour un autre objet
    gt pas de nouvelle information si
  • Personne déjà informée de cet autre finalité ou
    finalité compatible avec la première
  • Traitement destiné à la conservation des données
    à des fins historiques, statistiques ou
    scientifiques
  • Information impossible ou  exige des efforts
    disproportionnés par rapport à lintérêt de la
    démarche 
  • Certains traitements nexigent pas lobligation
    dinformation
  • Procédé danonymisation
  • Pour le compte de lÉtat et intéressant la
    défense, sécurité publique ou ayant pour objet
    lexécution de condamnations pénales ou de
    mesures de sûreté
  • Pour objet la prévention, la recherche, la
    constatation ou la poursuite dinfractions
    pénales

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
16
I 5 Droits de la personne
I - La protection des données personnelles
  • Trois droits à respecter
  • Incombe au responsable de traitement de mettre en
    œuvre les moyens pour une information et un
    exercice de ces droits
  • A - Le droit dopposition
  • Au traitement de ses données, sous réserve de
    motifs légitimes
  • Informations susceptibles de nuire à la vie
    privée
  • Référence à larticle 1 de la LIL ne pas porter
    atteinte à lidentité de lhumaine, aux droits de
    lhomme, à la vie privée, aux libertés
    individuelles ou publiques
  • Opposition sans justification et  sans frais  à
    une utilisation commerciale à des fins de
    prospection

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
17
I - La protection des données personnelles
  • B - Le droit daccès
  • Possibilité dinterrogation du responsable sur
    les données traitées, la finalité, les
    transmission hors UE
  • Délivrance dune copie des données à la personne
    concernée (ne pouvant excéder le coût de la
    reproduction)
  • Refus des demandes manifestement abusives (par
    leur nombre ou leur caractère répétitif,
    systématique) la charge de la preuve appartient
    au responsable
  • C - Le droit de rectification
  • Modification des données  inexactes,
    incomplètes, équivoques, périmées, ou dont la
    collecte, lutilisation, la communication ou la
    conservation est interdite 
  • Le responsable devra justifier quil a procédé
    aux opérations exigées et en cas de données
    transmises à un tiers, le responsable devra lui
    notifier les opérations modificatives effectuées
    (suivi de la commercialisation des données
    traitées)
  • Le responsable du traitement peut sopposer à une
    demande de rectification si
  • Données communiquées par la personne
  • Données collectées indirectement mais avec le
    consentement de la personne

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
18
I- 6 Obligations de déclaration
I - La protection des données personnelles
  • A - Procédure de déclaration
  • Le principe obligation de déclaration préalable
  • Pour les traitements automatisés de données non
    sensibles
  • Tempérament déclaration simplifiée
  • Pour les traitements de catégories les plus
    courantes qui ne portent pas atteinte à la vie
    privée et aux libertés
  • La CNIL édicte des normes simplifiant
    lobligation de déclaration
  • Norme simplifiée n48 relative aux fichiers de
    clients et prospects

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
19
I - La protection des données personnelles
  • Exception absence de déclaration préalable
  • Traitements dont soccupe le CPD
  • Traitements ayant pour seul objet la tenue dun
    registre dont la finalité est linformation
    publique
  • Traitements définis par la CNIL comme faisant
    lobjet dune dispense
  • Ainsi, la CNIL permet de dispenser de déclaration
    certains traitements qui ne sont pas
    susceptibles, dans le cadre de leur utilisation
    régulière, de porter atteinte à la vie privée ou
    aux libertés des personnes
  • Ex Les employeurs nont désormais plus à
    déclarer les fichiers de paie, les traitements
    relatifs aux déclarations sociales obligatoires
    ou la gestion informatisée des registres
    obligatoires

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
20
I - La protection des données personnelles
  • B - Procédure dautorisation
  • Régime particulier en raison de
  • Nature des données traitées (données dites
     sensibles  ou  à risque )
  • Finalité du traitement
  • Procédure plus lourde fichiers soumis à
    autorisation de la CNIL
  • Traitement statistique INSEE
  • Données à caractère politique, philosophique
  • Données génétiques
  • Infractions sauf ceux mis en œuvre par
    auxiliaires de justice
  • Traitement susceptible dexclure des personnes
    dun droit, dun contrat (liste noire, interdit
    bancaire)

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
21
I - La protection des données personnelles
  • C - Modalités particulières de procédure
  • Les déclarations ordinaires ou simplifiées
    peuvent désormais être faites par voie
    électronique
  • Déclaration unique pour  les traitements
    relevant dun même organisme et ayant des
    finalités identiques ou liées 
  • Autorisations par décision unique pour  les
    traitements qui répondent à une même finalité,
    portent sur des catégories de données identiques
    et ont les mêmes destinataires 

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
22
I 7 Exploitation des données
I - La protection des données personnelles
  • A Exploitation commerciale
  • Communication des données à des tiers
  • Au sein de EU seulement une information de la
    personne concernée de cette possibilité lors de
    la collecte
  • Hors EU
  • Pays satisfaisant un niveau de protection
    suffisant
  • A défaut, nécessité dun consentement exprès
  • Pas de recueil de consentement quand
    linformation est impossible ou exigeant des
    efforts disproportionnés par rapport à lintérêt
    de la démarche
  • Droit dopposition gratuit et sans justification
    pour la personne concernée  à ce que les données
    la concernant soient utilisées à des fins de
    prospection, notamment commerciale 

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
23
I - La protection des données personnelles
  • B - Exploitation pour le profilage
  • la LIL précise qu  aucune autre décision
    produisant des effets juridiques à légard dune
    personne ne peut être prise sur le seul fondement
    dun traitement automatisé de données destiné à
    définir le profil de lintéressé ou à évaluer
    certains aspects de sa personnalité 
  • Cet article ninterdit pas le principe du
    profilage
  • Il en interdit lutilisation
  • Cependant,  ne sont pas regardées comme prise
    sur le seul fondement dun traitement les
    décisions prises dans le cadre de la conclusion
    ou de lexécution dun contrat et pour lesquelles
    la personne concernée a été mise à même de
    présenter ses observations, ni celles
    satisfaisant les demandes de la personne
    concernée 
  • Critère cumulatif  et  existence dun contrat
    et présentation dobservations

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
24
I-8 le CPD
I - La protection des données personnelles
  • Le correspondant à la protection des données
    (CPD)  chargé dassurer, dune manière
    indépendante, le respect des obligations prévues
    dans la loi 
  • Grande nouveauté adoptée dans le but de pallier
    aux manquements des entreprises quant à leur
    obligation de déclaration
  • Nommé librement par le responsable du traitement
    sous réserve des qualités requises
  • Le texte ne précise pas quelles sont ces
    compétences requises
  • Personne physique/ morale
  • Employé de lorganisme ou tiers

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
25
I - La protection des données personnelles
  • Le correspondant à la protection des données
    (CPD)
  • Fonctions indépendantes
  • Absence de conflit dintérêt avec ses fonctions
    exercées en même temps
  • Directeur de lorganisme ne peut alors pas être
    correspondant
  • Interdiction au responsable du traitement
    dinterférer dans laccomplissement de ses
    fonctions

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
26

I - La protection des données personnelles
  • Missions du CPD
  • Assurer le respect des obligations prévues dans
    la LIL
  • En cas de difficulté, possibilité de saisir la
    CNIL
  • Rôle dalerte et de conseil
  • Interlocuteur privilégié de la CNIL et des
    personnes concernées par le traitement
  • Liste des missions non exhaustives contrairement
    à dautres pays comme lAllemagne, Pays-Bas,
    Suède qui ont déjà délimité clairement les
    missions
  • Responsabilité du CPD
  • Il ne peut faire lobjet daucune sanction de la
    part de lemployeur du fait de laccomplissement
    de ses missions de CPD
  • En cas de défaillance ou de manquement gt
    déchargé de ses fonctions sur demande du
    responsable du traitement ou de la CNIL
  • Le responsable est alors tenu de procéder lui
    même aux déclarations

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
27
I 9 Les pouvoirs de la CNIL
I - La protection des données personnelles
  • A - Pouvoir dinvestigation
  • Vérification sur place entre 6 h et 21 h après
    information au procureur de la République
  • Procède à des copies, analyse de documents
  • Si opposition du responsable des lieux gt
    nécessité dune ordonnance motivée du TGI
  • Se pose le cas des autorisations a priori pour
    créer un effet de surprise
  • En cas dopposition de délivrance de documents ou
    de délivrance de documents erronés gt délit
    dentrave puni dun an demprisonnement et de 15
    000 damende

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
28
I - La protection des données personnelles
  • B - Pouvoir de sanction
  • Sanctions graduées
  • Prononcer des avertissements à lencontre dune
    entreprise
  • Délivrer des mises en demeure au responsable
  • En cas durgence
  • Procéder à des injonctions de cesser le
    traitement ou à des retraits de lautorisation
  • Décider linterruption de la mise en œuvre du
    traitement ou le verrouillage de certaines
    données
  • Demander en référé  toute mesure de sécurité
    nécessaire à la sauvegarde  des droits de la
    personne concernée

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
29
I - La protection des données personnelles
  • C - Sanctions pécuniaires
  • Montant de la sanction proportionnel à la gravité
    du manquement et aux avantages tirés de ce
    manquement
  • Établissement dun plafond cependant 150 000
    euros pour un premier manquement et 300 000 euros
    en cas de récidive dans les 5 ans
  • Lentrave aux actions de la CNIL par le
    responsable du traitement est passible dun an
    demprisonnement et de 15 000 euros damende
  • Ce sont les articles 226-16 à 24 qui régissent
    les sanctions des atteintes aux droits de la
    personne résultant des fichiers ou des
    traitements informatiques
  • Pouvoirs renforcés de la CNIL qui agit en tant
    que véritable autorité administrative
    indépendante (AAI) dotée de pouvoirs coercitifs

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
30
  • II - La contractualisation sur Internet

bismuth_at_bismuth-avocats.com http//www.bismuth-av
ocats.com
31
Textes applicables

II Contractualisation sur Internet
  • Existence dun régime spécifique pour les
    contrats conclus sous forme électronique
  • article 25 de la Loi pour la Confiance en
    lÉconomie Numérique en date du 21 juin 2004,
    dite LCEN
  • Dont sont issus les articles 1369 -1 et suivants
    du Code civil
  • Régime de la vente à distance article L121-16
    et suivants du Code de la consommation

32
II- 1 La légalité du contrat électronique

II Contractualisation sur Internet
  • Un contrat un écrit
  • A titre de preuve
  • A titre de validité
  • Principe de légalité de lécrit électronique
  • Article 1108-1 du CC légalité de lécrit
    électronique même quand un écrit est exigé pour
    la validité de lacte
  • Conditions de validité de cet écrit (article
    1316-1 et 1316-4 du CC pour les actes sous seing
    privé, article 1317 pour les actes authentiques)
  • Identification de la personne dont il émane
  • Établissement et conservation dans des conditions
    garantissant son intégrité
  • Mention manuscrite gt apposition sous format
    électronique si ces conditions garantissent le
    lien entre la personne et lécrit
    (authentification/ signature électronique)
  • Exceptions à ladmissibilité dun écrit
    électronique
  • - les actes relatifs au droit de la famille et
    des successions 
  • - les actes relatifs à des sûretés personnelles
    ou réelles, de nature civile ou commerciale, sauf
    sils sont passés par une personne pour les
    besoins de sa profession.

33
II -2 le processus de contractualisation

II Contractualisation sur Internet
  • A - Conditions afférentes au droit de la
    consommation
  • Linformation préalable article L121-18
  • Identification du vendeur
  • Frais de livraison
  • Modalités de paiement, livraison et exécution
  • Existence dun droit de rétractation
  • Durée de validité de loffre
  • Durée minimale du contrat
  • La confirmation de ces informations au plus tard
    au moment de la livraison sur un support durable
    adresse pour les réclamations, informations
    sur le service après vente
  • Délai dexécution de 30 jours sauf délai autre
    convenu, à défaut remboursement
  • Droit de rétractation, sauf en matière de
    prestations de services fournis à une date ou
    périodicité déterminée (séjours touristiques)
  • Délai de 7 jours francs
  • À compter de la réception pour les biens
  • À compter de lacceptation de loffre pour les
    prestations de services
  • Sans motivation
  • Sans pénalité sauf frais de retour
  • Exclusion des ventes sur catalogues

34

II Contractualisation sur Internet
  • B Conditions afférentes à la conclusion par
    voie électronique
  • Conditions afférentes à loffre art 1369-1 du
    CC
  • Mise à disposition des conditions contractuelles
  • Conservation et reproduction de ces conditions
    contractuelles
  • Conditions afférentes au consentement
  • Certitude de lacceptation des conditions
    contractuelles
  • Preuve du consentement
  • Mentions particulières de loffre
  • Étapes à suivre pour conclure le contrat gt
    signalétique de contractualisation
  • Moyens techniques pour lutilisateur didentifier
    les erreurs et de les corriger gt zones
    obligatoires et bloquantes
  • Langues de contractualisation
  • Modalités darchivage
  • Règles professionnelles auxquelles le vendeur
    entend se soumettre

35

II Contractualisation sur Internet
  • Principes dune conclusion en deux temps (le
    double clic) art 1369-2 du CC
  • Deux étapes de contractualisation pour lacheteur
  • Première étape   possibilité à lacheteur de
    vérifier le détail de sa commande ainsi que son
    prix total, et de corriger déventuelles erreurs
  • Deuxième étape  confirmation de la commande pour
    acceptation
  • Une obligation pour le vendeur accusé réception
     sans délai injustifié 
  • Exceptions art 1369-3 du CC
  • deux exceptions au processus de
    contractualisation en deux étapes
  • les contrats pour des prestations de services ou
    fournitures de biens conclus exclusivement par
    échange de courriers électroniques,
  • les contrats entre professionnels
  • Interprétation stricte de la notion de
    professionnel

36
MERCIBISMUTH AvocatsMe Muriel ARTIS63,
avenue du Maréchal de Saxe BP 3167 69406
LYON Cedex 03Tél. 04.72.60.53.93 fax
04.72.60.53.94Bismuth_at_bismuth-avocats .com
Write a Comment
User Comments (0)
About PowerShow.com