• Like
Donnees à caractère perso et vie privée
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Donnees à caractère perso et vie privée

  • 254 views
Published

conférence de Me BARDON à la webschool

conférence de Me BARDON à la webschool

Published in Social Media
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
254
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
4
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. DU CASQUE À L’ENCART…. La vie privée et les données à caractère personnel, un sujet d’actualité
  • 2. Si aujourd'hui, la règlementation relative aux données à caractère personnel peut ressembler à une jungle, son origine se trouve dans le projet SAFARI.
  • 3. Si aujourd'hui, la règlementation relative aux données à caractère personnel peut ressembler à une jungle, son origine se trouve dans le projet SAFARI. Le projet SAFARI (système automatisé pour les fichiers administratifs et le répertoire des individus – 1971) prévoyait : - une interconnexion des fichiers par l’usage du numéro INSEE de Sécurité sociale, - la centralisation avec le fichier de la Caisse nationale d’assurance vieillesse.
  • 4. Si aujourd'hui, la règlementation relative aux données à caractère personnel peut ressembler à une jungle, son origine se trouve dans le projet SAFARI. Le projet SAFARI (système automatisé pour les fichiers administratifs et le répertoire des individus – 1971) prévoyait : - une interconnexion des fichiers par l’usage du numéro INSEE de Sécurité sociale, - la centralisation avec le fichier de la Caisse nationale d’assurance vieillesse. 21 mars 1974, le Monde titre : « SAFARI la chasse aux français » Projet abandonné
  • 5. 6 janvier 1978, loi n°78-17 dite « Informatique et liberté »
  • 6. LES SOURCES
  • 7. SOURCES INTERNES
  • 8. SOURCES INTERNES • la Loi du 6 janvier 1978
  • 9. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992
  • 10. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992 • modifiée par la Loi du 1er juillet 1994
  • 11. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992 • modifiée par la Loi du 1er juillet 1994 • modifiée par la Loi du 6 août 2004
  • 12. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992 • modifiée par la Loi du 1er juillet 1994 • modifiée par la Loi du 6 août 2004 • décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005
  • 13. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992 • modifiée par la Loi du 1er juillet 1994 • modifiée par la Loi du 6 août 2004 • décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005 • les articles L 311-12 et L 311-50 du Code de la consommation interdisant d’enregistrer sur un fichier l’exercice par l’emprunteur de sa faculté de rétractation
  • 14. SOURCES INTERNES • la Loi du 6 janvier 1978 • modifiée par la Loi du 16 décembre 1992 • modifiée par la Loi du 1er juillet 1994 • modifiée par la Loi du 6 août 2004 • décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005 • les articles L 311-12 et L 311-50 du Code de la consommation interdisant d’enregistrer sur un fichier l’exercice par l’emprunteur de sa faculté de rétractation • l’article 78-3 alinéa 9 du Code de procédure pénale interdisant les fichiers de vérification d’identité
  • 15. SOURCES EUROPEENNES
  • 16. SOURCES EUROPEENNES • directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données
  • 17. SOURCES EUROPEENNES • directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données • directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications
  • 18. SOURCES EUROPEENNES • directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données • directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications • règlement n°45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation des données
  • 19. SOURCES EUROPEENNES • directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données • directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications • règlement n°45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation des données • directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques
  • 20. SOURCES INTERNATIONALES
  • 21. SOURCES INTERNATIONALES - convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales du 4 octobre 1950 – article 8 - déclaration universelle des droits de l’homme du 10 décembre 1948 – article 12 - pacte international relatif aux droits civiques et politiques du 16 décembre 1966 – article 17 - convention n°108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Strasbourg 28 janvier 1981 et son protocole additionnel du 8 novembre 2001)
  • 22. NOTION DE DONNÉES À CARACTÈRE PERSONNEL
  • 23. Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
  • 24. Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne (article 2 alinéa 2 de la Loi de 1978).
  • 25. Les éléments qui sont propres à la personne peuvent notamment être relatifs : - à son identité physique - à son identité physiologique - à son identité psychique - à son identité économique - à son identité culturelle - à son identité sociale
  • 26. EXEMPLES * les noms des débiteurs présumés et des renseignements sur leur solvabilité * numéro de téléphone * adresse électronique * adresse IP * liste nominative comportant le nom, l’implantation géographique et l’existence d’un dossier au sein de l’association
  • 27. QUE DOIT-ON ENTENDRE PAR TRAITEMENT DE DONNÉES ?
  • 28. Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opération portant sur de telles données, quelque soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction. (article 2 alinéa 1 Loi du 6 janvier 1978) Ce texte ne comporte qu’une liste non limitative.
  • 29. LES PERSONNES IMPLIQUEES
  • 30. PERSONNES CONCERNEES La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.
  • 31. RESPONSABLE DU TRAITEMENT Sauf désignation expresse par des dispositions législatives ou règlementaires relatives à ce traitement le responsable du traitement est : la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens
  • 32. LA CNIL La CNIL est une autorité administrative française indépendante… mais également une autorité de contrôle indépendante au sens de la directive 95/46/CE.
  • 33. LA CNIL Elle est composée de 17 membres : - deux députés - deux sénateurs - deux membres du Conseil économique et social - deux membres ou anciens membres du Conseil d’Etat - deux membres ou anciens membres de la Cour de Cassation - deux membres ou anciens membres de la Cour des Comptes - trois personnes qualifiées pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret - deux autres personnes qualifiées pour leur connaissance de l’informatique, désignées respectivement par le Président de l’Assemblée Nationale et le Sénat, Voie consultative aux défenseurs des droits ou de son représentant.
  • 34. LA CNIL La CNIL est chargée de veiller au respect des dispositions de la Loi, notamment en informant toutes personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les applications de l’informatique au traitement des informations nominatives. Elle veille à ce que le traitement des données à caractère personnel soit mis en œuvre conformément aux dispositions de la Loi. Elle publie des rapports. Elle peut labéliser des procédures d’audit ou de formation informatique et liberté. Elle est enfin le gendarme de la Loi en ce qu’elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci.
  • 35. LE TRAITEMENT ET LA COLLECTE DES DONNEES A CARACTERE PERSONNEL
  • 36. Le traitement des données à caractère personnel doit être : - loyal - licite
  • 37. Le traitement des données à caractère personnel doit être : - loyal - licite Il doit en particulier porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies.
  • 38. Le traitement des données à caractère personnel doit être : - loyal - licite Il doit en particulier porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies. Ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données.
  • 39. Le traitement des données à caractère personnel doit être : - loyal - licite Il doit en particulier porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies. Ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données. Les finalités de traitement ultérieurs à la collecte ne peuvent pas être incompatibles avec la finalité telle que spécifiée à l’origine.
  • 40. Le traitement des données à caractère personnel doit être : - loyal - licite Il doit en particulier porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies. Ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données. Les finalités de traitement ultérieurs à la collecte ne peuvent pas être incompatibles avec la finalité telle que spécifiée à l’origine. Une collecte de données ne peut être réalisée sans que la personne concernée en soit informée ou qu’elle ait donné son avis.
  • 41. EXEMPLES DE COLLECTE DELOYALE L’exemple classique de collecte déloyale : aspiration d’adresses électroniques sur Internet dans le but d’envoyer des mailings. Sur le caractère adéquat, pertinent et non excessif, il a été jugé que les données remises par les établissements bancaires adhérant à une centrale de crédit et recueillies auprès de leurs clients à l’occasion d’une demande de prêt ou d’ouverture de crédit, dès lors qu’elles peuvent utilisées à d’autres fins que celles pour lesquelles la demande d’autorisation a été présentée, et notamment à des fins commerciales, ne sont ni adéquates, ni pertinentes et ont un caractère excessif par rapport au but en vue duquel la collecte des données est envisagée.
  • 42. COLLECTE INTERDITE OU REGLEMENTEE Certaines données sont interdites de collecte, à savoir les données à caractère personnel qui font apparaître, directement ou indirectement : - les origines raciales ou ethniques - les opinions politiques - les opinions philosophiques ou religieuses - l’appartenance syndicale des personnes - les données qui sont relatives à la santé - les données qui sont relatives à la vie sexuelle de la personne Il existe cependant quelques exceptions à ce principe.
  • 43. COLLECTE INTERDITE OU REGLEMENTEE Il est également interdit au terme de l’article 311-12 du Code de la consommation de constituer un fichier relatif à l’exercice par l’emprunteur de son droit de rétractation dans le cadre de crédit à la consommation.
  • 44. FORMALITES PREALABLES
  • 45. DEUX TYPES DE REGIMES - régime de la déclaration préalable - régime de l’autorisation
  • 46. DECLARTION ET AUTORISATION Toute personne qui envisage un traitement de données à caractère personnel doit adresser à la CNIL une déclaration ou une demande d’autorisation en fournissant les éléments suivants :
  • 47. DECLARTION ET AUTORISATION Toute personne qui envisage un traitement de données à caractère personnel doit adresser à la CNIL une déclaration ou une demande d’autorisation en fournissant les éléments suivants : . l’identité et l’adresse du responsable du traitement . la ou les finalités du traitement . le cas échéant, les interconnexions, les rapprochements ou toute forme de mise en relation avec d’autres traitements . les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement . la durée de conservation des informations traitées . le ou les services chargés de mettre en œuvre le traitement . les destinataires ou catégories de destinataires habilités à recevoir communication des données . la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès . les dispositions prises pour assurer la sécurité des traitements et des données . le cas échéant, les transferts de données à caractère personnel envisagés
  • 48. ATTENTION A défaut de faire une déclaration auprès de la CNIL, un fichier informatique contenant des données à caractère personnel est assimilé à un objet illicite hors commerce, insusceptible d’être vendu, (Cour de Cassation 25 juin 2013)
  • 49. DECLARATION SIMPLIFIEE Le site de la CNIL propose une déclaration simplifiée.
  • 50. DECLARATION SIMPLIFIEE Le site de la CNIL propose une déclaration simplifiée.
  • 51. AUTORISATIONS Toutefois, dans certains cas, une autorisation doit être obtenue avant tout traitement. Il s’agit tout d’abord des traitements de données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance à un syndicat de personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci et qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme à la Loi. Il s’agit aussi du traitement automatisé portant sur des données génétiques. Il existe encore une autorisation pour le traitement automatisé ou non portant sur des données relatives aux infractions, condamnations ou mesures de sûreté.
  • 52. LE DROIT DES PERSONNES CONCERNEES
  • 53. Ne pas oublier que la Loi de 1978 et toutes les règlementations subséquentes ont eu pour but de protéger les personnes concernées par le traitement des données à caractère personnel.
  • 54. Ne pas oublier que la Loi de 1978 et toutes les règlementations subséquentes ont eu pour but de protéger les personnes concernées par le traitement des données à caractère personnel. La Loi de 1978 confère sept prérogatives ou droits en faveur des personnes concernées : . le droit à l’information préalable . le droit d’accès direct et indirect . le droit de curiosité . le droit de communication . le droit de rectification . le droit d’opposition . le droit à l’oubli
  • 55. LE DROIT À L’INFORMATION PRÉALABLE L’article 32, I de la Loi du 6 janvier 1978 dispose : « La personne auprès de laquelle sont recueillies les données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. »
  • 56. LE DROIT D’ACCES ET DE CURIOSITE Toute personne justifiant de son identité bénéfice du droit d’interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés. Le titulaire du droit d’accès peut obtenir communication, sous une forme accessible, des données à caractère personnel qui le concernent.
  • 57. LE DROIT D’OPPOSITION Toute personne physique a le droit de s’opposer, pour des raisons légitimes, à ce que les données à caractère personnel la concernant fassent l’objet d’un traitement. Le droit d’opposition s’applique à toutes les données à caractère personnel, quelque soit le mode de collecte, d’enregistrement ou de conservation, fichier manuel ou traitement automatisé. Cependant, ce droit connaît deux limites : * tout d’abord son exercice est subordonné à l’existence de raisons légitimes qui pourront être contrôlées par les Tribunaux (vie privée) * ensuite, le droit d’opposition ne s’applique pas lorsque le traitement répond à une obligation légale
  • 58. LE DROIT A L’OUBLI L’article 28 de la Loi du 6 janvier 1978 disposait déjà que « sauf dispositions législatives contraires, l’information ne doit pas être conservée sous une forme nominative au-delà de la durée prévue à la demande d’avis ou à la déclaration, à moins que leur conservation ne soit autorisée par la Commission. » Au cours des réformes successives, l’article 6 5° de la Loi du 6 janvier 1978 énonce désormais que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
  • 59. MAIL, VIE PRIVEE ET SALARIÉ LA PROBLEMATIQUE DES MAILS DE SALARIES
  • 60. LE PRINCIPE DE LA VIE PRIVEE DU SALARIÉ ARRET NIKON (2 octobre 2001) L’affirmation du droit au respect de la vie privée du salarié
  • 61. OUVERTURE DES FICHIERS ET MAILS SOC. 17 mai 2005 (fichiers) sauf risque ou évènement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé.
  • 62. OUVERTURE DES FICHIERS ET MAILS SOC. 17 mai 2005 (fichiers) sauf risque ou évènement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé. SOC 17 juin 2009 (messages) Mais attendu d’une part qu’aux termes de l’article L. 2313-2 du code du travail, si un délégué du personnel constate qu’il existe une atteinte aux droits des personnes, à leur santé physique ou mentale ou aux libertés individuelles dans l’entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché, il en saisit immédiatement l’employeur et, en cas de carence de celui-ci ou de divergence sur la réalité de cette atteinte et, à défaut de solution trouvée avec lui, il saisit le bureau de jugement du Conseil de prud'hommes qui peut ordonner toutes mesures propres à faire cesser cette atteinte ; que, d’autre part, sauf risque ou évènement particulier, l’employeur ne peut ouvrir les messages identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé
  • 63. PRÉSOMPTION DE PROFESSIONNALITÉ DES FICHIERS NON IDENTIFIÉS SOC 18 octobre 2006 Mais attendu que les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence.
  • 64. QUID DU FICHIER « MES DOCUMENTS » SOC 12 mai 2012 La seule dénomination « Mes documents » donnée à un fichier ne lui confère pas un caractère personnel
  • 65. UTILISATIONS DES MAILS Il est une chose d’ouvrir des mails non mentionnés personnels … …. il en est une autre de les utiliser.
  • 66. MAILS PERSO A DES FINS PROBATOIRES SOC 18 OCTOBRE 2011 Après avoir rappelé que le principe selon lequel « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée », la Cour indique en effet que « si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser à son encontre dans une procédure judiciaire s’ils s’avèrent relever de sa vie privée. » Si la consultation d’un fichier non titré du salarié est licite compte tenu de sa présomption de professionnalité, son usage est illicite lorsque son contenu est personnel.
  • 67. MAILS PERSO A DES FINS SANCTIONNATRICES SOC 5 juillet 2011 Si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée. (solution conforme à Ch. Mixte 18 mai 2007 : dans lequel il était reproché à un salarié de s’être fait adressé, sur son lieu de travail, sous enveloppe comportant pour seules indications son nom, sa fonction et l’adresse de l’entreprise, une revue licencieuse à laquelle il était abonné, revue de couple échangiste qui aurait choqué des salariés !!!)
  • 68. EN REVANCHE TOUJOURS POSSIBLE DE S’EN SERVIR POUR DEMONTRER L’USAGE ABUSIF FAIT PAR LE SALARIE (DUREE)
  • 69. En dehors de la qualification par le salarié …. …. Comment déterminer le caractère personnel ou professionnel d’un mail ?
  • 70. SOC 28 septembre 2011 Le message envoyé par le salarié aux temps et lieu du travail, qui était en rapport avec son activité professionnelle, ne revêtait pas un caractère privé et pouvait être retenu au soutien d’une procédure disciplinaire à son encontre. 2 critères : - Temps et lieu de travail - Rapport avec l’activité professionnelle
  • 71. MERCI