Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CVS

665 views

Published on

Présentation CVS PI datas

Published in: Business
  • Be the first to comment

  • Be the first to like this

CVS

  1. 1. « Vos données et bases de données, comment les protéger et les valoriser ? » Petit-déjeuner Atlanpole – Nantes, 23 février 2016 Juliette Chavane de Dalmassy, avocat
  2. 2. Sommaire 2 Les données, privées, publiques, personnelles de quoi parle t’on ? 1. La diversité des données de l’entreprise 2. La particularité des données publiques 3. L’omniprésence des données à caractère personnel Droit des données – propriété, protection, valorisation 1. Données - protection par le secret et par le contrat 2. Des contraintes spécifiques en matière de données à caractère personnelles
  3. 3. 1.1 La diversité des données de l’entreprise Grande variété de données : * le savoir-faire technique, * les résultats structurés ou non de la recherche et du travail du personnel de l’entreprise, * les données comptables et financières, * les informations fournisseurs, * les développements informatiques réalisés par l’entreprise ou par un tiers (logiciel, application … ) * les fichiers clients et prospects 3
  4. 4. 1.2 Absence de régime juridique général − Pas de définition juridique des données en général seul des définitions particulières − Pas de régime juridique général applicable. − Droits spécifiques applicables à certaines catégories de données • Le droit sui generis du producteur des bases de données Article L.341-1 et suivants du Code de la propriété intellectuelle • Le droit d’auteur Article L.112-2 et suivants du Code de la propriété intellectuelle 4
  5. 5. 2.1 La particularité des données publiques 5 Définition : Les données publiques sont « les documents produits ou reçus, dans le cadre de leur mission de service public, par l’Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes-rendus, procès-verbaux, statistiques, directives, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions. (…) ». [la loi n° 78-753 du 17 juillet 1978] En pratique : - https://www.data.gouv.fr/fr
  6. 6. 2.2 Le droit applicable DIRECTIVE 2013/37/UE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 26 juin 2013 qui modifie la directive 2003/98/CE concernant la réutilisation des informations du secteur public. En France, la directive a été récemment transposée par l’adoption de la Loi n° 2015-1779 du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public. 6
  7. 7. 3.1 L’omniprésence données à caractère personnel Une grande partie des données de l’entreprise ayant de la valeur sont des données à caractère personnel régies par la loi n°06-78 du 6 janvier 1978 dite loi Informatique et liberté. Article 2 de la loi : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». 7
  8. 8. 3.2 Le droit applicable En droit français : la loi n°06-78 du 6 janvier 1978 définit les règles applicables pour collecter, stocker et exploiter des données à caractère personnel. En droit communautaire : - Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Communauté. - Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et communications électroniques ») - Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE 8
  9. 9. Projet de règlement européen sur la protection des donnés personnelles : Calendrier : Le 25 janvier 2012, la Commission Européenne a proposé une réforme globale des règles adoptées par l'Union européenne en 1995 en matière de protection des données personnelles. En décembre 2015 un accord global entre le Conseil européen et le Parlement européen a été trouvé après près de quatre ans de discussion. Le règlement devrait être voté au 1er trimestre 2016 et entré en vigueur début 2018. Objectif / Contenu : réformer et remplacer la directive (95/46/CE) pour mettre en place une législation unique: ▪ un allégement des formalités préalables pesant sur les entreprises, ▪ un renforcement des droits du citoyen, ▪ une harmonisation des pouvoirs et des compétences des autorités de contrôle, ▪ une coopération renforcée entre les autorités. 9
  10. 10. 2ème partie 10
  11. 11. 11. Protection/ valorisation par le secret et par le contrat - Les données traditionnelles tels que le savoir faire ou les données internes de l’entreprise peuvent se protéger par le secret. Exemples les plus célèbres Nutella et Coca Cola. - La plupart des données protégeables par contrat : accord de confidentialité, lettre d’intention, contrat d’expérimentation. - Le contrat permet également d’autoriser dans certaines conditions l’exploitation des données par des tiers essentiellement contrat de licence. 11
  12. 12. - Contrefaçon de droit d’auteur L.335-2 du Code de la propriété intellectuelle L.335-3 du Code de la propriété intellectuelle - Atteinte au droit des bases de données L.342-1 du Code de la propriété intellectuelle - Action en concurrence déloyale et parasitaire Article 1382 du Code civil 12 12. Protection par la voie judiciaire
  13. 13. 2. L’exploitation des données à caractère personnel 1- Définition des acteurs en matière de données à caractère personnel - Le responsable : Article 3 de la loi du 6 janvier 1978 - Le sous-traitant : Article 35 de la loi informatique et liberté 13
  14. 14. 2- Des obligations préalables à la mise en œuvre d’un traitement de données à caractères personnel Formalités préalables au traitement auprès de la CNIL : - La déclaration préalable - Les déclarations simplifiées (gestion du personnel, relation clients … ) - La demande d’autorisation Articles 25, 54 et 64 de la loi du 6 janvier 1978 modifiée (données sensibles / finalités sensibles) Attention : Même dans le cadre d’une déclaration normale les transferts de données hors de l’UE et des pays dits de niveau adéquat de protection doivent faire l’objet d’une autorisation 14
  15. 15. Transferts de données aux USA Où en est on depuis l’invalidation du Safe Harbor par la Cour de Justice de l’Union Européenne par l’arrêt Schrems du 6 octobre 2015 ? TITRE 15
  16. 16. 3- Autres obligations incombant au responsable de traitement 1- Les conditions de la collecte des données personnelles Information des personnes concernées Recueil du consentement des personnes concernées 2- Conditions du traitement Licite, légitime et proportionnée. Question de la durée de conservation des données Sécurité des données 3- Droits de la personne objets du traitement Droit d’accès de modification, de suppression 16
  17. 17. 4 - Les sanctions - Des sanctions pénales - articles 226-16 et suivants du Code pénal - Des sanctions administratives et financières prononcées par la CNIL 17
  18. 18. Cour de cassation chambre commerciale 25 juin 2013 N° de pourvoi: 12-17037 « Attendu qu'en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente par la société Bout- Chard d'un tel fichier qui, n'ayant pas été déclaré, n'était pas dans le commerce, avait un objet illicite, la cour d'appel a violé les textes susvisés » Un fichier clients non déclaré à la CNIL est donc, selon la Cour de cassation, insusceptible d’être vendu. 18
  19. 19. Cliquez et modifiez le titre

×