Cours M2 droit des affaires - Données-personnelles (RGPD) PDF

Preview

Summary

Cours M2 droit des affaires - Données-personnelles (RGPD)...

Description

PROTECTION DES DONNÉES PERSONNELLES

INTRODUCTION DCP : donnée à caractère personnel RCGP : Règlement général sur la protection des données DPO : Data Protection Officer → est en charge de la protection des données CNIL : Commission Nationale de l’Informatique et des Libertés I.

Les enjeux du RGPD

RGPD est entré en vigueur le 25 mai 2018 mais a été adopté en mai 2016, délai de grâce de 2 ans a été accordé aux entreprises pour se mettre en conformité. Avant cela, toutes les discussions et les premiers projets ont démarré 3 ans. C'est-à-dire que ce Rgt Européen c’est le résultat de 3 ans de discussion entre les différents acteurs. Ce Rgt est arrivé dans un contexte où depuis une vingtaine d’années on voit un développement important des réseaux sociaux, d’internet et donc une production des données numériques qui est devenu de plus en plus importante voire gigantesque, notamment via les réseaux sociaux. Combiné à cela les technologues de Big data son apparues. Big data : capacités de stocage massif et de traitement massif des données avec des outils d’analyse puissant. Le big data associé à cette production volumineuse de données numériques font qu’il est devenu tout à fait possible d’exploiter ces données pour diverses finalités. Il y a potentiellement des risques sur les données personnelles des personnes, à partir de là on va pouvoir créer de la données additionnelles sur les profile des personnes. Le rgt est intervenu pour s’adapter à la réalité numérique et mieux protéger les citoyens européens. Ce Rgt c’était une réponse aux GAFA qui était lié au fait que Google avait déjà été sanctionné en Europe, pour des amendes qui n’étaient rien pour Google donc il fallait préparer une réponse à ça. Sauf que le Rgt est applicable de la même manière à toutes les entreprises, y compris des entreprises qui font plus attention aux traitements de données que les GAFA. Le RGPD a eu des impact aussi important du point de vu des entreprises car il a simplifié les formalités  que jusqu’à l’entrée en vigueur du Rgt, pour gérer un nouvel outil RH il fallait effectuer une déclaration auprès du régulateur voir même effectuer une demande de régulation, la CNIL mettait 6 mois à donner l’autorisation, difficile pour une société qui veut se développer. Accountability : maintenant que l’on a le RGPD si on veut mettre en place un projet qui met en jeu des données personnelles, plus obligé de faire une déclaration à la CNIL mais doit tenir un registre de toutes les activités de traitement. On va y inscrire toutes les données à caractères personnelles qui sont collectées, on va dire quelles sont les mesures de sécurité mise en place pour sécuriser ces données. La charge de la preuve et inversée, c’est à

Protection des données personnelles

1

l’entreprise de démontrer qu’elle est conforme. Plus besoin de demander l’autorisation à la CNIL mais la CNIL peut venir contrôler et faudra lui donner tous les documents demandés. Le RGPD s’applique aux entreprises au sein de l’UE et entreprises hors UE dès lors qu’elle traite des données de citoyens européens. Ex : Amazon US qui livre un produit à un citoyen européen. Les sanctions en terme d’amende administrative qui peuvent être prononcée par la CNIL ont été considérablement augmentées. Amende était de 150 000 euros et montait à 300 000 € en cas de récidive. Avec le RGPD l’amende peut aller jusqu’à 2 ou 4% du CA total du groupe consolidé. II.

Le cadre juridique

Ce Rgt a abrogé la directive de 1995 en matière de protection des données personnes. L’un des objectifs du RGPD c’est d’harmoniser les règlementations, car les transpositions nationales étaient variables d’un pays à un autre. Puisque c’est un Rgt, on applique le texte tel qu’il est dans chaque pays. Sauf que ce Rgt prévoyait la possibilité de certaines marges de manœuvres au niveau de l’adaptation des lois nationales en vigueur. Aujourd’hui on a des données sur des vieux systèmes informatiques et on se demande comment purger ces données et techniquement c’est très compliqué. Rgt : application immédiate Directive : il va falloir la transposer La loi française de 1978, modifié en 2004 pour transposer la directive de 1995 a été a nouveau modifiée cette année le 20 juin 2018. Dans cette loi, on trouve un certain nombre d’éléments complémentaires au RGPD. Le décret du 20 octobre 2005 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifié par le décret du 1 er aout 2018 qui fixe plus précisément les délais et procédures applicables aux différentes missions de la CNIL et précise certaines dispositions de la loi. III.

Les données personnelles

Les lignes directrices du G20 endossées par le Comité européen de la projection des données clarifient et illustrent d’exemples concrets le nouveau cadre juridique issu du Rgt européen de la protection des données.

-

DONNÉES PERSONNELLES Nom et prénom Identifiants de connexion Adresse mail Données de géolocalisation Adresse IP Numéro de téléphone Adresse postale Modèle de voiture + Code postal

Protection des données personnelles

-

DONNÉES Ø PERSONNELLES Modèle de voiture Code Postal Données météorologiques Données de circulation routière

2

IV.

Arrêt maladie Date de naissance Intitulé du poste Les grandes nouveautés du RGPD

Une donnée à caractère personnel (DCP) : toute information relative à une personne physique, identifiée ou identifiable, directement ou indirectement par référence à un n° identification ou un élément qui lui est propre. Les grandes nouveautés du RGPD par rapport à la loi informatique et liberté préexistante, impose aux entreprises d’être en capacité d’attraper la preuve de sa conformité. Ex : droit à l’oubli → comment je prouve que j’ai supprimé des données ? On va concerner des Log qui prouvent que l’on a supprimé des données. A. La notion d’accountability Elle impose aux entreprises de prouver leur conformité. B. Analyse d’impact (PIA) PIA (privacy impact analyse)  analyse d’impact : analyse d’impact sur la vie privée des personnes dont des données vont être traitées. Le RGPD impose de mener un PIA quand le traitement de données présente un risque élevé sur la vie privée des personnes. On a eu les lignes directrices du Comité européen à la protection des données, qui donne un certains nombre de critères et qui dit « si le traitement combine deux critères sur les neuf, on est sur un traitement à risque élevé ». Ex de critère : traitement à grande échelle → on est sur un grand volume de personnes c'est-à-dire est ce que mon traitement, porte sur 10 personnes ou 100 000 personnes sur les 5 m° de clients. Ex évaluation de notation : scoring, profilage. Dans les sociétés d’assurance ou les banques, quand on va contracter un crédit on nous demande un certains nombre d’infos et une fois collectée on va calculer un score de risque d’impayé et par rapport à toutes les réponses données dans le questionnaire on va se dire que ce client là a un risque de payer ou non. Pour les assurances on va regarder s’il y a un risque de bouger de son contrat. On va avoir la surveillance systématique, cas où on surveille de manière permanente les personnes. Ex : vidéosurveillance qui est autorisée à certaines conditions. En principe on n’a pas le droit avec la vidéosurveillance de surveiller un poste de travail sauf cas particulier pour des raisons de sécurité. Il y a la prise de décision antérieurement automatisée  sans intervenions humaine. Si on reprend le scoring, risque d’impayé, quand la personne va faire le devis et répondre le questionnaire avec les infos → le risque d’impayé repose très souvent uniquement sur des algorithmes, pas d’avis des employés, pas d’action humaine. La prise de décision antérieurement informatisée c’est une variable à laquelle il faut faire attention, car la personne concernée va avoir une décision juridique qui va avoir des effets sur elles, ou au contraire l’exclure d’un bénéfice. Il faut informer la personne et lui dire que ce process est antérieurement informatisé et lui laisser la possibilité de contacter un

Protection des données personnelles

3

conseiller, et pouvoir lui expliquer pourquoi le bénéfice d’un paiement mensuel lui est refusé. C. Le Privacy by design Le privacy by design : quand on met en œuvre un nouveau projet, on doit dès le début de la conception du projet, du système informatique, s’assurer de respecter les principes du RGPD. Ex : pour la purge des données, je dois m’assurer dès le début de la possibilité de purger les données pour l’avenir. Le job du DPO est de voir si tous les critères clé du RGPD, tous les principes du RGPD, sont respectés, avant de donner l’autorisation de lancement. Le DPO peut être soit interne à l’entreprise ou peut être externalisé d’une ou plusieurs entreprises. D. Minimisation Le RGPD c’est une logique de minimisation en général. On peut conseiller de minimiser les données collectées, ce qui est logique de minimisation en général. Plus il y a de données, plus il y a de personnes qui peuvent y accéder, plus il y a des dangers de fuite. Ex : une personne a changé de fonction, on lui coupe l’accès aux données auxquelles elle avait droit. Depuis le RGPD le correspondant informatique et liberté a aussi un rôle de contrôle et pas uniquement de conseiller. E. Le DPO Le DPO c’est aussi celui qi va développer des politiques de protection des données, des procédures. Ex : procédure de rétention et de suppression des données. Comment est ce que l’on purge ? De manière automatique ou manuelle ? Le DPO est un acteur clef dans la protection des données, c’est celui qui va s’assurer que les principes du RGPD sont respectés. Il a rôle de conseil et d’accompagnement mais aussi un rôle de contrôle. Il va mettre en place de développer des procédures vis à vis des données. Il a un rôle de diffuser cette culture d’informatique et des données, un rôle d’éducation. La fonction de DPO nécessite des capacités juridiques et des bonnes connaissances de la sécurité informatique. Le DPO ne porte pas de responsabilité pénale, il n’est pas responsable. Celui qui sera responsable est le représentant légal. F. Le droit à la portabilité Le RGPD a créé un nouveau droit : le droit à la portabilité. L’objectif de la portabilité c’est qu’un individu ne soit pas verrouillé auprès d’un prestataire mais puisse changer, en disant à son prestataire actuel « je souhaite récupérer mes données personnes sous un format informatisé pour les donner directement à mon nouveau prestataire ». Nouveau, on ne sait pas encore comment ce sera appliqué. C’est nouveau car on récupère sous format électronique.

Protection des données personnelles

4

G. Le droit à l’oubli Le droit à l’oubli, ce n’est pas nouveau car avant on avait un droit à la suppression des données personnelles avec la loi informatique et libertés. Si on souhaite que nos données soient supprimées sur des moteurs de recherche ou des réseaux sociaux, on dispose aujourd’hui de procédures. V.

Les six règles du RGPD A. Le principe de finalité

→ Finalité : la finalité d’un traitement dot être déterminée, explicite et légitime. Elle doit être communiquée aux personnes lorsqu’on collecte des infos sur elles, dire pourquoi on les collecte. La finalité doit être déterminée dès le départ, savoir pourquoi on collecte des données. Quand je collecte des données pour une finalité, je n’ai pas le droit de les réaliser pour une autre finalité sans prévenir la personne en question, sans demander son autorisation. Ex : on intègre une entreprise en tant qu’employé, l’entreprise collecte des données pour le service RH. Cette entreprise si elle commercialise des services ou produits, peut offrir des produits à des tarifs promotionnels, l’entreprise ne peut pas envoyer de la prospection commerciale à ses salariés grâce aux données collectées. B. Le principe de sécurité → Sécurité : dès lors qu’on collecte des données personnelles, il faut mettre en place des principe de sécurité pour préserver la confidentialité, l’intégrité des données. Ces mesures de sécurité on va les graduer en fonction de la sensibilité du traitement, du risque d’impact sur la vie privée des personnes. C. Le principe de licéité et de transparence → Licéité et transparence : c’est le fait qu’il faut avoir une base légale pour traiter les données perso. Il s’agit de l’intérêt légitime de l’entreprise, du responsable de traitement et du sous-traitant. Responsable de traitement = l’entreprise décide de la création d’un nouveau traitement de données et qui va définir ses modalités de mise en œuvre Le sous-traitant : va agir sur les instructions du responsable de traitement pour traiter les données personnelles que le responsable de traitement va lui donner. Intérêt légitime : l’exécution d’un contrat, pour établir un contrat d’assurance ou gérer les sinistres, il faut bien des données sur le client. Si on ne peut pas utiliser l’intérêt légitime comme base légale, une autre base légale possible est le respect d’une obligation légale. Etat : obligation légale de lutte anti-blanchiment. D’autres n’ont pas été mentionnées : sauvegarde de l’intérêt vital d’une personne, etc. Pour la transparence, c’est l’information que l’on doit donner aux personnes. Quand on collecte les données d’une personne il faut dire pourquoi on les collecte et qui va y accéder. D. Durée limitée de conservation

Protection des données personnelles

5

→ Durée limitée de conservation : supprimer les données perso dès lors que l’entreprise n’en a plus besoin par rapport à la finalité poursuivie. E. L’exactitude → Exactitude : à tout moment, il faut des données exactes sur les personnes dont un processus de mise à jour sur les données est nécessaire, si un client appelle pour mettre à jour ses données perso comme l’adresse, faut être capable de les modifier. F. Pertinence et proportionnalité → Pertinence et proportionnalité : idée de la minimisation c'est-à-dire qu’on ne doit collecter que des données pertinentes et proportionnelles à nos besoins, ne doivent pas être excessifs par rapport à la finalité. Ex : lors d’un entretien d’embauche l’employeur va poser des questions au candidat pour évaluer les compétences du candidat en terme d’adéquation avec le poste, si pose des questions qui sont sans rapport, il le fera sans base légale, c’est interdit. VI.

Le consentement

Dans les cas où le consentement est obligatoire, quand on n’a pas d’autres bases légales ou quand on traite des données sensibles. Les conditions de recueil du consentement ont beaucoup évolué avec le RGPD. → Il doit être donné librement  pas de lien de subordination. → Le consentement doit être spécifique. Avant le RGPD, on trouvait des conditions générales illisibles en détaillant le traitement des données perso, avec un « j’accepte les conditions générales ». Désormais, c’est un consentement par finalité, comme ça le client fait bien la différence. → Le consentement doit être explicite  soit une case à cocher (donc pas une case pré-cochée) soit une signature (  on va avoir une signature avec les CG et il y aura une autre page avec les cases à cocher). → Le consentement doit pouvoir être retiré aussi facilement qu’il l’a donné, elle a un droit de retrait de consentement. VII.

Le renforcement du droit des personnes

Le renforcement des droits des personnes – l’un des objectifs ppal de la RGPD Ces droits se sont pour beaucoup les corolaires des 6 principes.

→ droit à l’information Existait avant RGPD. Droit de recevoir une info complète et claire sur la collecte qui est faite des mes données personnelles. Il faut que les mentions d’info soient facilement compréhensibles et parfois au sein de l’entreprise on pourrait être tenté de faire des formulations compliquées, trop juridiques, que tout le monde ne pourrait pas interpréter. → droit d’accès

Protection des données personnelles

6

Existait avant RGPD. A tout moment on peut demander à toute entreprise ou organisme à qui on a donné nos données perso d’y avoir accès. → droit de rectification Après avoir eu accès à nos données on a droit à rectifier nos données si sont fausses. → droit à l’oubli Toute demande d’effacement va quand même faire l’objet d’une analyse par l’entreprise. → droit à la limitation du traitement Pas le plus simple à cerner, la personne peut utiliser un droit d’accès et éventuellement demander que certaines données puissent être utilisées pour une finalité, mais que d’autres ne sont pas nécessaires pour une autre finalité. → droit d’opposition S’opposer à ce que les données soient traitées. → droit à la portabilité VIII.

Les transferts de données hors UE

Ils sont en principe interdits, sauf exception. On peut mettre en places certaines garanties. Transfert à destination de pays adéquats tels que listés par la Commission Européenne. Des garanties appropriées sont prises telles que : - les clauses contractuelles types édictées par la Commission Européenne - Les Binding Corporate Rules (BCR) équivalant à une certification par la CNIL et gage de protection des données en cas de transfert. Sorte de charte intragroupe, groupe multinational où on va vouloir échanger des données. Dans cette charte on va retrouver tous les principes et les respecte. Toutes les sociétés du groupe le signe et de ce fait on peut échanger les données même en dehors de l’Europe. Le Privacy Shield est propre aux sociétés américaines. Une sté américaine peut décider d’adhérer au Privacy Shield. Sociétés américaines vers qui les sociétés européennes vont pouvoir leur transférer des données personnelles. Les BCR sous-traitant sont des acteurs du marché qui sont plutôt sous traitants que responsable de traitement, leurs clients (ex : AXA) va pouvoir quand elle utilise les services de Capgenimi en Inde, adhérer à l’accord intragroupe. Capgenimi en inde c’est engagé dors et déjà à respecter les mêmes principes de protection qu’en Europe. En cas de non respect de Capgenemi Inde, on peut se retourner contre Capgenemi France. IX.

L’obligation de notifier à la CNIL les violations de données

Jusqu’au RGPD on n’avait pas en France l’obligation de notifie à la CNIL les cas où on avait une faille de sécurité dans une société, qui va conduire à une divulgation non autorisée des données → ça correspond à un piratage informatique, erreur de destinataire, envoyer des données à un mauvais destinataire.

Protection des données personnelles

7

En entreprise on évite d’envoyer des gros fichiers de données personnelles par mail → très dangereux car risque d’erreur de destinataire. Donc on privilégie les espaces de sécurité sur lesquels les destinataires pourront se connecte et collecter les infos. A. Obligation de notifier à la CNIL Lorsqu’une entreprise constate qu’elle a eu une violation de données perso dont elle avait la garde, elle doit en informer la CNIL si cette violation présente un risque pour les droits et libertés des PPh. Pour les responsable de traitement dans un délai de 72 heurs après en avoir pris connaissance, à compter de la découverte. Si on a fait un PIA avec une analyse de risque, on le ressort car on avait déjà évalué qu’il y avait un risque. Les sous-traitants doivent les notifier aux responsables de traitements dans les meilleurs délais. B. Obligation de notifier aux personnes concernées Si la violation de données constitue un risque élevé sur la vie privé des personnes, il faut prévenir les personnes concernées dans les meilleurs délais. Trois exceptions (3) : - Les données étaient incompréhensibles du fait de l’application de mesures telles que le chiffrement - Le RT a pris des mesures ultérieures qui suppriment le risque élevé - La notification exigerait des efforts disproportionnés X.

Les sanctions en cas de non respect du RGPD

Pour certains types de manquement le plafond va être de 10 m° € ou de 2% du CA des entreprises (groupe consolidé). Pour d’autres types de manquement c’est 20 millions ou 4% CA. Ce qui es...