Introduction au Droit des Bases de Données
Commission National de l’Informatique et des Libertés
http://www.cnil.fr
Loi « informatique et liberté »
□ BD : recueil d'informations électroniques ou non
➔ Traiter en masse des données, de manière rapide et efficace
□ 1974 : Projet SAFARI - Centraliser les répertoires d'identification (régionaux), le fichier de la CNAV (retraite) et ceux de la carte d'identité
➔ Le Monde (1974) : « SAFARI ou la chasse aux Français » Entrave grave à la liberté
□ loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Les droits
□ Le droit à l’information
□ Le droit d’opposition
□ Le droit d’accès
□ Le droit de rectification
➔ Le non-respect est sanctionné pénalement (saisir la CNIL)
Le droit à l’information
Soyez curieux des informations vous concernant
□ Toute personne a le droit de savoir si elle est fichée et dans quels fichiers
□ Toute personne qui met en œuvre un fichier contenant des données personnelles doit renseigner les points suivants : identité du responsable, objectif de la collecte d’informations, caractère obligatoire ou facultatif des réponses, conséquences de l’absence de réponse, destinataires des informations, …
□ Limites : l’obligation d'information est allégée lorsque les
données sont anonymisées et exclue pour les fichiers de police, de gendarmerie ou relatifs à des condamnations pénales.
Le droit d’opposition
Restez maître de vos données personnelles
□ Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier et cela sans se justifier
□ Droit d'opposition : refus de répondre lors d’une collecte non obligatoire de données, refus de donner l’accord écrit
obligatoire pour le traitement de données sensibles (opinions politiques ou religieuses), demander la radiation des données contenues dans des fichiers commerciaux, exiger la non-
commercialisation d’informations (case à cocher,…)
□ Limite : le droit d'opposition n'existe pas pour les services fiscaux, de police, de la justice, de la sécurité sociale…
Le droit d’accès
Consultez vos données personnelles (complémentaire au droit d’informations)
□ Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier pour savoir s’il détient des
informations sur elle, et le cas échéant d’en obtenir une copie.
□ Limite : si le responsable estime que la demande est abusive ou si les données sont sous une forme ne présentant aucun risque, leur consultation est refusée : sécurité de l'État, la défense, la police ou la gendarmerie
Le droit de rectification
Info ou intox, à vous de contrôler
□ Toute personne peut faire rectifier, compléter, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs ou la présence de données dont la
collecte, l'utilisation, la communication ou la conservation est interdite
□ Pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations
□ Le demandeur peut obtenir gratuitement une copie de l'enregistrement modifié
Les obligations (1)
Les utilisateurs de données personnelles ont des obligations
□ La collecte des données : consentement de la personne pour utiliser une information qui l’identifie.
Sauf dérogation, pas de données sensibles.
□ La finalité des traitements : cohérence par rapport à un objectif. Pas de réutilisabilité pour un autre objectif.
□ La durée de conservation des informations : date de
péremption raisonnable en fonction de l’objectif fixée par le responsable.
Les obligations (2)
□ La sécurité des fichiers : mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adoptées par le responsable des traitements informatiques
□ La confidentialité des données : accès aux données
seulement pour les destinataires explicitement désignés ou des « tiers autorisés » de façon ponctuelle et motivée (par ex. : la police, le fisc)
□
Les obligations (3)
□ L’information des personnes : le responsable d’un fichier doit permettre aux personnes d'exercer leurs droits
□ La déclaration des fichiers : fichiers à risques doivent être déclarés à la CNIL
(n° d’enregistrement sur le site Web + contact du responsable)
▪ Pas de déclaration du fichier des membres pour les partis politiques, les églises, les syndicats et les associations
▪ Ni pour les sites web de particuliers dans le cadre d’une activité personnelle
▪ Les données de santé ne peuvent être collectées
▪ Pb des cookie, historique, cache, formulaires, fichiers téléchargés en tant que données personnelles
La CNIL
□ Autorité administrative indépendante française
□ Veiller à la protection des données à caractère personnel et de la vie privée
□ Créée par la loi du 6 janvier 1978
□ 18 personnes nommées pour 5 ans renouvelable une fois
Missions de la CNIL (3 axes)
□ Information
▪ Informe les autorités publiques, les professionnels et les citoyens des droits et des devoirs en matières de données personnelles.
▪ Permet aux citoyens d'exercer leur droit d'accès à certains fichiers (RG).
▪ Moyens utilisés : site internet (loi et modalités d'application),
rapport annuel, publicité faite sur des délibérations (via la presse), organisation de réunions thématiques régionales
□ Contrôle : respect de la loi a priori (dossiers de déclaration) et a posteriori (visites dans les organismes).
Evolutions
□ + Extension à la vidéosurveillance depuis 2008 (sur sa demande)
□ + Perquisitions dans les locaux d'une entreprise entre 6h et 21h
□ - Depuis 2004, diminution des pouvoirs sur les fichiers visant à la sécurité nationale ou à la défense du territoire :
EDVIGE (2008) : origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, appartenance syndicale, relatives à la santé ou à la vie sexuelle
EDVIRSP (2009) : plus d’info politique, syndicale, religieuses, de santé ni de sexualité ; jeunes fichés à 13 ans et effacés à leur majorité
□ - Janvier 2006 : loi relative au traitement du terrorisme. Limiter l’info à la CNIL sur les fichiers intéressant la sûreté de l’Etat, la défense ou la
Le CIL
□ Assurer l'application des dispositions de la loi dans l'organisme (public ou privé)
□ Déclaration à la CNIL largement simplifiées, sauf pour les
traitements sensibles (données biométriques ou sûreté de l'État)
□ Nommé par l'entreprise parmi ses collaborateurs ou à l'extérieur
□ Agit de manière indépendantes
□ Peut saisir la CNIL
□ Bilan annuel du CIL : remis au responsable de traitement chaque année et tenu à disposition de la CNIL
La CNIL en chiffres (2016) : information
La CNIL en chiffres (2016) : protection
Types de plaintes
La CNIL en chiffres (2016) :
contrôle et sanction
Types de plaintes
En 2018 (règlement européen)
Google et la CNIL
Janvier 2012 – simplification de sa politique de confidentialité Fusion des politiques de confidentialité de ses applications
(YouTube, Gmail, Maps, Drive, etc)
Refus de Google de se mettre en conformité avec la loi française Mars 2013 : engagement à améliorer la protection des données Contrôles et vérifications par la CNIL (non concluants)
Google conteste les faits et déclare la CNIL non compétente Janvier 2014 : sanction financière de 150 000 € (dérisoire) Mai 2015 : mise en demeure pour refus d’appliquer le
déréférencement sur toutes les extensions (.com)
Charte à signer pour l’accès aux serveurs de Google
Facebook et la CNIL
01/2016 : collecte de données déloyale et défaut de consentement et d’information - Amende de 150 000 € - dérisoire !!
▪
Collecte à des fins publicitaires (pour mieux cibler la pub)▪
Traçage des internautes via le cookie « datr »Cambridge Analytica : piratage de 87millions d'utilisateurs pour Trump
▪
Conservation des données à des fins inconnues et au-delà de 6 mois▪
Collectes de données sensibles sans consentement (profils, opinions publics, croyances ou orientation sexuelle)12/2017 : mise en demeure de WhatsApp pour avoir fourni ses données à Facebook. Risque d’une sanction maximale de 3 millions d'euros.
Linky et la CNIL
27/03/2018 : mise en demeure de Direct Énergie pour Linky
Collecte des consommations des clients (toutes les ½ heures) sans leur consentement
Ces compteurs permettent, selon EDF, une facturation
des clients au plus juste, en fonction de leur consommation Linky n'est pas intelligent, il est seulement communicant Atteinte à la vie privée !
Février 2021 : clôture de la mise en demeure par la CNIL
Le client peut consentir au suivi de sa consommation quotidienne sans devoir consentir au suivi de sa consommation à la demi-heure
Sur les cookies
Depuis la RGPD, les sites sont obligés d’obtenir le consentement des internautes pour utiliser des cookies pendant leur navigation
Décembre 2020 : sanction de Google de 100 millions d’euros et Amazon pour 35 millions d’euros, pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable ni information
1er avril 2021 : les sites sont censés proposer de manière très claire aux internautes de refuser leurs cookies publicitaires.
Solution : passer sur une logique d’abonnement pour pouvoir