Introduction au Droit des Bases de Données

Introduction au Droit des Bases de Données

Commission National de l’Informatique et des Libertés

http://www.cnil.fr

Loi « informatique et liberté »

□ BD : recueil d'informations électroniques ou non

➔ Traiter en masse des données, de manière rapide et efficace

□ 1974 : Projet SAFARI - Centraliser les répertoires d'identification (régionaux), le fichier de la CNAV (retraite) et ceux de la carte d'identité

➔ Le Monde (1974) : « SAFARI ou la chasse aux Français » Entrave grave à la liberté

□ loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Les droits

□ Le droit à l’information

□ Le droit d’opposition

□ Le droit d’accès

□ Le droit de rectification

➔ Le non-respect est sanctionné pénalement (saisir la CNIL)

Le droit à l’information

Soyez curieux des informations vous concernant

□ Toute personne a le droit de savoir si elle est fichée et dans quels fichiers

□ Toute personne qui met en œuvre un fichier contenant des données personnelles doit renseigner les points suivants : identité du responsable, objectif de la collecte d’informations, caractère obligatoire ou facultatif des réponses, conséquences de l’absence de réponse, destinataires des informations, …

□ Limites : l’obligation d'information est allégée lorsque les

données sont anonymisées et exclue pour les fichiers de police, de gendarmerie ou relatifs à des condamnations pénales.

Le droit d’opposition

Restez maître de vos données personnelles

□ Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier et cela sans se justifier

□ Droit d'opposition : refus de répondre lors d’une collecte non obligatoire de données, refus de donner l’accord écrit

obligatoire pour le traitement de données sensibles (opinions politiques ou religieuses), demander la radiation des données contenues dans des fichiers commerciaux, exiger la non-

commercialisation d’informations (case à cocher,…)

□ Limite : le droit d'opposition n'existe pas pour les services fiscaux, de police, de la justice, de la sécurité sociale…

Le droit d’accès

Consultez vos données personnelles (complémentaire au droit d’informations)

□ Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier pour savoir s’il détient des

informations sur elle, et le cas échéant d’en obtenir une copie.

□ Limite : si le responsable estime que la demande est abusive ou si les données sont sous une forme ne présentant aucun risque, leur consultation est refusée : sécurité de l'État, la défense, la police ou la gendarmerie

Le droit de rectification

Info ou intox, à vous de contrôler

□ Toute personne peut faire rectifier, compléter, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs ou la présence de données dont la

collecte, l'utilisation, la communication ou la conservation est interdite

□ Pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations

□ Le demandeur peut obtenir gratuitement une copie de l'enregistrement modifié

Les obligations (1)

Les utilisateurs de données personnelles ont des obligations

□ La collecte des données : consentement de la personne pour utiliser une information qui l’identifie.

Sauf dérogation, pas de données sensibles.

□ La finalité des traitements : cohérence par rapport à un objectif. Pas de réutilisabilité pour un autre objectif.

□ La durée de conservation des informations : date de

péremption raisonnable en fonction de l’objectif fixée par le responsable.

Les obligations (2)

□ La sécurité des fichiers : mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adoptées par le responsable des traitements informatiques

□ La confidentialité des données : accès aux données

seulement pour les destinataires explicitement désignés ou des « tiers autorisés » de façon ponctuelle et motivée (par ex. : la police, le fisc)

□

Les obligations (3)

□ L’information des personnes : le responsable d’un fichier doit permettre aux personnes d'exercer leurs droits

□ La déclaration des fichiers : fichiers à risques doivent être déclarés à la CNIL

(n° d’enregistrement sur le site Web + contact du responsable)

▪ Pas de déclaration du fichier des membres pour les partis politiques, les églises, les syndicats et les associations

▪ Ni pour les sites web de particuliers dans le cadre d’une activité personnelle

▪ Les données de santé ne peuvent être collectées

▪ Pb des cookie, historique, cache, formulaires, fichiers téléchargés en tant que données personnelles

La CNIL

□ Autorité administrative indépendante française

□ Veiller à la protection des données à caractère personnel et de la vie privée

□ Créée par la loi du 6 janvier 1978

□ 18 personnes nommées pour 5 ans renouvelable une fois

Missions de la CNIL (3 axes)

□ Information

▪ Informe les autorités publiques, les professionnels et les citoyens des droits et des devoirs en matières de données personnelles.

▪ Permet aux citoyens d'exercer leur droit d'accès à certains fichiers (RG).

▪ Moyens utilisés : site internet (loi et modalités d'application),

rapport annuel, publicité faite sur des délibérations (via la presse), organisation de réunions thématiques régionales

□ Contrôle : respect de la loi a priori (dossiers de déclaration) et a posteriori (visites dans les organismes).

Evolutions

□ + Extension à la vidéosurveillance depuis 2008 (sur sa demande)

□ + Perquisitions dans les locaux d'une entreprise entre 6h et 21h

□ - Depuis 2004, diminution des pouvoirs sur les fichiers visant à la sécurité nationale ou à la défense du territoire :

EDVIGE (2008) : origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, appartenance syndicale, relatives à la santé ou à la vie sexuelle

EDVIRSP (2009) : plus d’info politique, syndicale, religieuses, de santé ni de sexualité ; jeunes fichés à 13 ans et effacés à leur majorité

□ - Janvier 2006 : loi relative au traitement du terrorisme. Limiter l’info à la CNIL sur les fichiers intéressant la sûreté de l’Etat, la défense ou la

Le CIL

□ Assurer l'application des dispositions de la loi dans l'organisme (public ou privé)

□ Déclaration à la CNIL largement simplifiées, sauf pour les

traitements sensibles (données biométriques ou sûreté de l'État)

□ Nommé par l'entreprise parmi ses collaborateurs ou à l'extérieur

□ Agit de manière indépendantes

□ Peut saisir la CNIL

□ Bilan annuel du CIL : remis au responsable de traitement chaque année et tenu à disposition de la CNIL

La CNIL en chiffres (2016) : information

La CNIL en chiffres (2016) : protection

Types de plaintes

La CNIL en chiffres (2016) :

contrôle et sanction

Types de plaintes

En 2018 (règlement européen)

Google et la CNIL

Janvier 2012 – simplification de sa politique de confidentialité Fusion des politiques de confidentialité de ses applications

(YouTube, Gmail, Maps, Drive, etc)

Refus de Google de se mettre en conformité avec la loi française Mars 2013 : engagement à améliorer la protection des données Contrôles et vérifications par la CNIL (non concluants)

Google conteste les faits et déclare la CNIL non compétente Janvier 2014 : sanction financière de 150 000 € (dérisoire) Mai 2015 : mise en demeure pour refus d’appliquer le

déréférencement sur toutes les extensions (.com)

Charte à signer pour l’accès aux serveurs de Google

Facebook et la CNIL

01/2016 : collecte de données déloyale et défaut de consentement et d’information - Amende de 150 000 € - dérisoire !!

▪

▪

Cambridge Analytica : piratage de 87millions d'utilisateurs pour Trump

▪

▪

12/2017 : mise en demeure de WhatsApp pour avoir fourni ses données à Facebook. Risque d’une sanction maximale de 3 millions d'euros.

Linky et la CNIL

27/03/2018 : mise en demeure de Direct Énergie pour Linky

Collecte des consommations des clients (toutes les ½ heures) sans leur consentement

Ces compteurs permettent, selon EDF, une facturation

des clients au plus juste, en fonction de leur consommation Linky n'est pas intelligent, il est seulement communicant Atteinte à la vie privée !

Février 2021 : clôture de la mise en demeure par la CNIL

Le client peut consentir au suivi de sa consommation quotidienne sans devoir consentir au suivi de sa consommation à la demi-heure

Sur les cookies

Depuis la RGPD, les sites sont obligés d’obtenir le consentement des internautes pour utiliser des cookies pendant leur navigation

Décembre 2020 : sanction de Google de 100 millions d’euros et Amazon pour 35 millions d’euros, pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable ni information

1er avril 2021 : les sites sont censés proposer de manière très claire aux internautes de refuser leurs cookies publicitaires.

Solution : passer sur une logique d’abonnement pour pouvoir