Protection des données personnelles - Online Economy Conference - 14 décembre 2007, Anne-Catherine LORRAIN

1

Colloque international « Online Services : networks, contents, usages »

ADIS

Université Paris Sud XI, Faculté Jean Monnet, Sceaux

14 décembre 2007

« La protection des données personnelles : Une perspective juridique »

Anne-Catherine [email protected]

CERDI(Centre d’Etudes et de Recherche en Droit de l’Immatériel)

Universités Paris I Sorbonne – Paris Sud XI

mailto:[email protected]





2

Loi du 9 janvier 1978 « informatique et libertés »

Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (cf. infra)

3 notions phares : «données à caractère personnel»: toute information concernant une personne physique

identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b) «traitement de données à caractère personnel» (traitement): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;

c) «fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;


3


« Privacy »

« Privacy » et droit français Vie privée, droit de la personnalité (droit à l’image, droit au nom…)

« Privacy » et Internet Protection des correspondances électroniques Lutte contre le spamming (« pollupostage »)

… « ficher », « tracer »…

4

Le cas des données « de connexion » Définition : notion hétérogène

Données « de connexion » = données « de trafic » = données relatives à une communication électronique

Les données « de connexion » sont les informations produites ou nécessitées par l’utilisation des réseaux de communications électroniques (communications téléphoniques et communications par réseau Internet) :

données de trafic (fichiers log…), données de localisation, données de facturation.

Pour les opérateurs de communications électroniques : - Données relatives aux relations commerciales avec leurs clients (nom, prénom, adresse, mode de

paiement de l’abonnement, etc.)- Données relatives aux communications émises par leurs clients sur les réseaux

Les données « de connexion » sont des données personnelles Le débat sur la nature juridique des adresses IP : Sont-elles nominatives ? Dans quel cadre peuvent-elles le devenir?


5


Le cadre légalLa quête de l’équilibre des droits

Principe : Protection des données de connexion Effacement, confidentialité, anonymisation

Exceptions : Collecte / conservation des données de connexion Traitement des données ( utilisations secondaires, profilages)

Circulation des données ( utilisation par des tiers)

Sous certaines conditions

Constatation : L’exception tend à devenir le principe ! « obligation » légale de conservation des données de connexion

6

L’encadrement légal Textes européens : Encadrement des principes- Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la

libre circulation de ces données- Directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des

communications électroniques / Décision-cadre sur la rétention des données de trafic d’octobre 2005- Directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications

électroniquesGroupe « Article 29 »

Textes nationaux : Organisation des exceptions au principe de protection des données- Loi relative « informatique et libertés » du 6 janvier 1978- Loi du 6 août 2004 adaptant la loi de 1978 au secteur des communications électroniques - Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004- Loi « sécurité quotidienne » du 15 novembre 2001 (création de l’art. 34-1 Code des Postes et communications électroniques)- Loi « sécurité intérieure » du 18 mars 2003- Loi relative à la lutte contre le terrorisme du 23 janvier 2006


7

Encadrement de l’exception de conservation des données de connexion Finalités de la conservation Conservation proportionnée et limitée au but poursuivi

Pour la facturation et le paiement des prestations de communications électroniques (catégorie 1) Pour la recherche et la poursuite d’une infraction (catégorie 2) Cas critique de la lutte contre le terrorisme Pour la protection des systèmes d’information de l’opérateur de communications électroniques (catégorie

3)

Limitation de la durée de la conservation des données Décret du 24 mars 2006 :

- Maximum 1 an à compter du jour de l’enregistrement des données (catégories 1 et 2)- Maximum 3 mois ----------------------------------------------------------- (catégorie 3)

Consentement des personnes concernées : Consentement exprès, information préalable (éclairée), droit d’opposition


8

La mise en œuvre de la conservation des données

Garanties juridiques- Désignation des personnes habilitées à procéder à la collecte et au traitement des données

Tendance à l’élargissement de la définition des « opérateurs » responsables du traitement des données

- Nature des données conservées : Nature variable Les données ne doivent pas révéler le contenu des communications (données de connexion) … mais conservation des données relatives à une communication électronique « permettant

d‘identifier les créateurs de contenu » (LCEN).- Contrôle de la conservation des données :

- CNIL : procédure de déclaration obligatoire, autorisation, rôle consultatif (recommandations, avis), rôle normatif incident (« normes simplifiées »), pouvoir de sanction

- Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS)- Jurisprudence (rare)

Garanties techniques ?


9

Le point de vue des opérateurs Elargissement de la notion d’« opérateur »

Coûts- Frais de collecte et de stockage des données- Frais liés aux demandes de communication des données

Obligation légale de compensation financière des opérateurs Décret du 24 mars 2006 (modalités) Arrêté du 22 août 2006 (tarification)


10

Applications pratiques

Données de connexion et lutte anti-contrefaçon Débat sur la nature des adresses IP : Pour la CNIL : = données personnelles ; « indirectement nominatives, au même titre qu’un numéro de téléphone qui

correspond à un abonné ou qu’un numéro d’immatriculation d’une voiture qui se rapporte à son propriétaire ».

Tâtonnements jurisprudentiels concurrencés par les résultats des travaux de la « Mission Olivennes ».

Données de connexion et réseaux sociaux (ex. : Facebook) Une question d’attitude des internautes…


11


Publications

A.-C. LORRAIN et G. MATHIAS, Données de connexion : un projet de décret resserre la toile ou comment l’ombre de « Big Brother » menace la « confiance » dans l’économie numérique, Revue Lamy Droit de l'Immatériel, 2007/28, n° 919

A.-C. LORRAIN et G. MATHIAS, Données de connexion : la publication du premier décret (…), Revue Lamy Droit de l’Immatériel, 2006/17, n° 501

A.-C. LORRAIN et G. MATHIAS, Données de connexion : un état des lieux, Revue Lamy Droit de l’Immatériel, 2005/11, n° 334

Anne-Catherine LORRAIN, 14/12/07

12

Merci de votre attention.

Business

Protection des données personnelles - Online Economy Conference - 14 décembre 2007, Anne-Catherine LORRAIN