Introduction au Droit des Bases de Données

Frédéric Gava (MCF)gava@univ-paris12.fr

LACL, bâtiment P2 du CMC, bureau 223Université de Paris XII Val-de-Marne

61 avenue du Général de Gaulle94010 Créteil cedex

2/29

ATTENTION !

L’auteur n’ayant pas une formation juridique, ni de compétences poussées en Droit, celui-ci ne souhaite pas que ce cours soit pris comme une référence

Ce cours est utilisé pour compléter une formation informatique (« Initiation aux SGBD ») pour des étudiants en Droit : il n’est là qu’à titre informatif, « pédagogique » et pour permettre un débat plus instructif sur le sujet

3/29

Références

Le site de la CNIL « Commission National de l’Informatique et des Libertés » http://www.cnil.frhttp://www.droit-technologie.org/http://www.rabenou.org/ (site d’un avocat)http://www.jurisnet.org/http://www.dit.presse.fr/ (revue de Droit de

l’informatique et des télécoms)www.legalis.net (site de jurisprudences)

4/29

Introduction

Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnelLes entreprises préfèrent, à tout prendre, envisager un archivage électronique souvent synonyme de coûts diminués. L'archivage électronique des données de l'entreprise (ou une BD) n'est pas innocent par rapport à la loi de 1978 sur la protection des données à caractère personnel.

5/29

Définitions (1)Les bases de données en Europe possèdent leur propre protection juridique, depuis la directive européenne du 11 mars 1996. Cette protection a la caractéristique d'être double. Les bases de données sont protégées d'une part comme oeuvre de l'esprit, par le droit d'auteur, et comme bien informationnel d'un genre nouveau, par le droit "sui generis" du producteur de la base de donnéesPar base de données, on entend ici tout recueil d'informations, sous forme électronique ou non, (àl'exception du moteur logiciel, si la base est sous forme électronique), accessibles individuellementCette définition très large couvre aussi bien en pratique les banques de données que des sites Internet par exemple

6/29

Définitions (2)Constitue un traitement de données à caractère personnel

toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (quel que soit la requête)Constitue un fichier de données (ou une BD) à caractère personnel tout ensemble structuré et stable de données àcaractère personnel accessibles selon des critères déterminésCe implique :

l'archivage électronique de données à caractère personnel qui étaient à l'origine sous forme électronique et qui étaient déjàsoumise à la loi de 1978l'archivage sous forme électronique de données et qui faisaient àl'origine l’objet d’un traitement non automatisé et dont le basculement dans l’univers électronique crée un traitement automatisé qui entraîne application de la loi.

D’après la CNIL

8/29

Vos Droit dans les SGBDDans un monde largement informatisé, la loi du 6 janvier 1978 (1994) prévoit de solides garde-fous pour protéger les personnes des dangers liés aux fichiers et aux traitements informatiques contenant des données à caractère personnel.La loi « Informatique et libertés » reconnaît aux citoyens des droits spécifiques pour préserver leur vie privée. Les droits « Informatique et libertés »

Le droit à l’informationLe droit d’oppositionLe droit d’accèsLe droit de rectification

Le non-respect de ces droits est sanctionné pénalement.En cas de difficulté dans l’exercice de vos droits, vous pouvez saisir la CNIL

9/29

Droit à l’information (1)« Soyez curieux des informations vous concernant »Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de :

l’identité du responsable du traitement,l’objectif de la collecte d’informations,le caractère obligatoire ou facultatif des réponses,les conséquences de l’absence de réponse,les destinataires des informations,les droits reconnus à la personne,les éventuels transferts de données vers un pays hors de l’Union Européennes’applique aussi réseaux via des témoins de connexion

10/29

Droit à l’information (2) Les limites au droit à l’information

Il est des cas où l’obligation d'information est allégée :lorsque les données collectées sont très vite anonymisées,

lorsque les données ne sont pas recueillies directement auprès de la personne.

Il est des cas où l’obligation d'information est exclue :pour les fichiers de police ou de gendarmerie,

pour les fichiers relatifs à des condamnations pénales,

lorsque l’information de la personne se révèle impossible ou très difficile

11/29

Droit d’opposition« Restez maître de vos données personnelles »Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à

figurer dans un fichier et cela sans se justifier (contre la prospection commercial) ; en ce sens, elle peut refuser d’apparaître dans certains fichiers ou de voir communiquer des informations sur elles à des tiers.Le droit d'opposition peut s’exprimer :

par un refus de répondre lors d’une collecte non obligatoire de données,par le refus de donner l’accord écrit obligatoire pour le traitement de données

sensibles telles que les opinions politiques ou les convictions religieuses,la faculté de demander la radiation des données contenues dans des fichiers

commerciaux,la possibilité d'exiger la non-cession ou la non-commercialisationd’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte…

Les limites au droit d’opposition : le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécuritésociale…

12/29

Droit d’accès (1)« Consultez vos données personnelles »Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication :

Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction. Toute personne est en droit d’obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (finalités du traitement, du type de données enregistrées)En exerçant son droit d’accès, la personne peut s’informer éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne

13/29

Droit d’accès (2)Les limites au droit d’accès :

Si un responsable de traitement estime qu'une demande est manifestement abusive, il peut ne pas y donner suite. En revanche si l’affaire est portée devant un juge il devra apporter la preuve du caractère manifestement abusif de la demande en cause.

Le droit d'accès ne s’exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d'atteinte àla vie privée et pendant une durée n'excédant pas celle nécessaire àl'établissement de statistiques ou à la recherche scientifique ou historique.

L’exercice du droit d’accès ne doit pas porter atteinte au droit d’auteur.

Le droit d'accès aux fichiers de police et de gendarmeriepolice et de gendarmerie

14/29

Droit de rectification« Info ou intox, à vous de contrôler »Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite :

Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu'il a effectuées. Pour exercer son droit de rectification, il faut écrire à l’organismequi détient les informationsLe demandeur peut obtenir gratuitement une copie de

l'enregistrement modifié

15/29

Les obligations (1)Les utilisateurs de données personnelles ont des obligations à respecter :

La collecte des donnéesEn principe, il faut recueillir le consentement de la personne pour utiliser une

information qui l’identifie. Sauf dérogations, vous ne pouvez pas collecter des données sensibles (origines

raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelles ou à la santé)

La finalité des traitementsUn fichier doit avoir un objectif précis : les informations exploitées dans un fichier

doivent être cohérentes par rapport à son objectif.Les informations ne peuvent pas être réutilisées de manière incompatible avec la

finalité pour laquelle elles ont été collectées.

La durée de conservation des informationsLes données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction

de l’objectif du fichier

La sécurité des fichiersTout responsable de traitement informatique de données personnelles doit adopter

des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement.

16/29

Les obligations (2)Suite :

La confidentialité des donnéesSeules les personnes autorisées peuvent accéder aux données personnelles contenues

dans un fichier. Il s’agit : des destinataires explicitement désignés pour en obtenir régulièrement communication, des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc)

L’information des personnesLe responsable d’un fichier doit permettre aux personnes concernées par des

informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

La déclaration des fichiersCertains traitements informatiques de données personnelles qui présentent des

risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être déclarés ou soumis à la CNIL.

Sinon, en gros 5 ans de prison et beaucoup d’amendes (de 1500 à 300.000 euros…)

Divers avis

18/29

Extraction de données

Un arrêt de la Cour d’appel de Versailles du 18 novembre 2004 (CA Versailles 9ème chambre 18 novembre 2004 Rojo R. c/ Guy R., disponible sur le site legalis.net) soumet à mention préalable le droit d’interdire l’extraction d’une base de donnéesConcrètement, ici, une "base de données« correspond à tout ensemble organisé de fichiers, y compris un site web. Et ce que signale cet arrêt, c’est que si le producteur de la base de données ne manifeste pas sa volonté d’interdire les extractions, il ne sera ensuite pas fondé à agir en cas d’extraction (fût-t-elle substantielle, comme par exemple la totalité d’un site) du contenu de sa base de données par un tiersDonc, faite des requêtes que quand on vous l’autorise…et préciser bien si on le droit d’extraire des informations

19/29

Protections (1)Les protections :

La première protection, conformément à la philosophie du droit d'auteur, concerne uniquement la forme de la base, son architecture, et est conditionnée comme pour tout autre oeuvre par une condition d'originalité. La base doit avoir un choix d'indexage original pour être protégé par le droit d'auteur.La deuxième protection, spécifique aux bases de données, concerne la matière

contenue par la base. Le droit « sui generis » est rangé dans la catégorie des droits voisins du droit d'auteurs, droit de propriété incorporelle ad hoc, donnant des prérogatives patrimoniales au producteur de la base. Mais comme pour le droit d'auteur, l'exercice du droit est attaché à une condition. Ici, il ne s'agit pas d'originalité, mais de valeur économique : la base doit avoir été l'objet d'un investissement qualitativement ou quantitativement substantiel

Le producteur de la base de données peut donc interdire àtout utilisateur l'extraction d'éléments quantitativement ou qualitativement substantiels de la base, ou l'extraction systématique de celle-ci

20/29

Protections (2)La protection vaut pour 15 ans

Certaines exceptions sont prévues pour les utilisateurs légitimesLa théorie de droit commercial des facilités essentielles s'applique aussi et limite largement la porté du droit dans la situation où le producteur de la base serait dans une situation de monopole de fait.

A noter : il est indépendant que la base soit une base de données publiques ou non. Les données publiques restent publiques et sont libres de droit, mais ce qui est protégé c'est leur assemblage en un schéma particulier, selon l'idée que le tout vaut plus que la somme des composants. Ainsi n'importe qui par exemple pourrait construire et commercialiser sa propre base de données d'annuaire téléphonique. Par contre, personne n'aurait le droit de simplement "copier-coller" les pages jaunes...

21/29

Le référencementRéférencez vos créations avec le système IDDN :

http://www.iddn.org/fr/accueil.htmPourquoi référencer ? En référençant vous vous pré constituez la preuve de

l'antériorité de vos droitsQue puis-je référencer ? Tout fichier sous forme numérique, quelque soit le

format, quelque soit le système d'exploitation. Il peut s'agir d'une oeuvre (film, texte, logiciel, site web, image, son), d'une base de données, d'une idée, d'un concept, d'une "business méthode", d'une revendication sur un effet technique.Que vais-je obtenir à l'issue du référencement ? Vous allez obtenir un

certificat de référencement en ligne, accessible en 4 langues. Vous pourrez faire appel à ce certificat sécurisé depuis votre site et ainsi faire connaître vos conditions d'utilisation.Qui est InterDeposit ? InterDeposit est la fédération internationale de

l'informatique et des technologies de l'information, créée à Genève le 10 janvier 1994. Elle rassemble les organisations concernées par la protection des droits de propriété intellectuelle sur les œuvres numériques. L'un de ses membres fondateurs est l'Agence pour la Protection des Programmes.

22/29

Décisions de procès

On trouve pleins de jurisprudence sur http://legalis.net et en cliquant sur « base de donnée »

Ce que l’on trouve :extraction substantielle, contrefaçon, concurrence déloyale

piratage des SGBD

mise à disposition illicite du public d’une partie substantielle

accès non autorisé

abus de position dominante

discrimination

Archivage de données

24/29

Archivage selon la CNIL

La CNIL distingue trois types d’archives : Les archives « courantes » : les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat)Les archives « intermédiaires » : les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicablesLes archives « définitives » : les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction

25/29

Droit à l’oubliLes archives courantes et intermédiaires doivent respecter le « droit à

l’oubli » (loi du 6 janvier 1978 modifié en 1994)Article 6-5° : Un traitement ne peut porter que sur des données à caractère personnel qui

satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.Article 24 : Pour les catégories les plus courantes de traitements de données à caractère

personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration

La CNIL recommande à cet égard que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel

26/29

Dilution de données (1)

Éviter la « dilution » des données archivées dans le système informatique de l’entreprise. Les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécuritéapproprié au regard des risques présentés par le traitement et de la nature des données à protéger.

27/29

Dilution de données (2)La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations)

Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité àconsulter ce type d’archives (par exemple la direction des archives de l’entreprise)

Elle recommande enfin de mettre en œuvre des dispositifs sécuriséslors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

28/29

Droit d’accès (1)Pour la CNIL, les archives courantes et intermédiaires sont soumises au

droit d’accès : « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir (...) la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ».

Et les archives définitives ?

La base juridique de cette modalisation est l’article 39-II de la loi : « Les dispositions du présent article ne s’appliquent pas lorsque les données àcaractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».

29/29

Droit d’accès (2)Dès lors, pour la CNIL :

« Si, en application de la loi informatique et libertés modifiée, il peut exister pour les archives dites définitives une exception au principe du droit d’accès aux données archivées, la CNIL recommande néanmoins d’utiliser, en particulier en cas de données sensibles au sens de l’article 8 de la loi précitée, des procédés d’anonymisation

Un archivage ne s’improvise pas : il se prépare et se pense.Dès lors la CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage soucieuses de la loi Informatique et Libertés, et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.