Embed Size (px)
Citation preview
mars 2018
1
Etat des lieux :
La loi Informatique et Libertés du 6 janvier 1978 instaure des droits aux personnes dont leurs données font l’objet d’un traitement.
Un des objectifs poursuivis par le Règlement européen (UE) 2016/679 sur la protection des données personnelles (ci-après « RGPD ») est d’offrir une meilleure maîtrise de l’individu de ses données qui se traduit par :
i) un renforcement des droits existants,
ii) et la création de nouveaux droits.
Note : les présentes slides sont donc rédigées pour tout organisme mettant en place une politique du respect des données personnelles sous l’égide du RGPD applicable le 25 mai 2018.
2
3
1. Les droits déjà existants a. Le droit à l’information b. Le droit de consentir c. Le droit d’accès d. Le droit de s’opposer e. Le droit de rectification f. Le droit à l’effacement ou le droit à « l’oubli »
2. Le titulaire de ces droits
3. L’exercice des droits d’accès, de rectification et d’opposition
4
1. Le droit à la portabilité 2. Le droit à la limitation du traitement 3. Le droit d’être informé en cas de violation de ses données
5
1. Les sanction déjà existantes 2. Les apports du RGPD
6
7
Le responsable est tenu de délivrer aux personnes concernées des informations relatives au traitement dont elles font l’objet.
Il s’agit de communiquer sur les caractéristiques essentielles du traitement ainsi que des droits des personnes. L’article 32 de la loi Informatique et libertés énumère les informations à délivrer :
- l’identité du responsable du traitement;
- la finalité du traitement;
- le caractère obligatoire ou facultatif des réponses;
- les conséquences d’un défaut de réponse;
- les destinataires des données;
- les modalités de l’exercice de leurs droits dont celui de définir des directives relatives au sort de ses données après sa mort;
- de l’existence d’un transfert à destination d’un pays non membre de l’Union Européenne;
- de la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.
(Nouveauté depuis la loi pour une République Numérique)
8
Ajout de nouvelles mentions d’informations : articles 13 et 14 du Règlement
- sur la durée de conservation (disposition anticipée par la loi pour une République numérique);
- sur le droit de demander au responsable de traitement l’accès, la rectification ou l’effacement des données ainsi que le droit demander une limitation du traitement, l’existence du droit de retirer son consentement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère règlementaire ou contractuel ou si elle conditionne la conclusion d’un contrat, l’existence d’une prise de décision automatisée, l’obligation de communiquer les coordonnées du délégué à la protection des données….
9
Le responsable est également tenu de délivrer aux personnes concernées des informations relatives au traitement mais celles-ci porteront sur :
- l’identité du responsable,
- la finalité poursuivie pour le traitement auquel les données sont destinées,
- le caractère obligatoire ou facultatif des réponses,
- les droits qu’elles détiennent en vertu des articles 38 à 40 de la loi Informatiques et libertés (droit d’accès, d’opposition et de rectification).
10
Principe: les personnes concernées doivent disposer, préalablement, à la collecte de leurs données, d’une information complète sur le traitement réalisé:
i) l’information doit être préalable à la collecte des données : le responsable de traitement ne doit pas utiliser les données de personnes à leur insu;
ii) l’information doit être délivrée sur le support de la collecte ou sur un document en caractères lisibles;
iii) l’information doit être claire et complète;
iv) l’Information doit être mise en œuvre au moment de la collecte et à chaque nouvelle exploitation des données.
11
Les modalités de cette information vont varier selon :
- les circonstances de la collecte (mentions écrites, informations orale confirmées par écrit, voie d’affichage…):
Exemples: i) en cas de collecte des données faite oralement : l’information se fera par voie de lecture avec indication que les informations peuvent être reçues par écrit par simple demande notamment par voie électronique, ii) selon les personnes ou les données concernées (l’information pour les salariés répond à certaines exigences voir infra) .
Précisions du RGPD: le responsable du traitement n’a pas à informer la personne concernée si elle dispose déjà de l’ensemble des informations
Preuve à la charge du responsable du traitement (RGPD, art. 13)
12
Traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé :
Le responsable de traitement devra, avant le début du traitement, informer individuellement:
- de la nature des informations transmises;
- de la finalité du traitement de données;
- des personnes physiques ou morales destinataires des données;
- des droits des personne (droit d’accès, de rectification et du droit d’opposition (article 56 de la loi Informatique et Libertés)
Ces informations devront être communiquées avant le début du traitement par mention écrite sur le questionnaire, par ou par document contenant ces informations avant toute récolte orale de données ou par prise de contact direct et par écrit en cas de données recueillies initialement pour un autre traitement (art. 36 du décret du 20 octobre 2005 et article 57 loi Informatiques et libertés).
13
Traitements sur le contrôle de l’activité des salariés:
ii) procédure à respecter auprès des organismes représentatifs du personnel :
- Information et consultation du CHSCT (article L. 4612-8-1 du Code du travail);
- Information et consultation du comité d’entreprise (article L.2323-47 du Code du travail) préalablement à la décision de mise en œuvre sur les moyens et techniques permettant un contrôle de l’activité des salariés;
ii) Information individuelle des salariés concernés (article L1222-4 du code du travail)
14
Vidéosurveillance
Les personnes doivent être informés au moyen de panneaux affichés de façon visible, les informant :
- de l’existence du dispositif;
- du nom du responsable;
- des modalités d’exercice de leur droit d’accès aux enregistrements les concernant.
Ecoute et enregistrement des appels
Information faite en deux temps :
- mention orale en début de conversation sur l’existence du dispositif, la finalité poursuivie, la possibilité de s’y opposer;
- offrir la possibilité de recevoir ces informations par écrit.
Focus : La CNIL recommande de renvoyer vers un site Internet (via un onglet « mentions légales ») ou une touche « mentions légales » sur le téléphone pour obtenir une information exhaustive
15
Une obligation qui peut être allégée :
quand : Lorsque les données recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la loi par la CNIL:
quoi : les informations délivrées peuvent se limiter à l’identité du responsable du traitement ainsi qu’à la finalité poursuivie par le traitement auquel les données sont destinées.
Focus : l’anonymisation
16
Une obligation ayant des exceptions :
- les traitements nécessaires à la conservation des données à des fins historiques, statistiques ou scientifiques, ou à la réutilisation de ces données à des statistiques par l’INSEE et les SSM;
- personnes concernées déjà informées, ou quand l’information se révélant impossible ou exigeant des efforts disproportionnés par rapport à l’intérêt de la démarche;
- traitements mis en œuvre pour le compte de l’Etat et intéressant la sûreté de l’Etat, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sureté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.
17
18
L’article 7 de la loi Informatique et Libertés pose comme principe qu’un traitement doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des obligations suivantes :
- le respect d’une obligation légale incombant au responsable de traitement
- la sauvegarde de la vie privée de la personne concernée,
- l’exécution d’une mission de service public,
- l’exécution, soit d’un contrat auquel la personne concernée est parie, soit de mesures précontractuelles prises à la demande de celle-ci;
- la réalisation d’un intérêt légitime, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
L’exception du 7-5° permet de faire obstacle à l’obligation de recueillir le consentement de la personne concernée.
19
Les cas où le consentement de la personne concernée sera requis :
- collecte de données sensibles (article 8 de la loi Informatique et Libertés);
- prélèvements biologiques identifiants (article 56 de la loi Informatique et Libertés);
- utilisation de cookies pour certaines finalités (article 32-II de la loi Informatique et Libertés);
- utilisation des données à des fins de prospection commerciale par voie électronique (e-mail, SMS, d’appels ou télécopies – article L. 34-5 Code des postes et des télécommunications).
20
Distinguer entre l’information et le recueil
du consentement.
Il faut entendre par consentement comme étant « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données soient utilisées ».
- le recueil du consentement doit intervenir avant la collecte des données;
- la preuve du consentement devra être conservée;
- la personne concernée doit être informée des finalités du traitement. Le consentement devra être demandé à nouveau en cas de changement de changement de finalité du traitement.
21
La CNIL rappelle que le recueil du consentement doit être exprès et spécifique :
1. Le consentement doit être recueilli par le biais d’une case à cocher, donc pas de case pré cochée,
2. Le consentement ne doit pas être « noyé » dans les conditions générales de vente, d’abonnement, d’utilisation… Le professionnel ne peut pas prévoir une case à cocher pour l’acceptation de ses conditions générales de vente dans lesquelles il prévoirait le recueil du consentement de l’internaute …
3. Le consentement ne peut pas être associée à une participation à jeu-concours …
Précisions du RGPD: Acte positif clair = exprès ou par une déclaration
22
Les cookies sont des outils de traçage (fichier) utilisés dans le marketing ciblé:
i) déposés sur le disque dur de l’ordinateur de l’utilisateur, soit par l’éditeur du site (cookie dit « d’origine » ) soit par des tiers (cookie dit « tiers »),
ii) pour identifier et stocker des informations relatives à la navigation de l’utilisateur sur le web (mots clés utilisés, sites visités, recherches effectuées, temps passé…) : ex. retrace le parcours d’un utilisateur sur un site internet,
iii) qui peuvent être effacés automatiquement dès que l’utilisateur ferme son navigateur (on parle de cookie dit de « session » ou temporaire ») ou qui reste stocké dans l’équipement terminal de l’utilisateur afin de permettre de tracer la navigation de l’utilisateur sur plusieurs sites (on parle de cookie « traceurs »),
iv) qui peut faciliter la navigation sur les sites concernés (choix de la langue, des préférences d’affichages…)
23
Avant de déposer ou lire un cookie, il est nécessaire :
- d’informer préalablement l’internaute de la finalité des cookies et des moyens de s’y opposer,
- de lui fournir les moyens de s’y opposer,
- d’obtenir son accord.
24
Cookies soumis à l’article 32-II :
- cookies et traceurs, qui collectent ou non des données à caractère personnel:
ex.: cookies HTTP, flash, au résultat d’empreinte…
- cookies déposés et lus notamment lors de la consultation d’un site internet, de la lecture d’un e-mail, de l’installation et de l’utilisation d’un logiciel ou d’une application mobile, quels que soient le navigateur, le système d’exploitation ou même le terminal utilisé (ordinateur, tablette, smartphone, consoles de jeux connectées…)
Cookies exclus de l’article 32-II :
- Ceux qui ont pour finalité exclusive de permettre ou faciliter la communication ou ii) strictement nécessaire à la fourniture du service demandé par l’internaute
25
L’information et le recueil du consentement doit s’opérer en deux temps: Première étape : L’apparition d’un bandeau sur la première page visitée, faisant état des finalités précises des cookies utilisés, de la possibilité de s’opposer à ces cookies et de changer ses paramètres en cliquant sur un lien présent dans le bandeau et du fait que la poursuite de sa navigation vaut accord du dépôt des cookies sur son terminal (Smartphone, ordinateur, tablette, console de jeux…) Deuxième étape : La mise à disposition de l’internaute, de « manière simple et intelligible » de solutions existantes pour accepter ou refuse tout ou partie des cookies nécessitant un recueil du consentement, et ce par catégorie de finalité. Un lien « En savoir plus et paramétrer les cookies » présent sur le bandeau qui renvoie vers une page dans laquelle sont présentées les solutions pour accepter ou refuser tout ou partie des cookies.
26
Possibilité de mémoriser l’acceptation ou le refus de l’internaute : pas nécessaire d’informer et de recueillir le consentement à chaque visite s’il a déjà exprimé sa décision lors d’une visite précédente.
Exemples de bandeaux :
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vos proposer des publicités ciblées adaptées à vos centres d’intérêts. Pour en savoir plus et paramétrer les cookies ».
27
28
Toute personne concernée a le droit d’obtenir la communication des données la concernant enregistrées dans le traitement sous une forme accessible et en obtenir une copie. Article 39 de la loi « Informatiques et Liberté » La personne concernée peut s’adresser au responsable du traitement en vue d’obtenir sans justification : - la confirmation que des données la concernant font l’objet ou non d’un traitement,
- des informations relatives à la finalité du traitement, aux catégories de données et aux destinataires de ces données,
- des informations relatives aux transferts de données envisagés à destination d’un Etat non membre de la Communauté européenne,
- les informations permettant de connaître et de contester la logique en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.
29
- la demande d’accès peut être faite par écrit ou sur place;
- la communication doit être faite en termes intelligibles et compréhensibles : il est nécessaire de communiquer lors de la réponse un lexique rappelant les codes, les sigles et les abréviations utilisés;
- l’exercice du droit d’accès est gratuit : mais le responsable du traitement pourra réclamer à la personne concernée le paiement du coût de la copie qui ne pas dépasser celui de la reproduction.
30
Le RGPD précise que la personne concernée doit pouvoir :
- exercé ce droit, facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité;
- obtenir la confirmation que ses données fassent l’objet d’un traitement et, dans l’affirmative avoir accès à ces données et aux informations relatives à la finalité du traitement, les catégories de données, les destinataires, source des données, l’existence d’une prise de décision automatisée…
31
Le responsable de traitement peut refuser de donner suite à une demande:
- si les demandes sont manifestement abusives : « notamment par leur nombre, leur caractère répétitif ou systématique… »
Difficulté : le responsable de traitement supporte la charge de la preuve du caractère abusif
- si les données à caractère personnel sont « conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique » (article 39 II, alinéa 2);
- si les demandes concernent des informations estimatives ou prévisionnelles tant que celles-ci ne sont pas formellement opposées à la personne concernée;
32
Le droit d’accès indirect : Pour certains traitements, les personnes ne peuvent pas exercer un droit d’accès direct. Ils ne peuvent accéder à leurs données par le recours à un intermédiaire, dans les cas suivants:
- pour les informations à caractère médical: article 43 de la loi Informatique et libertés;
- pour les traitements intéressants la sureté de l’Etat, la défense et la sécurité publique (fichiers de services de renseignement des ministères de l’intérieur….): Il faut saisir la CNIL qui va désigner un magistrat de la Commission qui va exercer le droit d’accès et de rectification pour le compte de la personne concernée ,
Délai de traitement de 4 mois, porté à 6 mois pour les fichiers placés sous le contrôle des procureurs de la République à compter de la date de réception de la demande.
33
34
Aujourd’hui : toute personne a le droit de s’opposer à ce que des données la concernant fassent l’objet d’un traitement (Article 38, al. 1er , L. n°78-17)
Condition : l’exigence de motifs légitimes
La loi n’apporte aucune précision sur « les raisons légitimes qui peuvent justifier l’opposition »: mais : interprétation extensive et favorable aux personnes concernées.
Apports du RGPD : En cas d’exercice du droit d’opposition, le responsable du traitement devra cesser le traitement à moins qu’il ne démontre qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement ou pour la contestation, l’exercice o la défense de droit en justice.
Renversement de la charge de la preuve
35
Pour les traitements à des fins de prospection, notamment commerciale, mis en œuvre par le responsable de traitement lui-même ou par le responsable d’un traitement ultérieur:
concerne les traitements à des fins commerciales ou non (traitement mis en œuvre par une association à but non lucratif);
prospection commerciale : définition posée par l’article L34-5, alinéa 3 du Code des postes et des télécommunications:
« […] Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. […] » Ex.: une newsletter.
36
La loi n’apporte aucune précision sur les conditions dans lesquelles l’opposition doit être formée.
Il convient de considérer que la personne concernée peut s’opposer:
- à tout moment : soit i) lors de la collecte ou ii) après la collecte en contactant le responsable de traitement;
- par tout moyen.
37
Cela peut être soit :
- en refusant de répondre lors d’une collecte non obligatoire de données, de donner son accord pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses,
- en demandant la suppression de ces données contenues dans des fichiers commerciaux,
- en exigeant la non-cession ou la non-commercialisation d’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte;
- en sollicitant l’intervention de la CNIL, qui l’adresse par la suite au responsable du traitement. La Cour de cassation a admis que l’exercice du droit d’opposition pouvait légitimement transiter par la CNIL (Cass. Crim., 28 septembre 2004).
38
- Lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.
Exemple: traitement lié aux services fiscaux, des services de police, des services de justice, de la sécurité sociale etc….
39
40
Toute personne concernée peut exiger du responsable d’un traitement que ses données soient, selon les cas « rectifiées, complétées, mises à jour, verrouillées ou effacées », si celles-ci « sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » . Règle posée par l’article 40, al. 1 loi 1978
Ce droit complète le droit d’accès
Le responsable du traitement doit justifier, sans frais pour la personne concernée, qu’il a procédé aux opérations exigées.
Si la demande est faite suite à l’exercice de son droit d’accès, la personne concernée peut demander le remboursement de la copie éventuellement versé.
41
Ce droit ne s’applique pas aux traitements littéraires, artistiques et journalistes
L’exercice de ce droit n’est pas toujours satisfait :
- Sur la rectification: en raison de l’impossibilité technique de procéder aux modifications (Cass 1ère civ, 4 mai 2012, M. K, c/ Banque Postale)
- Sur l’effacement: lorsque le fait dont la réalité historique ne peut être contestée (Cass 1ère civ, 19 mai 2014).
42
43
44
La règlementation actuelle:
La personne concernée peut exiger du responsable du traitement l’effacement de ces données qui seraient inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Les précisions apportées par le RGPD:
L’effacement doit être obtenu dans les meilleurs délais lorsque la personne concernée évoque l’inutilité au regard des finalités de traitement, l’illicéité du traitement, le retrait du consentement qui fonde le traitement, etc.
45
Corollaire du droit à l’oubli:
- possibilité d’une personne concernée de s’adresser aux moteurs de recherche afin d’effacer les liens permettant d’accéder à des pages la concernant
- rend plus difficile l’accès à l’information mise ne ligne par un site internet sans effacer pour autant l’information
Ce n’est pas un effacement de données
46
Consécration du droit au déréférencement par la CJUCE: arrêt Google Spain du 13 mai 2014:
- faire apparaître des résultats de recherche Internet est un traitement de données;
- le moteur de recherche est tenu de respecter les droits d’accès, de modification, et d’opposition au traitement;
- le moteur de recherche est tenu de procéder à une évaluation de la demande avant de déréférencer les données.
Droit au « déréférencement »: l’étendue géographique - Affaire Google c/CNIL: Contexte : saisine de la CNIL de plusieurs plaintes d’internautes qui se sont vu refuser le déréférencement de liens Internet sur le moteur de recherche « Google Search ».
La CNIL a demandé au moteur de recherche de procéder au déréférencement de plusieurs résultats sur l’ensemble du moteur de recherche, quelque soit l’extension géographique du nom de domaine de celui-ci (.fr, .com…) Le moteur de recherche a procédé aux demandes de déréférencements d’internautes français mais uniquement sur les extensions locales (google.fr) Après une mise en demeure du 21 mai 2015 pour laquelle les actions proposées par le moteur de recherche n’a pas satisfait la CNIL ( mise en place d’un filtrage selon l’origine géographique de celui qui consulte le moteur de recherche), la formation restreinte de la CNIL a prononcé à son encontre une sanction pécuniaire de 100 000 euros. ( Décision du 10 mars 2016 ) Suite recours devant le CE (CE 19/07/17 Google INC), renvoi de la question à la Cour de justice de l’Union Européenne
47
48
Principe issu de l’article 2 alinéa 2 de la loi informatique et libertés:
« toute informatique relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement »;
Droit strictement personnel mais possibilité de se faire représenter ;
Le droit à la mort numérique : de son vivant la personne pourra exprimer ses volontés sur la conservation et la communication de ses données après son décès ou demander leur effacement. Un tiers de confiance certifié par la CNIL pourra être chargé de l’enregistrement de ses « volontés » en vue de son inscription dans un registre unique national d’enregistrement .
Décret d’application non encore publié
49
Le droit peut être attribué aux dirigeants personnes physiques ou à tout autre représentant de la personne morale dont le nom figure dans le fichier.
Position de la CNIL :
Si le traitement de données relatives à des personnes morales inclut également celui de données relatives à des personnes physiques, à l’instar du nom, du prénom et des coordonnées de dirigeants d’une société (CNIL, délib. N°84-45, 15 oct. 1985).
50
Nouvelle disposition issue de la loi pour une République numérique : droit à l’oubli
Chaque mineur peut demander sans justification, l’effacement de tous les contenus qu’il aura publiés , avant ses 18 ans;
Les sites sollicités devront procéder aux suppressions sous 1 mois . En cas de non réponse, la CNIL pourra être saisie.
En vertu de l’article 8 du règlement européen, le consentement devra être recueilli auprès du titulaire de l’autorité parentale :
Les mineurs de moins de 16 ans. Les Etats membres peuvent prévoir un âge inférieur sans que celui soit en-dessous de 13 ans, à la majorité, le consentement devra être retiré et les données effacées
Projet de loi AN n°490 13 décembre 2017 amendement CL234: seuil de 15 ans pour la France
51
En l’absence de directives ou de mention contraires, les héritiers de la personne concernée pourront demander après son décès :
- d’accéder aux traitements de données à caractère personnel qui la concerne afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession ,
- obtenir d'obtenir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ;
- procéder à la clôture des comptes utilisateurs du défunt ou faire procéder à leur mise à jour en contactant le responsable du traitement. Le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées.
Les litiges entre héritiers sur l'exercice des droits seront portés devant le tribunal de grande.
52
53
Les précisions apportées par les articles 92 et suivants du décret du 20 octobre 2005:
- la demande peut être faite par écrit ou sur place;
- la personne concernée doit toujours justifier de son identité (demande faite sur place ou par écrit)
La preuve de l’identité se fait « notamment par la production d’un titre d’identité » (dél. CNIL, 1er avril 1980)
- Si la demande est faite sur place, la personne peut se faire assister de son conseil de son choix ou se faire représenter par une personne spécialement mandatée à cet effet, après justification de son mandat.
54
Les précisions apportées par le règlement européen : considérant 59 et article 12.3 du règlement européen
I°) fournir aux personnes les moyens d’effectuer leurs demandes par voie électronique, en particulier lorsque les données à caractère personnel font l’objet d’un traitement automatisé;
II°) une réponse devra être transmise à la personne concernée au plus tard dans un délai d’un mois, délai qui peut être prolongé de deux mois maximum si nombre important des demandes.
55
1. Le responsable du traitement ou le correspondant informatique et libertés se doit de vérifier l’identité du demandeur, la copie de la pièce d’identité sera conservée que pour les besoins du traitement de la demande;
2. La réponse doit être apportée dans un délai de deux (2) mois. Si la demande est imprécise ou insuffisante, un complément d’information peut être demandé. Dans ce cas, le délai est suspendu;
3. Le silence gardé pendant plus de deux mois vaut décision de refus.
56
57
En vertu de l’article 20 du règlement, la personne concernée pourra désormais récupérer les données qu’elle a fournie :
- en les recevant dans un « format structuré, couramment utilisé et lisible par machine » ;
- ou en demandant qu’elle soient transmises directement d’un responsable de traitement à un autre « lorsque cela est techniquement possible ».
Les deux conditions de la portabilité :
- Le traitement doit être fondée sur la base d’un consentement de la personne concernée ou sur la base de l’exécution d’un contrat;
- Le traitement doit être effectué à l’aide de procédés automatisés.
Exclusion : traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
58
Les données couvertes par le droit à la portabilité :
- Les données doivent avoir été sciemment et activement fournies par la personne concernée;
- et, les données générées lors de l’utilisation du service ou du dispositif;
- Sont exclues les données qui sont déduites, dérivées, crées, analysées, calculées par le responsable de traitement à partir des données fournies par la personne concernée.
(voir Lignes directrices du G29 sur le droit à la portabilité des données, 13 décembre 2016)
59
Ce droit à un « verrouillage temporaire » s’appliquera :
- lorsque la personne concernée, en cas de contestation par elle, de l’exactitude des données;
- lorsque le traitement est illicite et la personne concernée s’oppose à leur effacement;
- lorsque le responsable du traitement n’a plus besoin des données à caractère personnel mas que celles-ci sont encore nécessaires à la personne concernée pour l’exercice de droits en justice;
- la personne concernée s’est opposée au traitement.
60
En vertu de l’article 34 du règlement, la personne concernée devra être informée :
- En cas de violation de la sécurité des données entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée de données personnelles, si violation est susceptible de porter gravement atteinte aux droits et libertés des individus,
- Information par le responsable du traitement sans retard injustifié en précisant la nature de la violation, les coordonnées du CIL ou autre point de contact, les conséquences probables de la violation et les mesures prises.
61
62
manquement à l’obligation d’information : article R. 625-10 du Code pénal;
manquement à l’obligation de respecter le droit d’accès et le droit de rectification : article R. 625-11 et R.652-12 du Code pénal;
manquement à l’obligation de respecter le droit d’opposition : article 226-18-1 du Code pénal.
Pouvoir de sanction de la CNIL:
Article 45 et suivants : CNIL peut prononcer un avertissement (avec mise en demeure préalable), une sanction pécuniaire avec injonction de cesser le traitement et retirer l’autorisation le cas échéant.
63
Augmentation du montant des amendes administratives :
Selon l’infraction, elles peuvent s’élever de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Retrait de la certification délivrée.
Le droit à réparation :
la personne concernée pourra: obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi en cas de dommage matériel ou moral du fait d'une violation du présent règlement.
64
Action collective prévue à l’article 80 du règlement déjà prévue à l’article 43 ter de la loi Informatique et Libertés.
Sur le droit à l’information :
i) Actualiser les mentions/clauses (activation commerciale ou relation employeur/salarié) pour insérer les nouvelles informations obligatoires (formulaire de collecte, CGU site internet…),
ii) Adresser par un avenant les contrats en cours ou par une mise à jour de la politique d’utilisation des données du règlement intérieur …
Revoir le processus de collecte des données personnelles :
i) Intégrer dans le processus de contractualisation, la demande de consentement explicite de la personne concernée ;
ii) Mise en place d’un processus de stockage des consentements obtenus pour permettre d’apporter la preuve en cas de litige…
65
Sur les droits d’accès, de suppression …
i) Vérifier l’identité des personnes;
ii) Si la demande est imprécise ou insuffisante, un complément d’information peut être demandé. Dans ce cas, le délai est suspendu. Le silence gardé à l’issue du délai vaut décision de refus;
iii) Communication d’une adresse mail et/ou postale;
iv) Outil permettant l’effacement des données…
Sur le droit de limitation :
i) Mettre en place les outils de conformité : exemple pour la limitation du traitement pour déplacer temporairement les données vers un autre fichier, rendre les données inaccessibles aux utilisations…
66
