Projet de loi RGPD : version de la commission au Sénat
Donnees à caractère perso et vie privée
1.
2. DU CASQUE À L’ENCART….
La vie privée
et les données à caractère personnel,
un sujet d’actualité
3. Si aujourd'hui, la règlementation relative aux données à caractère personnel
peut ressembler à une jungle, son origine se trouve dans le projet SAFARI.
4. Si aujourd'hui, la règlementation relative aux données à caractère personnel
peut ressembler à une jungle, son origine se trouve dans le projet SAFARI.
Le projet SAFARI (système automatisé pour les fichiers administratifs et le
répertoire des individus – 1971) prévoyait :
- une interconnexion des fichiers par l’usage du numéro INSEE de
Sécurité sociale,
- la centralisation avec le fichier de la Caisse nationale d’assurance
vieillesse.
5. Si aujourd'hui, la règlementation relative aux données à caractère personnel peut
ressembler à une jungle, son origine se trouve dans le projet SAFARI.
Le projet SAFARI (système automatisé pour les fichiers administratifs et le répertoire des
individus – 1971) prévoyait :
- une interconnexion des fichiers par l’usage du numéro INSEE de Sécurité
sociale,
- la centralisation avec le fichier de la Caisse nationale d’assurance vieillesse.
21 mars 1974, le Monde titre : « SAFARI la chasse aux français »
Projet abandonné
10. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
11. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
• modifiée par la Loi du 1er juillet 1994
12. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
• modifiée par la Loi du 1er juillet 1994
• modifiée par la Loi du 6 août 2004
13. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
• modifiée par la Loi du 1er juillet 1994
• modifiée par la Loi du 6 août 2004
• décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005
14. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
• modifiée par la Loi du 1er juillet 1994
• modifiée par la Loi du 6 août 2004
• décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005
• les articles L 311-12 et L 311-50 du Code de la consommation interdisant
d’enregistrer sur un fichier l’exercice par l’emprunteur de sa faculté de
rétractation
15. SOURCES INTERNES
• la Loi du 6 janvier 1978
• modifiée par la Loi du 16 décembre 1992
• modifiée par la Loi du 1er juillet 1994
• modifiée par la Loi du 6 août 2004
• décret d’application de la Loi du 6 août 2004 en date du 20 octobre 2005
• les articles L 311-12 et L 311-50 du Code de la consommation interdisant
d’enregistrer sur un fichier l’exercice par l’emprunteur de sa faculté de
rétractation
• l’article 78-3 alinéa 9 du Code de procédure pénale interdisant les fichiers
de vérification d’identité
17. SOURCES EUROPEENNES
• directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation des données
18. SOURCES EUROPEENNES
• directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation des données
• directive 97/66/CE du Parlement européen et du Conseil du 15 décembre
1997 concernant le traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des télécommunications
19. SOURCES EUROPEENNES
• directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation des données
• directive 97/66/CE du Parlement européen et du Conseil du 15 décembre
1997 concernant le traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des télécommunications
• règlement n°45/2001 du Parlement européen et du Conseil du 18 décembre
2000 relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel par les institutions et organes
communautaires et à la libre circulation des données
20. SOURCES EUROPEENNES
• directive 95/43/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation des données
• directive 97/66/CE du Parlement européen et du Conseil du 15 décembre
1997 concernant le traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des télécommunications
• règlement n°45/2001 du Parlement européen et du Conseil du 18 décembre
2000 relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel par les institutions et organes
communautaires et à la libre circulation des données
• directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002
concernant le traitement des données à caractère personnel et à la
protection de la vie privée dans le secteur des communications
électroniques
22. SOURCES INTERNATIONALES
- convention européenne de sauvegarde des droits de l’homme et des libertés
fondamentales du 4 octobre 1950 – article 8
- déclaration universelle des droits de l’homme du 10 décembre 1948 – article 12
- pacte international relatif aux droits civiques et politiques du 16 décembre 1966 –
article 17
- convention n°108 pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel (Strasbourg 28 janvier 1981 et son
protocole additionnel du 8 novembre 2001)
24. Constitue une donnée à caractère personnel toute information relative à une
personne physique qui peut être identifiée, directement ou indirectement, par
référence à un numéro d’identification ou à un ou plusieurs éléments qui lui
sont propres.
25. Constitue une donnée à caractère personnel toute information relative à une
personne physique qui peut être identifiée, directement ou indirectement, par
référence à un numéro d’identification ou à un ou plusieurs éléments qui lui
sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer
l’ensemble des moyens en vue de permettre son identification dont dispose
ou auxquels peut avoir accès le responsable du traitement ou toute autre
personne (article 2 alinéa 2 de la Loi de 1978).
26. Les éléments qui sont propres à la personne peuvent notamment être relatifs :
- à son identité physique
- à son identité physiologique
- à son identité psychique
- à son identité économique
- à son identité culturelle
- à son identité sociale
27. EXEMPLES
* les noms des débiteurs présumés et des renseignements sur leur solvabilité
* numéro de téléphone
* adresse électronique
* adresse IP
* liste nominative comportant le nom, l’implantation géographique et
l’existence d’un dossier au sein de l’association
29. Constitue un traitement de données à caractère personnel toute opération
ou tout ensemble d’opération portant sur de telles données, quelque soit le
procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la
conservation,
l’adaptation
ou
la
modification,
l’extraction,
la
consultation, l’utilisation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi
que le verrouillage, l’effacement ou la destruction. (article 2 alinéa 1 Loi du 6
janvier 1978)
Ce texte ne comporte qu’une liste non limitative.
31. PERSONNES CONCERNEES
La personne concernée par un traitement de données à caractère personnel
est celle à laquelle se rapportent les données qui font l’objet du traitement.
32. RESPONSABLE DU TRAITEMENT
Sauf désignation expresse par des dispositions législatives ou règlementaires
relatives à ce traitement le responsable du traitement est :
la personne,
l’autorité publique,
le service
ou l’organisme
qui détermine ses finalités et ses moyens
33. LA CNIL
La CNIL est une autorité administrative française indépendante…
mais également une autorité de contrôle indépendante au sens de la
directive 95/46/CE.
34. LA CNIL
Elle est composée de 17 membres :
- deux députés
- deux sénateurs
- deux membres du Conseil économique et social
- deux membres ou anciens membres du Conseil d’Etat
- deux membres ou anciens membres de la Cour de Cassation
- deux membres ou anciens membres de la Cour des Comptes
- trois personnes qualifiées pour leur connaissance de l’informatique ou des questions touchant aux
libertés individuelles, nommées par décret
- deux autres personnes qualifiées pour leur connaissance de l’informatique, désignées respectivement
par le Président de l’Assemblée Nationale et le Sénat,
Voie consultative aux défenseurs des droits ou de son représentant.
35. LA CNIL
La CNIL est chargée de veiller au respect des dispositions de la Loi, notamment en informant toutes
personnes concernées de leurs droits et obligations, en se concertant avec elles et en contrôlant les
applications de l’informatique au traitement des informations nominatives.
Elle veille à ce que le traitement des données à caractère personnel soit mis en œuvre
conformément aux dispositions de la Loi.
Elle publie des rapports.
Elle peut labéliser des procédures d’audit ou de formation informatique et liberté.
Elle est enfin le gendarme de la Loi en ce qu’elle reçoit les réclamations, pétitions et plaintes relatives
à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des
suites données à celles-ci.
37. Le traitement des données à caractère personnel doit être :
- loyal
- licite
38. Le traitement des données à caractère personnel doit être :
- loyal
- licite
Il doit en particulier porter sur des données adéquates, pertinentes et non
excessives au regard des finalités poursuivies.
39. Le traitement des données à caractère personnel doit être :
- loyal
- licite
Il doit en particulier porter sur des données adéquates, pertinentes et non
excessives au regard des finalités poursuivies.
Ces finalités doivent être explicites et légitimes et doivent être déterminées
lors de la collecte des données.
40. Le traitement des données à caractère personnel doit être :
- loyal
- licite
Il doit en particulier porter sur des données adéquates, pertinentes et non
excessives au regard des finalités poursuivies.
Ces finalités doivent être explicites et légitimes et doivent être déterminées
lors de la collecte des données.
Les finalités de traitement ultérieurs à la collecte ne peuvent pas être
incompatibles avec la finalité telle que spécifiée à l’origine.
41. Le traitement des données à caractère personnel doit être :
- loyal
- licite
Il doit en particulier porter sur des données adéquates, pertinentes et non
excessives au regard des finalités poursuivies.
Ces finalités doivent être explicites et légitimes et doivent être déterminées
lors de la collecte des données.
Les finalités de traitement ultérieurs à la collecte ne peuvent pas être
incompatibles avec la finalité telle que spécifiée à l’origine.
Une collecte de données ne peut être réalisée sans que la personne
concernée en soit informée ou qu’elle ait donné son avis.
42. EXEMPLES DE COLLECTE DELOYALE
L’exemple classique de collecte déloyale : aspiration d’adresses électroniques
sur Internet dans le but d’envoyer des mailings.
Sur le caractère adéquat, pertinent et non excessif, il a été jugé que les
données remises par les établissements bancaires adhérant à une centrale de
crédit et recueillies auprès de leurs clients à l’occasion d’une demande de
prêt ou d’ouverture de crédit, dès lors qu’elles peuvent utilisées à d’autres fins
que celles pour lesquelles la demande d’autorisation a été présentée, et
notamment à des fins commerciales, ne sont ni adéquates, ni pertinentes et
ont un caractère excessif par rapport au but en vue duquel la collecte des
données est envisagée.
43. COLLECTE INTERDITE OU
REGLEMENTEE
Certaines données sont interdites de collecte, à savoir les données à caractère
personnel qui font apparaître, directement ou indirectement :
- les origines raciales ou ethniques
- les opinions politiques
- les opinions philosophiques ou religieuses
- l’appartenance syndicale des personnes
- les données qui sont relatives à la santé
- les données qui sont relatives à la vie sexuelle de la personne
Il existe cependant quelques exceptions à ce principe.
44. COLLECTE INTERDITE OU
REGLEMENTEE
Il est également interdit au terme de l’article 311-12 du Code de la
consommation de constituer un fichier relatif à l’exercice par l’emprunteur de
son droit de rétractation dans le cadre de crédit à la consommation.
46. DEUX TYPES DE REGIMES
- régime de la déclaration préalable
- régime de l’autorisation
47. DECLARTION ET AUTORISATION
Toute personne qui envisage un traitement de données à caractère personnel doit adresser à la CNIL
une déclaration ou une demande d’autorisation en fournissant les éléments suivants :
48. DECLARTION ET AUTORISATION
Toute personne qui envisage un traitement de données à caractère personnel doit adresser à la CNIL
une déclaration ou une demande d’autorisation en fournissant les éléments suivants :
. l’identité et l’adresse du responsable du traitement
. la ou les finalités du traitement
. le cas échéant, les interconnexions, les rapprochements ou toute forme de mise en relation
avec d’autres traitements
. les données à caractère personnel traitées, leur origine et les catégories de personnes
concernées par le traitement
. la durée de conservation des informations traitées
. le ou les services chargés de mettre en œuvre le traitement
. les destinataires ou catégories de destinataires habilités à recevoir communication des données
. la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès
. les dispositions prises pour assurer la sécurité des traitements et des données
. le cas échéant, les transferts de données à caractère personnel envisagés
49. ATTENTION
A défaut de faire une déclaration auprès de la CNIL, un fichier informatique
contenant des données à caractère personnel est assimilé à un objet illicite
hors commerce, insusceptible d’être vendu,
(Cour de Cassation 25 juin 2013)
52. AUTORISATIONS
Toutefois, dans certains cas, une autorisation doit être obtenue avant tout traitement.
Il s’agit tout d’abord des traitements de données à caractère personnel qui font
apparaître, directement ou indirectement, les origines raciales ou ethniques, les
opinions politiques, philosophiques ou religieuses ou l’appartenance à un syndicat de
personnes, ou qui sont relatives à la santé ou la vie sexuelle de celles-ci et qui sont
appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement
reconnu conforme à la Loi.
Il s’agit aussi du traitement automatisé portant sur des données génétiques.
Il existe encore une autorisation pour le traitement automatisé ou non portant sur des
données relatives aux infractions, condamnations ou mesures de sûreté.
54. Ne pas oublier que la Loi de 1978 et toutes les règlementations subséquentes
ont eu pour but de protéger les personnes concernées par le traitement des
données à caractère personnel.
55. Ne pas oublier que la Loi de 1978 et toutes les règlementations subséquentes ont eu
pour but de protéger les personnes concernées par le traitement des données à
caractère personnel.
La Loi de 1978 confère sept prérogatives ou droits en faveur des personnes
concernées :
. le droit à l’information préalable
. le droit d’accès direct et indirect
. le droit de curiosité
. le droit de communication
. le droit de rectification
. le droit d’opposition
. le droit à l’oubli
56. LE DROIT À L’INFORMATION
PRÉALABLE
L’article 32, I de la Loi du 6 janvier 1978 dispose :
« La personne auprès de laquelle sont recueillies les données à caractère
personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable
du traitement ou son représentant :
1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un
Etat non membre de la Communauté européenne. »
57. LE DROIT D’ACCES ET DE
CURIOSITE
Toute personne justifiant de son identité bénéfice du droit d’interroger les
services ou organismes chargés de mettre en œuvre les traitements
automatisés.
Le titulaire du droit d’accès peut obtenir communication, sous une forme
accessible, des données à caractère personnel qui le concernent.
58. LE DROIT D’OPPOSITION
Toute personne physique a le droit de s’opposer, pour des raisons légitimes, à ce que les données à
caractère personnel la concernant fassent l’objet d’un traitement.
Le droit d’opposition s’applique à toutes les données à caractère personnel, quelque soit le mode de
collecte, d’enregistrement ou de conservation, fichier manuel ou traitement automatisé.
Cependant, ce droit connaît deux limites :
* tout d’abord son exercice est subordonné à l’existence de raisons légitimes qui pourront
être contrôlées par les Tribunaux (vie privée)
* ensuite, le droit d’opposition ne s’applique pas lorsque le traitement répond à une
obligation légale
59. LE DROIT A L’OUBLI
L’article 28 de la Loi du 6 janvier 1978 disposait déjà que « sauf dispositions
législatives contraires, l’information ne doit pas être conservée sous une forme
nominative au-delà de la durée prévue à la demande d’avis ou à la
déclaration, à moins que leur conservation ne soit autorisée par la
Commission. »
Au cours des réformes successives, l’article 6 5° de la Loi du 6 janvier 1978
énonce désormais que les données sont conservées sous une forme
permettant l’identification des personnes concernées pendant une durée qui
n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont
collectées et traitées.
60. MAIL, VIE PRIVEE ET
SALARIÉ
LA PROBLEMATIQUE DES MAILS DE SALARIES
61. LE PRINCIPE DE LA VIE PRIVEE
DU SALARIÉ
ARRET NIKON
(2 octobre 2001)
L’affirmation du droit au respect de la vie privée du salarié
62. OUVERTURE DES FICHIERS ET MAILS
SOC. 17 mai 2005
(fichiers) sauf risque ou évènement particulier, l’employeur ne peut ouvrir les fichiers
identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur
mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé.
63. OUVERTURE DES FICHIERS ET MAILS
SOC. 17 mai 2005
(fichiers) sauf risque ou évènement particulier, l’employeur ne peut ouvrir les fichiers
identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur
mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé.
SOC 17 juin 2009
(messages) Mais attendu d’une part qu’aux termes de l’article L. 2313-2 du code du
travail, si un délégué du personnel constate qu’il existe une atteinte aux droits des
personnes, à leur santé physique ou mentale ou aux libertés individuelles dans
l’entreprise qui ne serait pas justifiée par la nature de la tâche à accomplir ni
proportionnée au but recherché, il en saisit immédiatement l’employeur et, en cas de
carence de celui-ci ou de divergence sur la réalité de cette atteinte et, à défaut de
solution trouvée avec lui, il saisit le bureau de jugement du Conseil de prud'hommes
qui peut ordonner toutes mesures propres à faire cesser cette atteinte ; que, d’autre
part, sauf risque ou évènement particulier, l’employeur ne peut ouvrir les messages
identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur
mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé
64. PRÉSOMPTION DE PROFESSIONNALITÉ
DES FICHIERS NON IDENTIFIÉS
SOC 18 octobre 2006
Mais attendu que les dossiers et fichiers créés par un salarié grâce à l’outil
informatique mis à sa disposition par son employeur pour l’exécution de son
travail sont présumés, sauf si le salarié les identifie comme étant
personnels, avoir un caractère professionnel de sorte que l’employeur peut y
avoir accès hors sa présence.
65. QUID DU FICHIER « MES DOCUMENTS »
SOC 12 mai 2012
La seule dénomination « Mes documents » donnée à un fichier ne lui confère
pas un caractère personnel
66. UTILISATIONS DES MAILS
Il est une chose d’ouvrir des mails non mentionnés personnels …
…. il en est une autre de les utiliser.
67. MAILS PERSO A DES FINS PROBATOIRES
SOC 18 OCTOBRE 2011
Après avoir rappelé que le principe selon lequel « le salarié a droit, même au
temps et au lieu de travail, au respect de l’intimité de sa vie privée », la Cour
indique en effet que « si l’employeur peut toujours consulter les fichiers qui
n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser à
son encontre dans une procédure judiciaire s’ils s’avèrent relever de sa vie
privée. »
Si la consultation d’un fichier non titré du salarié est licite compte tenu de sa
présomption de professionnalité, son usage est illicite lorsque son contenu est
personnel.
68. MAILS PERSO A DES FINS SANCTIONNATRICES
SOC 5 juillet 2011
Si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme
personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever
de sa vie privée.
(solution conforme à Ch. Mixte 18 mai 2007 : dans lequel il était reproché à un salarié
de s’être fait adressé, sur son lieu de travail, sous enveloppe comportant pour seules
indications son nom, sa fonction et l’adresse de l’entreprise, une revue licencieuse à
laquelle il était abonné, revue de couple échangiste qui aurait choqué des salariés !!!)
69. EN REVANCHE TOUJOURS POSSIBLE DE S’EN SERVIR
POUR DEMONTRER L’USAGE ABUSIF FAIT PAR LE
SALARIE (DUREE)
70. En dehors de la qualification par le
salarié ….
…. Comment déterminer le caractère
personnel ou professionnel d’un mail ?
71. SOC 28 septembre 2011
Le message envoyé par le salarié aux temps et lieu du travail, qui était en
rapport avec son activité professionnelle, ne revêtait pas un caractère privé
et pouvait être retenu au soutien d’une procédure disciplinaire à son
encontre.
2 critères :
- Temps et lieu de travail
- Rapport avec l’activité professionnelle