advertisement

Protection des données personnelles - Online Economy Conference - 14 décembre 2007, Anne-Catherine LORRAIN

50 %
50 %
advertisement
Information about Protection des données personnelles - Online Economy Conference - 14...

Published on February 1, 2008

Author: aclorrain

Source: slideshare.net

advertisement

Colloque international «  Online Services : networks, contents, usages  » ADIS Université Paris Sud XI, Faculté Jean Monnet, Sceaux 14 décembre 2007 « La protection des données personnelles  : Une perspective juridique » Anne-Catherine Lorrain aclorrain @ gmail . com CERDI (Centre d’Etudes et de Recherche en Droit de l’Immatériel) Universités Paris I Sorbonne – Paris Sud XI

Université Paris Sud XI, Faculté Jean Monnet, Sceaux

14 décembre 2007

« La protection des données personnelles  : Une perspective juridique »

Anne-Catherine Lorrain

aclorrain @ gmail . com

CERDI

(Centre d’Etudes et de Recherche en Droit de l’Immatériel)

Universités Paris I Sorbonne – Paris Sud XI

Loi du 9 janvier 1978 « informatique et libertés » Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (cf. infra) 3 notions phares : « données à caractère personnel »: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale; b) « traitement de données à caractère personnel » (traitement): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction; c) « fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique; « La protection des données personnelles : Une perspective juridique »

Loi du 9 janvier 1978 « informatique et libertés »

Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (cf. infra)

3 notions phares :

« données à caractère personnel »: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b) « traitement de données à caractère personnel » (traitement): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;

c) « fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

« La protection des données personnelles : Une perspective juridique » « Privacy » « Privacy » et droit français Vie privée, droit de la personnalité (droit à l’image, droit au nom…) « Privacy » et Internet Protection des correspondances électroniques Lutte contre le spamming (« pollupostage ») … « ficher », « tracer »…

« Privacy »

« Privacy » et droit français

Vie privée, droit de la personnalité (droit à l’image, droit au nom…)

« Privacy » et Internet

Protection des correspondances électroniques

Lutte contre le spamming (« pollupostage »)

… « ficher », « tracer »…

Le cas des données « de connexion » Définition  : notion hétérogène Données «  de connexion » = données « de trafic » = données relatives à une communication électronique Les données « de connexion » sont les informations produites ou nécessitées par l’utilisation des réseaux de communications électroniques (communications téléphoniques et communications par réseau Internet) : données de trafic (fichiers log…), données de localisation, données de facturation. Pour les opérateurs de communications électroniques : Données relatives aux relations commerciales avec leurs clients (nom, prénom, adresse, mode de paiement de l’abonnement, etc.) Données relatives aux communications émises par leurs clients sur les réseaux Les données « de connexion » sont des données personnelles Le débat sur la nature juridique des adresses IP : Sont-elles nominatives ? Dans quel cadre peuvent-elles le devenir? « La protection des données personnelles : Une perspective juridique »

Le cas des données « de connexion »

Définition  : notion hétérogène

Données «  de connexion » = données « de trafic » = données relatives à une communication électronique

Les données « de connexion » sont les informations produites ou nécessitées par l’utilisation des réseaux de communications électroniques (communications téléphoniques et communications par réseau Internet) :

données de trafic (fichiers log…), données de localisation, données de facturation.

Pour les opérateurs de communications électroniques :

Données relatives aux relations commerciales avec leurs clients (nom, prénom, adresse, mode de paiement de l’abonnement, etc.)

Données relatives aux communications émises par leurs clients sur les réseaux

Les données « de connexion » sont des données personnelles

Le débat sur la nature juridique des adresses IP :

Sont-elles nominatives ? Dans quel cadre peuvent-elles le devenir?

« La protection des données personnelles : Une perspective juridique » Le cadre légal La quête de l’équilibre des droits Principe : Protection des données de connexion Effacement, confidentialité, anonymisation Exceptions  : Collecte / conservation des données de connexion Traitement des données (  utilisations secondaires, profilages) Circulation des données (  utilisation par des tiers) Sous certaines conditions Constatation : L’exception tend à devenir le principe ! « obligation » légale de conservation des données de connexion

Le cadre légal

La quête de l’équilibre des droits

Principe : Protection des données de connexion

Effacement, confidentialité, anonymisation

Exceptions  : Collecte / conservation des données de connexion

Traitement des données (  utilisations secondaires, profilages)

Circulation des données (  utilisation par des tiers)

Sous certaines conditions

Constatation : L’exception tend à devenir le principe !

« obligation » légale de conservation des données de connexion

L’encadrement légal Textes européens  : Encadrement des principes Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques / Décision-cadre sur la rétention des données de trafic d’octobre 2005 Directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques Groupe « Article 29 » Textes nationaux  : Organisation des exceptions au principe de protection des données Loi relative « informatique et libertés » du 6 janvier 1978 Loi du 6 août 2004 adaptant la loi de 1978 au secteur des communications électroniques Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 Loi « sécurité quotidienne » du 15 novembre 2001 (création de l’ art. 34-1 Code des Postes et communications électroniques) Loi « sécurité intérieure » du 18 mars 2003 Loi relative à la lutte contre le terrorisme du 23 janvier 2006 « La protection des données personnelles : Une perspective juridique »

L’encadrement légal

Textes européens  : Encadrement des principes

Directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques / Décision-cadre sur la rétention des données de trafic d’octobre 2005

Directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques

Groupe « Article 29 »

Textes nationaux  : Organisation des exceptions au principe de protection des données

Loi relative « informatique et libertés » du 6 janvier 1978

Loi du 6 août 2004 adaptant la loi de 1978 au secteur des communications électroniques

Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004

Loi « sécurité quotidienne » du 15 novembre 2001 (création de l’ art. 34-1 Code des Postes et communications électroniques)

Loi « sécurité intérieure » du 18 mars 2003

Loi relative à la lutte contre le terrorisme du 23 janvier 2006

Encadrement de l’exception de conservation des données de connexion Finalités  de la conservation Conservation proportionnée et limitée au but poursuivi Pour la facturation et le paiement des prestations de communications électroniques (catégorie 1) Pour la recherche et la poursuite d’une infraction (catégorie 2) Cas critique de la lutte contre le terrorisme Pour la protection des systèmes d’information de l’opérateur de communications électroniques (catégorie 3) Limitation de la durée de la conservation des données Décret du 24 mars 2006 : Maximum 1 an à compter du jour de l’enregistrement des données (catégories 1 et 2) Maximum 3 mois ----------------------------------------------------------- (catégorie 3) Consentement des personnes concernées  : Consentement exprès, information préalable (éclairée), droit d’opposition « La protection des données personnelles : Une perspective juridique »

Encadrement de l’exception de conservation des données de connexion

Finalités  de la conservation

Conservation proportionnée et limitée au but poursuivi

Pour la facturation et le paiement des prestations de communications électroniques (catégorie 1)

Pour la recherche et la poursuite d’une infraction (catégorie 2)

Cas critique de la lutte contre le terrorisme

Pour la protection des systèmes d’information de l’opérateur de communications électroniques (catégorie 3)

Limitation de la durée de la conservation des données

Décret du 24 mars 2006 :

Maximum 1 an à compter du jour de l’enregistrement des données (catégories 1 et 2)

Maximum 3 mois ----------------------------------------------------------- (catégorie 3)

Consentement des personnes concernées  :

Consentement exprès, information préalable (éclairée), droit d’opposition

La mise en œuvre de la conservation des données Garanties juridiques Désignation des personnes habilitées à procéder à la collecte et au traitement des données Tendance à l’élargissement de la définition des « opérateurs » responsables du traitement des données Nature des données conservées  : Nature variable Les données ne doivent pas révéler le contenu des communications (données de connexion) … mais conservation des données relatives à une communication électronique « permettant d‘identifier les créateurs de contenu » (LCEN). Contrôle de la conservation des données  : CNIL : procédure de déclaration obligatoire, autorisation, rôle consultatif (recommandations, avis), rôle normatif incident (« normes simplifiées »), pouvoir de sanction Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS) Jurisprudence (rare) Garanties techniques ? « La protection des données personnelles : Une perspective juridique »

La mise en œuvre de la conservation des données

Garanties juridiques

Désignation des personnes habilitées à procéder à la collecte et au traitement des données

Tendance à l’élargissement de la définition des « opérateurs » responsables du traitement des données

Nature des données conservées  :

Nature variable

Les données ne doivent pas révéler le contenu des communications (données de connexion)

… mais conservation des données relatives à une communication électronique « permettant d‘identifier les créateurs de contenu » (LCEN).

Contrôle de la conservation des données  :

CNIL : procédure de déclaration obligatoire, autorisation, rôle consultatif (recommandations, avis), rôle normatif incident (« normes simplifiées »), pouvoir de sanction

Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS)

Jurisprudence (rare)

Garanties techniques ?

Le point de vue des opérateurs Elargissement de la notion d’« opérateur » Coûts Frais de collecte et de stockage des données Frais liés aux demandes de communication des données  Obligation légale de compensation financière des opérateurs Décret du 24 mars 2006 (modalités) Arrêté du 22 août 2006 (tarification) « La protection des données personnelles : Une perspective juridique »

Le point de vue des opérateurs

Elargissement de la notion d’« opérateur »

Coûts

Frais de collecte et de stockage des données

Frais liés aux demandes de communication des données

 Obligation légale de compensation financière des opérateurs

Décret du 24 mars 2006 (modalités)

Arrêté du 22 août 2006 (tarification)

Applications pratiques Données de connexion et lutte anti-contrefaçon Débat sur la nature des adresses IP : Pour la CNIL : = données personnelles ; «  indirectement nominatives, au même titre qu’un numéro de téléphone qui correspond à un abonné ou qu’un numéro d’immatriculation d’une voiture qui se rapporte à son propriétaire  ». Tâtonnements jurisprudentiels concurrencés par les résultats des travaux de la « Mission Olivennes ». Données de connexion et réseaux sociaux ( ex. : Facebook ) Une question d’attitude des internautes… « La protection des données personnelles : Une perspective juridique »

Applications pratiques

Données de connexion et lutte anti-contrefaçon

Débat sur la nature des adresses IP :

Pour la CNIL : = données personnelles ; «  indirectement nominatives, au même titre qu’un numéro de téléphone qui correspond à un abonné ou qu’un numéro d’immatriculation d’une voiture qui se rapporte à son propriétaire  ».

Tâtonnements jurisprudentiels concurrencés par les résultats des travaux de la « Mission Olivennes ».

Données de connexion et réseaux sociaux ( ex. : Facebook )

Une question d’attitude des internautes…

« La protection des données personnelles : Une perspective juridique » Publications A.-C. LORRAIN et G. MATHIAS, Données de connexion : un projet de décret resserre la toile ou comment l’ombre de « Big Brother » menace la « confiance » dans l’économie numérique , Revue Lamy Droit de l'Immatériel, 2007/28, n° 919 A.-C. LORRAIN et G. MATHIAS, Données de connexion : la publication du premier décret (…) , Revue Lamy Droit de l’Immatériel, 2006/17, n° 501 A.-C. LORRAIN et G. MATHIAS, Données de connexion : un état des lieux , Revue Lamy Droit de l’Immatériel, 2005/11, n° 334

Publications

A.-C. LORRAIN et G. MATHIAS, Données de connexion : un projet de décret resserre la toile ou comment l’ombre de « Big Brother » menace la « confiance » dans l’économie numérique , Revue Lamy Droit de l'Immatériel, 2007/28, n° 919

A.-C. LORRAIN et G. MATHIAS, Données de connexion : la publication du premier décret (…) , Revue Lamy Droit de l’Immatériel, 2006/17, n° 501

A.-C. LORRAIN et G. MATHIAS, Données de connexion : un état des lieux , Revue Lamy Droit de l’Immatériel, 2005/11, n° 334

Merci de votre attention.

Add a comment

Related pages

CNIL - Accueil - Commission nationale de l'informatique et ...

... Protéger les données personnelles, ... 14: 15 16. 17. 18: 19: 20: 21: 22. 23. 24. 25 ... le G29 a lancé un audit afin d‘évaluer les pratiques des ...
Read more

Newsletter Summer 2007 - Research Centre Information, Law ...

... 28 September 2007 Conference organised by ... STRATEGIC DATA PROTECTION 2007 Embedding ... des données personnelles ...
Read more

OCDE - OECD.org - OECD

Organisation for Economic Co-operation and Development (OECD) ... Politique de protection des données et de la vie privée ; Suivez-nous (médias sociaux):
Read more

Agenda des salons Informatique, Telecom et IT

... 14 et 15 octobre 2015 à Rennes.Cette "open data week" sera ... Données personnelles. ... lemondeinformatique.fr distributique.com cio-online.com ...
Read more

Mairie de Paris : site officiel de la ville de Paris ...

En savoir plus sur vos données personnelles. Visit Paris; FAQ; Newsletter; Contact; Presse; Politique d'utilisation des cookies; Crédits; Magazine A ...
Read more

France - Wikipedia, the free encyclopedia

In France, it is considered to ... sustainable economic development, and protection of the natural ... The military parade held in Paris each 14 July for ...
Read more