Sécurité des données et RGPD

Questions and Answers

Qui peut tenir un registre complet des condamnations pénales selon l'article 46 de la LIL?

Les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées

Les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice

Les organismes de gestion collective de droits d’auteur et de droits voisins

Les auxiliaires de justice pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi (correct)

Quel type de traitement est autorisé par l'article 46, 3° LIL?

Les auxiliaires de justice pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi

Les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées

Traitements réalisés par les organismes de gestion collective de droits d’auteur et de droits voisins

Traitement par les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice (correct)

Qui peut réaliser des traitements relatifs aux droits d'auteur et droits voisins selon l'article 46, 4° LIL?

Les auxiliaires de justice pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi

Les organismes de gestion collective de droits d’auteur et de droits voisins (correct)

Les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice

Les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées

Quels traitements peuvent être mis en œuvre par les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées selon l'article 46, 5° LIL?

Aucun traitement ne peut être mis en œuvre par les réutilisateurs

Quelles autorités peuvent se prévaloir d'une permission légale pour réaliser des traitements si garanties appropriées pour les droits et libertés des personnes concernées selon la LIL?

Responsables de traitement pouvant se prévaloir d’une permission légale si garanties appropriées pour les droits et libertés des personnes concernées

Quelles sont les conditions requises pour qu'un transfert de données à caractère personnel vers un pays tiers puisse avoir lieu?

Les conditions définies dans le présent chapitre doivent être respectées par le responsable du traitement et le sous-traitant.

Quel est l'objectif principal de l'art. 44 RGPD?

Garantir que le niveau de protection des personnes physiques ne soit pas compromis lors des transferts de données.

Quelles sont les dispositions du présent chapitre qui doivent être appliquées selon l'art. 44 RGPD?

Toutes les dispositions du présent chapitre doivent être appliquées de manière à garantir un niveau de protection adéquat.

Quels mécanismes doivent être respectés pour exporter des données en dehors selon l'art. 44 RGPD?

Les mécanismes définis dans le présent chapitre doivent être respectés pour garantir un niveau adéquat de protection.

Quel est l'impact sur les transferts ultérieurs de données à caractère personnel au départ d'un pays tiers ou d'une organisation internationale selon l'art. 44 RGPD?

Les conditions définies dans le présent chapitre doivent également être respectées pour ces transferts ultérieurs.

Quel critère guide la prise de mesures de sécurité selon le texte?

Types de traitements, risques pour les droits des personnes, et coûts

Quelle directive énonce des critères similaires pour assurer la sécurité des données?

Directive 2016/680

Quel montant d'amende a reçu Darty pour défaut de contrôle des agissements de son prestataire?

100 000 euros

Quelle est l'obligation en cas de violation de données personnelles?

Notifiez à l'autorité de contrôle et à la personne concernée, sauf exceptions

Qu'est-ce que le principe de confidentialité dès la conception exige?

La garantie d'une sécurité appropriée des données personnelles

Quelle est la condition requise pour que les sociétés puissent recourir aux algorithmes en vertu de l'article 22.2 du RGPD?

Obtenir le consentement explicite de la personne concernée

Quelles sont les garanties requises pour la personne concernée lorsque le traitement est autorisé par le consentement explicite ou est nécessaire à la conclusion ou à l’exécution d’un contrat?

Transparence et droit de rectification

Quelles catégories constitutives propose le G29 pour les décisions automatiques impactant les personnes?

Catégorie prédictive, catégorie prescriptive, catégorie descriptive

Quel est l'impact de la directive Police-Justice sur les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques défavorables pour la personne concernée?

Elle les interdit sauf autorisation spécifique

Quel champ d'application a la proposition de Règlement sur l’IA adoptée par la Commission en avril 2021?

Elle se limite aux systèmes d'IA considérés à 'hauts risques'

Quelle institution a statué que Google ne peut échapper à l'article 10 du RGPD en raison de la spécificité de son activité d'indexation?

La Cour de justice de l'Union européenne (CJUE)

Quel article du RGPD prévoit des exceptions au traitement des données personnelles pour des motifs d'intérêt public important?

Article 9.2 g)

Quelle institution a précisé les critères à prendre en compte pour déterminer si les intérêts du public l'emportent dans une demande de déréférencement?

Le Conseil d'État

Quel article du RGPD interdit toute prise de décision judiciaire fondée sur un traitement automatisé de données personnelles définissant le profil ou la personnalité de l'intéressé?

Article 22

Comment est défini le profilage selon l'article 4.4 du RGPD?

Tout traitement automatisé de données personnelles pour évaluer des aspects personnels d'une personne

Quel principe exige que les données personnelles soient tenues à jour en permanence et rectifiées si nécessaire, selon le RGPD et la Directive Police-Justice?

Principe d'exactitude

Qui détient la responsabilité de déterminer la durée de conservation des données, selon la CNIL?

Le Responsable du Traitement (RT)

Quel article du RGPD et de la Directive Police-Justice souligne que les données à caractère personnel ne peuvent être conservées indéfiniment?

Article 5.1 d)

Quelle institution a proposé des durées de conservation spécifiques pour différents types de données et recommandé d'envisager la conservation en trois phases?

La CNIL

Quel est l'encadrement des transferts internationaux de données selon le RGPD?

$44 à 50

Quel principe exige que les données personnelles soient tenues à jour en permanence et rectifiées si nécessaire, selon le RGPD et la Directive?

Principe d'exactitude des données

Qu'est-ce que la Directive Police-Justice permet de faire dans des cas d'impératifs supérieurs?

Retarder, modifier ou supprimer le droit à notification

Qui détient la responsabilité de la détermination de la durée de conservation des données?

Le Responsable du Traitement (RT)

Pourquoi l'inexactitude des informations détenues par le Responsable du Traitement (RT) n'est-elle pas considérée comme une meilleure protection de la vie privée?

Car l'inexactitude est considérée comme une source de dommage potentiel pour les personnes concernées

Quel article souligne que les données à caractère personnel ne peuvent être conservées indéfiniment, selon le RGPD et la Directive?

Article 5.1 d) du RGPD et de la Directive

Quel article du RGPD énonce les exigences de sécurité, notamment la protection contre le traitement non autorisé ou illicite?

Article 5.1 f)

Quel critère guide la prise de mesures de sécurité selon le texte?

Types de traitements, risques pour les droits des personnes, et coûts

Quelle directive énonce des critères similaires et précise des objectifs à accomplir pour assurer la sécurité des données?

Directive 2016/680

Quel principe exige la garantie d'une sécurité appropriée des données personnelles?

Principe de confidentialité dès la conception

Quel est l'obligation en cas de violation de données personnelles?

'Notifier l'autorité de contrôle et la personne concernée, sauf exceptions

Quel principe exige que les données personnelles soient tenues à jour en permanence et rectifiées si nécessaire, selon le RGPD et la Directive Police-Justice?

Le principe d'exactitude

Quel critère guide la prise de mesures de sécurité selon le texte?

La spécificité de l'activité

Quelle institution a proposé des durées de conservation spécifiques pour différents types de données et recommandé d'envisager la conservation en trois phases?

La Commission nationale de l'informatique et des libertés (CNIL)

Quel est l'impact sur les transferts ultérieurs de données à caractère personnel au départ d'un pays tiers ou d'une organisation internationale selon l'art. 44 RGPD?

$Ils doivent être soumis à une évaluation préalable$

$Quelles sont les dispositions du présent chapitre qui doivent être appliquées selon l'art. 44 RGPD?$

Quelles sont les conditions requises pour qu'un transfert de données à caractère personnel vers un pays tiers puisse avoir lieu selon l'art. 44 RGPD?

Les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant

Quel est l'impact sur les transferts ultérieurs de données à caractère personnel au départ d'un pays tiers ou d'une organisation internationale selon l'art. 44 RGPD?

Les conditions définies dans le présent chapitre doivent être respectées par le responsable du traitement et le sous-traitant

Quel est l'objectif principal de l'art. 44 RGPD?

Préserver le niveau de protection des personnes physiques garanti par le règlement

Quelles sont les garanties requises pour la personne concernée lorsque le traitement est autorisé par le consentement explicite ou est nécessaire à la conclusion ou à l’exécution d’un contrat selon la LIL?

Le droit d'opposition doit être garanti

Quels mécanismes doivent être respectés pour exporter des données en dehors selon l'art. 44 RGPD?

Les mécanismes doivent respecter les conditions définies dans le présent chapitre par le responsable du traitement et le sous-traitant

Qui peut tenir un registre complet des condamnations pénales selon l'article 46 de la LIL?

Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi

Quel type de traitement est autorisé par l'article 46, 3° LIL?

Traitement par les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice

Quels traitements peuvent être mis en œuvre par les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées selon l'article 46, 5° LIL?

Les réutilisateurs peuvent permettre la réidentification des personnes concernées

Qui peut réaliser des traitements relatifs aux droits d'auteur et droits voisins selon l'article 46, 4° LIL?

Les organismes de gestion collective de droits d’auteur et de droits voisins

Quelle institution a statué que Google ne peut échapper à l'article 10 du RGPD en raison de la spécificité de son activité d'indexation?

La Cour de justice de l'Union européenne (CJUE)

Quel article du RGPD prévoit des exceptions au traitement des données personnelles pour des motifs d'intérêt public important?

Article 9.2 g)

Qu'est-ce que le profilage selon l'article 4.4 du RGPD englobe?

Tout traitement automatisé de données personnelles pour évaluer des aspects personnels d'une personne

Qu'a précisé le Conseil d'État concernant une demande de déréférencement?

Les critères à prendre en compte pour déterminer si les intérêts du public l'emportent

'La LIL (1978)' interdit quelle prise de décision judiciaire fondée sur un traitement automatisé?

'Définissant le profil ou la personnalité de l'intéressé'

Quelles garanties doivent exister pour la personne concernée lorsque le traitement est autorisé par le consentement explicite ou est nécessaire à la conclusion ou à l’exécution d’un contrat?

Garanties de sécurité des données et de confidentialité

Quelles sont les exceptions au traitement des données sensibles selon l'article 9 du RGPD?

Consentement explicite et intérêt public important

Quel champ d'application se limite aux systèmes d'IA considérés à 'hauts risques' sans préjudice des règles du RGPD?

Proposition de Règlement sur l’IA

Quelles sont les catégories constitutives proposées pour les décisions automatiques impactant les personnes par le G29?

$Catégorie_1, Catégorie_2, Catégorie_3$

Quelles sont les exceptions à l'article 22.2 du RGPD pour recourir aux algorithmes?

$Exceptions_{1}, Exceptions_{2}, Exceptions_{3}$

Quelles garanties doivent exister pour la personne concernée lorsque le traitement est autorisé par le consentement explicite ou est nécessaire à la conclusion ou à l’exécution d’un contrat?

Garantie de transparence, de droit d'accès et de droit de rectification

Quel type de garanties doit être prévu pour la sauvegarde des droits et libertés de la personne concernée lorsqu'une décision automatique est autorisée par le droit interne ou de l’UE?

Garantie d'information sur les critères utilisés et sur les conséquences du traitement

Quelles sont les catégories constitutives proposées par le G29 pour les décisions automatiques impactant les personnes?

Catégorie de traitement informatif, catégorie de traitement consultatif, catégorie de traitement décisionnel

Sous quelles conditions les sociétés peuvent-elles recourir aux algorithmes en respectant l'une des trois exceptions à l'article 22.2 du RGPD?

Si elles mettent en place des mesures pour minimiser les risques, protéger les droits et obtenir le consentement explicite

Quelle est la principale exigence en matière d'exactitude des données personnelles selon le RGPD et la Directive Police-Justice?

Les données doivent être tenues à jour en permanence et rectifiées si nécessaire

Quelle est l'impact de la détention de fausses informations par le Responsable du Traitement (RT) sur la protection de la vie privée?

La vie privée est mieux protégée car l'inexactitude est considérée comme une source de dommage potentiel pour les personnes concernées

Quelle institution a proposé des durées de conservation spécifiques pour différents types de données et recommandé d'envisager la conservation en trois phases?

La Commission nationale de l'informatique et des libertés (CNIL)

Qui détient la responsabilité de déterminer la durée de conservation des données, selon la CNIL?

Le Responsable du Traitement (RT)

Qu'est-ce que la Directive Police-Justice permet de faire dans des cas d'impératifs supérieurs?

Elle permet de retarder, modifier ou supprimer le droit à notification dans des cas d'impératifs supérieurs

Quelles sont les conditions requises pour qu'un transfert de données à caractère personnel vers un pays tiers puisse avoir lieu selon l'art. 44 RGPD?

Mettre en place des garanties appropriées, y compris des clauses contractuelles types ou des règles d'entreprise contraignantes

Quelle institution a proposé des durées de conservation spécifiques pour différents types de données et recommandé d'envisager la conservation en trois phases?

Le Groupe de travail de l'article 29 (G29)

Quel champ d'application se limite aux systèmes d'IA considérés à 'hauts risques' sans préjudice des règles du RGPD?

Règlement sur l’IA adoptée par la Commission en avril 2021

Quelles sont les exceptions au traitement des données sensibles selon l'article 9 du RGPD?

Consentement explicite de la personne concernée ou nécessité pour la constatation, l'exercice ou la défense de droits en justice

Quel article du RGPD traite des traitements de données spécifiques, tels que les traitements liés à la liberté d'expression, aux documents officiels, au numéro d’identification national, aux relations de travail et à des fins archivistiques, de recherche ou statistiques?

Article 85

Quelle est la spécificité de l'activité de Google qui justifie une appréciation particulière de ses obligations et responsabilités en matière de traitement automatisé des données personnelles, selon la CJUE?

Son activité d'indexation

Quel article du RGPD prévoit des exceptions au traitement des données personnelles pour des motifs d'intérêt public important, sous réserve de mesures appropriées pour la sauvegarde des droits fondamentaux?

Article 9.2 g)

Quelle est la position du Conseil d'État concernant une demande de déréférencement concernant une condamnation pour violences conjugales?

Le droit à l'information du public prévaut en raison de la notoriété et de l'intérêt de la personne concernée

Quelle interdiction est énoncée par la LIL (1978) concernant les prises de décision judiciaires fondées sur un traitement automatisé de données personnelles?

Toute prise de décision judiciaire fondée sur un traitement automatisé définissant le profil ou la personnalité de l'intéressé

Comment est défini le profilage selon l'article 4.4 du RGPD?

$ ext{Un traitement automatisé pour évaluer des aspects personnels d'une personne}$

Quelle mesure de sécurité exige la garantie d'une sécurité appropriée des données personnelles dès la conception?

Pseudonymisation et chiffrement des données

Quel critère guide la prise de mesures de sécurité selon le texte?

Types de traitements

Quelle directive énonce des critères similaires et précise des objectifs à accomplir pour assurer la sécurité des données?

Directive 2016/680

Quelle institution a proposé des durées de conservation spécifiques pour différents types de données et recommandé d'envisager la conservation en trois phases?

Le G29

Quel est l'impact sur les transferts ultérieurs de données à caractère personnel au départ d'un pays tiers ou d'une organisation internationale selon l'art. 44 RGPD?

$ ext{Les transferts ultérieurs doivent garantir un niveau de protection adéquat}$

Quelles sont les personnes autorisées à tenir un registre complet des condamnations pénales selon l'article 46 de la LIL?

Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi

Quels traitements peuvent être mis en œuvre par les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées selon l'article 46, 5° LIL?

Traitements pour préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice

Qui peut réaliser des traitements relatifs aux droits d'auteur et droits voisins selon l'article 46, 4° LIL?

Les organismes de gestion collective de droits d’auteur et de droits voisins, dans le cadre d’une action relative aux droits dont ils assurent la gestion des droits voisins ou agissant en défense des intérêts dont ils ont la charge

Quel type de traitement est autorisé par l'article 46, 3° LIL?

Traitement par les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice

Quelles sont les personnes pouvant se prévaloir d’une permission légale pour réaliser des traitements si garanties appropriées pour les droits et libertés des personnes concernées selon la LIL?

Les responsables de traitement pouvant se prévaloir d’une permission légale si garanties appropriées pour les droits et libertés des personnes concernées

Quelles sont les conditions requises pour qu'un transfert de données à caractère personnel vers un pays tiers puisse avoir lieu selon l'art. 44 RGPD?

Le niveau de protection des personnes physiques garanti par le RGPD ne doit pas être compromis

Quel est l'impact sur les transferts ultérieurs de données à caractère personnel au départ d'un pays tiers ou d'une organisation internationale selon l'art. 44 RGPD?

Ils doivent respecter les mêmes conditions que le transfert initial

Quels mécanismes doivent être respectés pour exporter des données en dehors selon l'art. 44 RGPD?

Les conditions définies dans le chapitre sur la protection des données

Qui détient la responsabilité de déterminer la durée de conservation des données, selon la CNIL?

Le responsable du traitement

Quelles conditions doivent être respectées pour qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale puisse avoir lieu selon l'article 44 du RGPD?

La garantie que le niveau de protection des personnes physiques ne soit pas compromis

Quel est l'objectif principal de l'article 44 du RGPD?

Assurer la sécurité des données à caractère personnel lors des transferts internationaux

Quelles sont les dispositions du présent chapitre qui doivent être appliquées selon l'article 44 du RGPD?

Toutes les dispositions du chapitre relatives aux transferts internationaux de données

Quelles autorités peuvent se prévaloir d'une permission légale pour réaliser des traitements si garanties appropriées pour les droits et libertés des personnes concernées selon la LIL?

Les autorités judiciaires et policières

Quelles sont les exceptions au traitement des données sensibles selon l'article 9 du RGPD?

La nécessité de motifs d'intérêt public important

Study Notes

Diffusion de données personnelles et traitement automatisé : points clés du droit européen

1. La CJUE a statué que Google ne peut échapper à l'article 10 du RGPD en raison de la spécificité de son activité d'indexation, mais que cette spécificité justifie une appréciation particulière de ses obligations et responsabilités.

2. Les normes du RGPD et de la Charte des droits fondamentaux de l'UE concilient le droit à la protection des données personnelles avec le droit à la liberté d'expression et d'information, y compris pour les activités journalistiques, artistiques et universitaires.

3. L'article 9.2 g) du RGPD prévoit des exceptions au traitement des données personnelles pour des motifs d'intérêt public important, sous réserve de mesures appropriées pour la sauvegarde des droits fondamentaux.

4. La CJUE se réfère à la jurisprudence de la CEDH sur le conflit entre le droit au respect de la vie privée et la liberté d'information, soulignant la nécessité de trouver un équilibre entre ces intérêts protégés.

5. Le Conseil d'État a précisé les critères à prendre en compte pour déterminer si les intérêts du public l'emportent dans une demande de déréférencement, notamment la nature des données, le contenu, l'exactitude et la source des informations.

6. Dans un cas de demande de déréférencement concernant une condamnation pour violences conjugales, le Conseil d'État a jugé que le droit à l'information du public prévalait en raison de la notoriété et de l'intérêt de la personne concernée.

7. La LIL (1978) interdit toute prise de décision judiciaire fondée sur un traitement automatisé de données personnelles définissant le profil ou la personnalité de l'intéressé, et garantit le droit d'information et de contestation de la personne concernée.

8. La directive de 1995 reprend cette interdiction dans son article 15, et l'article 22 du RGPD intitulé « Décision individuelle automatisée y compris le profilage » reprend cette préoccupation.

9. La définition du profilage selon l'article 4.4 du RGPD englobe tout traitement automatisé de données personnelles pour évaluer des aspects personnels d'une personne, ce qui se distingue de l'analyse de groupes et du traitement automatisé plus large.

10. L'article 22 du RGPD ne s'applique qu'à une prise de décision

Principes clés de la Directive Police-Justice et du RGPD

1. La Directive Police-Justice permet de retarder, modifier ou supprimer le droit à notification dans des cas d'impératifs supérieurs, neutralisant ainsi les droits des personnes concernées.

2. Les sous-traitants et agents ne doivent traiter les données qu'avec l'instruction de leur employeur ou s'ils y sont obligés par la loi, selon la Directive.

3. Le principe d'exactitude des données, selon le RGPD et la Directive, exige que les données personnelles soient tenues à jour en permanence et rectifiées si nécessaire.

4. La vie privée est mieux protégée lorsque le Responsable du Traitement (RT) détient de fausses informations, car l'inexactitude est considérée comme une source de dommage potentiel pour les personnes concernées.

5. La Directive Police-Justice ne s'applique pas au contenu des déclarations faites par les personnes physiques dans le cadre des procédures judiciaires, ce qui est logique.

6. Les autorités doivent veiller à la non-transmission de données inexactes, incomplètes ou périmées, selon la spécificité de la Directive Police-Justice.

7. Les données à caractère personnel ne peuvent être conservées indéfiniment, comme le souligne l'article 5.1 d) du RGPD et de la Directive.

8. Des exemples concrets, tels que la condamnation de la société Spartoo par la CNIL, illustrent l'importance de respecter les durées de conservation des données.

9. Le responsable de la détermination de la durée de conservation incombe au RT, et il existe des exigences légales de conservation des données, comme l'indique la CNIL.

10. La conservation des données doit être conforme à la finalité du traitement, comme le souligne l'article 5.1 e) du RGPD et de la Directive.

11. La CNIL propose des durées de conservation spécifiques pour différents types de données, et recommande d'envisager la conservation en trois phases.

12. Les transferts internationaux de données sont encadrés par les articles 44 à 50 du RGPD, et la réglementation de ces transferts est nécessaire pour assurer une balance entre la réalité et la protection effective des données.

Amendes et obligations de sécurité liées à la protection des données personnelles

1. Amendes significatives : Ticketmaster a écopé d'une amende de 1,25 million de livres pour non-respect des normes de sécurité des données.
2. Obligations de sécurité : Le principe de confidentialité dès la conception exige la garantie d'une sécurité appropriée des données personnelles.
3. Cadre réglementaire : L'article 5.1 f) du RGPD énonce les exigences de sécurité, notamment la protection contre le traitement non autorisé ou illicite.
4. Critères d'appréciation : Trois critères guident la prise de mesures de sécurité : types de traitements, risques pour les droits des personnes, et coûts.
5. Moyens de sécurité : La pseudonymisation, le chiffrement et d'autres mesures doivent garantir la confidentialité, l'intégrité et la disponibilité des données.
6. Tests réguliers : Une procédure d'évaluation régulière de l'efficacité des mesures de sécurité est nécessaire.
7. Avantages des codes de conduite : L'application d'un code de conduite ou d'un mécanisme de certification est favorable en cas de contrôle ou de défaillance.
8. Responsabilité du responsable de traitement : Le RT doit s'assurer des mesures de sécurité prises par le ST, engageant ainsi sa responsabilité.
9. Exemple de sanction : Darty a reçu une amende de 100 000 euros pour défaut de contrôle des agissements de son prestataire, mettant en danger la sécurité des données.
10. Directive 2016/680 : Cette directive énonce des critères similaires et précise des objectifs à accomplir pour assurer la sécurité des données.
11. Obligation de notification : Les violations de données personnelles doivent être notifiées à l'autorité de contrôle et à la personne concernée, sauf exceptions.
12. Exceptions à la notification : Des mesures spécifiques rendant les données incompréhensibles ou réduisant le risque peuvent exempter de l'obligation de notifier la personne concernée.

Diffusion de données personnelles et traitement automatisé : points clés du droit européen

1. La CJUE a statué que Google ne peut échapper à l'article 10 du RGPD en raison de la spécificité de son activité d'indexation, mais que cette spécificité justifie une appréciation particulière de ses obligations et responsabilités.

2. Les normes du RGPD et de la Charte des droits fondamentaux de l'UE concilient le droit à la protection des données personnelles avec le droit à la liberté d'expression et d'information, y compris pour les activités journalistiques, artistiques et universitaires.

3. L'article 9.2 g) du RGPD prévoit des exceptions au traitement des données personnelles pour des motifs d'intérêt public important, sous réserve de mesures appropriées pour la sauvegarde des droits fondamentaux.

4. La CJUE se réfère à la jurisprudence de la CEDH sur le conflit entre le droit au respect de la vie privée et la liberté d'information, soulignant la nécessité de trouver un équilibre entre ces intérêts protégés.

5. Le Conseil d'État a précisé les critères à prendre en compte pour déterminer si les intérêts du public l'emportent dans une demande de déréférencement, notamment la nature des données, le contenu, l'exactitude et la source des informations.

6. Dans un cas de demande de déréférencement concernant une condamnation pour violences conjugales, le Conseil d'État a jugé que le droit à l'information du public prévalait en raison de la notoriété et de l'intérêt de la personne concernée.

7. La LIL (1978) interdit toute prise de décision judiciaire fondée sur un traitement automatisé de données personnelles définissant le profil ou la personnalité de l'intéressé, et garantit le droit d'information et de contestation de la personne concernée.

8. La directive de 1995 reprend cette interdiction dans son article 15, et l'article 22 du RGPD intitulé « Décision individuelle automatisée y compris le profilage » reprend cette préoccupation.

9. La définition du profilage selon l'article 4.4 du RGPD englobe tout traitement automatisé de données personnelles pour évaluer des aspects personnels d'une personne, ce qui se distingue de l'analyse de groupes et du traitement automatisé plus large.

10. L'article 22 du RGPD ne s'applique qu'à une prise de décision

Règles et exceptions concernant la prise de décision automatisée selon le RGPD et la directive Police-Justice

1. La prise de décision automatisée est soumise aux principes généraux de l'article 5 du RGPD, au fondement légal de l'article 6 et au respect des droits des personnes prévus par le RGPD.
2. Si le traitement implique des données sensibles, une exception de l'article 9.1 du RGPD doit être caractérisée.
3. La Commission a adopté une proposition de Règlement sur l’IA en avril 2021, mais son champ d’application se limite aux systèmes d'IA considérés à "hauts risques" sans préjudice des règles du RGPD.
4. Le G29 propose trois catégories constitutives pour les décisions automatiques impactant les personnes.
5. Les sociétés peuvent recourir aux algorithmes en respectant l'une des trois exceptions à l'article 22.2 du RGPD.
6. Deux types de garanties doivent exister pour la personne concernée lorsque le traitement est autorisé par le consentement explicite ou est nécessaire à la conclusion ou à l’exécution d’un contrat.
7. La décision automatique est autorisée par le droit interne ou de l’UE, sous réserve de prévoir des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée.
8. Les décisions automatiques ne peuvent être fondées sur des données sensibles que si l'une des deux exceptions de l'article 9 du RGPD est remplie.
9. La directive Police-Justice interdit toute décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques défavorables pour la personne concernée, sauf autorisation par le droit de l'Union ou d'un État membre.
10. La directive ne pose pas de règles particulières pour les données sensibles, mais il faut appliquer les règles de base du RGPD.
11. Les articles 85 et suivants du RGPD traitent des traitements de données spécifiques, tels que les traitements liés à la liberté d'expression, aux documents officiels, au numéro d’identification national, aux relations de travail et à des fins archivistiques, de recherche ou statistiques.
12. La question de la sécurité des données est cruciale, car selon le Cost of Data Breach Report 2021, une brèche de sécurité peut coûter cher, avec des amendes potentielles.

Amendes et obligations de sécurité liées à la protection des données personnelles

1. Amendes significatives : Ticketmaster a écopé d'une amende de 1,25 million de livres pour non-respect des normes de sécurité des données.
2. Obligations de sécurité : Le principe de confidentialité dès la conception exige la garantie d'une sécurité appropriée des données personnelles.
3. Cadre réglementaire : L'article 5.1 f) du RGPD énonce les exigences de sécurité, notamment la protection contre le traitement non autorisé ou illicite.
4. Critères d'appréciation : Trois critères guident la prise de mesures de sécurité : types de traitements, risques pour les droits des personnes, et coûts.
5. Moyens de sécurité : La pseudonymisation, le chiffrement et d'autres mesures doivent garantir la confidentialité, l'intégrité et la disponibilité des données.
6. Tests réguliers : Une procédure d'évaluation régulière de l'efficacité des mesures de sécurité est nécessaire.
7. Avantages des codes de conduite : L'application d'un code de conduite ou d'un mécanisme de certification est favorable en cas de contrôle ou de défaillance.
8. Responsabilité du responsable de traitement : Le RT doit s'assurer des mesures de sécurité prises par le ST, engageant ainsi sa responsabilité.
9. Exemple de sanction : Darty a reçu une amende de 100 000 euros pour défaut de contrôle des agissements de son prestataire, mettant en danger la sécurité des données.
10. Directive 2016/680 : Cette directive énonce des critères similaires et précise des objectifs à accomplir pour assurer la sécurité des données.
11. Obligation de notification : Les violations de données personnelles doivent être notifiées à l'autorité de contrôle et à la personne concernée, sauf exceptions.
12. Exceptions à la notification : Des mesures spécifiques rendant les données incompréhensibles ou réduisant le risque peuvent exempter de l'obligation de notifier la personne concernée.

Description

Découvrez vos connaissances sur la sécurité des données et le Règlement Général sur la Protection des Données (RGPD) à travers cet exemple d'amende de l'ICO (UK) à Ticketmaster. Testez vos connaissances sur les principes de confidentialité, la protection des données personnelles et les mesures de sécurité nécessaires.