European Committee on Data Protection PDF

• C’est l’autorité qui choisit des agents Section 4 : Le Comité européen de la protection des données Cette super-autorité doit surtout assurer la cohérence de l’interprétation du règlement et de la directive. (clé de voûte du système européen) Le CEPD trouve son origine dans le G 29 (working party 29) de la directive de 1995 Attention à l’acronyme CEPD : désigne aussi le Controleur Européen de la protection des données (attaché au règlement 2018/1725 ?) qui vise uniquement les organes de l’UE. (EPDS) → leurs staffs sont les mêmes ! §1/ L’institution • Organe de l’Union avec personnalité morale • Composition : - Chef de chaque autorité de contrôle de l’EEE + chef de l’EDPS - La Commission peut avoir un représentant, sans droit de vote - 1 Président et 2 Vice-Présidents, renouvelable 1 fois, élus pour 5 ans • Prise de décision à la majorité simple • Exerce ses pouvoirs en toute indépendance : mais n’exclut ø que la Commission le sollicite pour un avis §2/ Missions A. Missions communes au règlement et à la directive ➢ Conseiller la Commission Européenne sur toutes les questions relatives aux données à caractère perso ➢ Examiner toute question relative à la mise en œuvre des textes + publier des lignes directrices, recommandations et bonnes pratiques pour leur application cohérente ➢ Adopter surtout des lignes directrices sur : - Les violations des données - Cas où ces violations engendrent un risque élevé pour les concernés 29 - Mise en œuvre par les autorités de contrôle de leur pouvoir d’enquête ⇨ Mission la + importante ! ➢ Rendre des avis sur le niveau adéquat ou non de protection assuré par un pays tiers ou OI ➢ Mission de promotions de certaines activités B. Mission propres au RGPD • Rendre des avis dans 2 hypothèses de l’article 64 : ➢ Hypothèses spécifiques se rapportant l’adoption par une autorité de contrôle d’une décision ou d’une mesure (ex : liste d’opérations de traitement nécessitant une AIPD par exemple) ➢ Dans le cas où elle est saisie d’une question d’application générale ou produisant effet dans plusieurs États ⇨ Le CEPD se prononce sous 8 semaines Article 64.7 RGPD : « L’autorité de contrôle compétente visée au paragraphe 1 tient le plus grand compte de l’avis du comité et fait savoir au président du comité par voie électronique au moyen d’un formulaire type, dans un délai de deux semaines suivant la réception de l’avis, si elle maintiendra ou si elle modifiera son projet de décision et, le cas échéant, son projet de décision modifié. » • Régler des litiges (Article 65 RGPD) : - Dans le cadre de la mise en œuvre du mécanisme du guichet unique (art. 65.1a) → une AC chef de file va guider le mouvement et devra collaborer avec les autres AC concernées pour aboutir à une décision. Si la chef de file ne suit pas une objection formulée par une autre AC, le CEPD sera saisi en la matière) ⇨ CEPD comme juge de paix - En cas de divergence sur l’AC de l’établissement principal d’une entité (Art. 65.1b) - Si une AC omet de saisir le CEPD malgré son obligation ou ne suit pas l’avis (65.1c) ⇨ Dans ces 3 hypothèses, le CEPD devra se prononcer dans un délai d’un mois à la majorité des 2/3, la décision sera publiée sur Internet, mais qu’une fois que l’AC mise en cause a elle-même rendu sa décision finale (donc au final 3 mois) - Dans le cas où elle doit se prononcer sur une décision contraignante d’urgence : 1. Une AC a elle-même pris des mesures d’urgence provisoires qui doivent être pérennisées (art. 66.2) → voir exemple avec AC de Hambourg 2. Demande d’une AC motivée par le fait qu’une autre AC n’ait ø pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées (art. 66.3) (mais compliqué à mettre en œuvre) 30 • Exigence de publications de lignes directrices, recommandations et bonnes pratiques sur des questions spécifiques : - Suppression de liens vers des données à caractère personnel - décisions fondées sur le profilage - critères et exigences applicables aux transferts de données fondés sur des règles d’entreprise contraignante - situations dites « particulières » visées à l’article 49 du règlement - établissement de procédure communes pour le signalement par des personnes physiques • Conseiller la Communication sur les règles d’entreprises contraignantes, les certifications et les icônes d’information • Agréer des organismes de certification • Émettre des avis sur certains codes de conduite • Tenir un registre électronique accessible au public des décisions prises par les AC et les juridictions dans le cadre du mécanisme de contrôle de la cohérence • Établissement d’un rapport annuel sur son travail Chapitre 3 : Principes structurants De manière générale, la notion de « traitement » recouvre un large panel d’activités : la consultation de données, conservation etc… L’article 5.1 du RGPD énonce que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. La directive Police-Justice n’évoque pas la transparence en son article 4.1. Licéité : Pour le RGPD, l’exigence de licéité, invite + spécialement à ce que les données soient traitées en conformité à l’article 6 du RGPD (qui y est relatif) Pour la directive, le traitement doit être prévu par la loi et nécessaire à une mission effectuée par une autorité compétente pour les finalités énoncées à l’article 1 de la directive. Transparence : Seul le RGPD énonce ce principe, bien que les considérants de la directive le mentionnent 1 fois. Enjeu : droit à l’information des personnes concernées quant au traitement de leurs données. 31 La directive prévoit un certain nombre d’infos que le responsable de traitement doit fournir à la personne concernée, elle prévoit aussi que cette fourniture d’info peut être retardée, limitée, voire supprimée dans certaines circonstances. Pour RPGD → articles 12 à 15 (section Transparence et Modalités) Loyauté : → Est aussi mentionné à l’article 8 § 2 de la Charte des Droits Fondamentaux. Le considérant 60 du RGPD donne du principe de loyauté et de transparence une explication commune Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. le traitement ne doit ø être réalisé en secret (contrairement à directive où traitements opaques sont possibles) et prévoit des modalités de recueil de consentement. Exemple de sanction : Décision de la CNIL qui a condamné Carrefour Banque parce qu’il réalisait un traitement de donnée lors de la souscription à l’offre Carte Basse. La loyauté renvoie aussi aux attentes raisonnables de la personne concernée comprend l’idée que les données ne doivent ø être détournées des finalités spécifiques et autorisées pour lesquelles les collectes ont été faites. Il faut aussi honnêtement prendre en compte les conséquences négatives potentielles d’un traitement pour les personnes concernées. ⇨ En revanche comme la directive permet les traitements opaques, il est difficile de cerner la loyauté. Les deux textes mentionnent aussi d’autres principes, mai la division collecte/utilisation/ ne correspond pas à la fluidité des données, donc autre catégorisation : Section 1. Principes relatifs aux finalités du traitements Section 2. Le principe de minimisation Section 3. Le principe de licéité Pour directive : traitement nécessaire et fondé sur droit commun (licéité = légalité) Le RGPD prévoit six fondements possibles pour un traitement de données à caractère personnel : 1) Le contexte contractuel 2) Le respect d’une obligation légale 3) La sauvegarde des intérêts vitaux d’une personne 4) L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique 5) Le traitement nécessaire aux fins légitimes poursuivies par le responsable de traitement 6) Le consentement Section 4. Les principes d’intégrité et de confidentialité des données 32 Section 5. Le principe d’exactitude des données Section 6. Les principes relatifs à la conservation des données Section 1 : Principes relatifs aux finalités du traitements NB : La collecte d’une donnée est un traitement ! §1/ Au stade de la collecte des données Les articles 5 § 1b RPGD (4.1 directive) disposent : « Les données à caractère personnel doivent être (…) collectées pour des finalités déterminées, explicites et légitimes » ➢ Finalités déterminées - On ne peut pas d’abord collecter des données puis déterminer ce qu’on en fera plus tard ! - Il faut pouvoir énumérer les finalités individuellement ➔ Plein de principes du RGPD dépendent de la finalité de la collecte, donc essentiel d’avoir une finalité claire et précise (les droits de la personne concernées dépendent de la finalité) Exemples : pour apprécier la pertinence des données collectées, on se réfère à la finalité ; même chose pour la durée d’utilisation ; Par exemple : - je mets en place une caméra si je veux savoir qui passe par la porte de l’entreprise : c’est trop général ! Il faudrait dire qu’on veut assurer les locaux contre le vol. ➢ Finalités explicites - On ne peut pas taire une ou plusieurs finalités pour lesquelles ont collectionne des données. Exemple : On ne peut pas installer une caméra pour surveiller le temps de travail des employés : Ici on détourne l’usage, la finalité de la caméra ➔ Il faut expliciter limitativement toutes les finalités ! Le détournement de finalité est très grave et c’est la raison pour laquelle l’article 226-21 du Code Pénal l’incrimine ! (5 ans et 300 000 €) (+ l’amende de la CNIL pourra s’y ajouter) - Ce caractère explicite fait écho à l’obligation de transparence quant aux infos dues aux personnes concernées (article 12 RGPD) - Ici on condamne le caractère équivoque ou peu clair de l’exposé des finalités susceptibles d’être sanctionnées (Exemple de phrases génériques : assurer la sécurité des produits et services ; fournir et développer des services) 33 - Caractère trop éparpillé ou difficilement compréhensible de l ’information pourra aussi conduire à une condamnation. (analyse comportementale du droit) ➢ Finalités légitimes Le RGPD et la directive prévoient que la raison pour laquelle les donnée sont collectées soit être en rapport avec la nature de l’activité du responsable de traitement. (Si je demande combien gagne un parent d’élève par mois, cela a peu de rapport avec mon activité de responsable de traitement dans le cadre de l’école : collecte illégitime) §2/ Au stade du traitement ultérieur des données Normalement on ne devrait ø réutiliser les données pour une autre finalité ! Par principe, le RGPD et la directive s’y opposent, néanmoins les textes sont réalistes et admettent que l’on peut retraiter la donnée pour des finalités compatibles. (5.1 B RGPD et 4.1 B Directive « Les données à caractère personnel doivent être {…} collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». ➔ Comment déterminer l’existence d’une finalité compatible ? La directive est muette, mais le RGPD identifie 3 finalités de retraitement, et une 4ème + générale : • Finalités précises de l’article 5.1 b - Le traitement ultérieur à des fins archivistiques dans l’intérêt public - Les fins de recherche scientifique ou historique - Le traitement à des fins statistiques → réapparaissent aux articles 89 et suivants • Finalités souples de l’article 6.4 (faisceau d’indices) 1) L’existence éventuelle d’un lien entre les finalités d’origine et les finalités du traitement ultérieur envisagé 2) Le contexte dans lequel les données ont été collectées, notamment la relation entre les personnes concernées et le responsable du traitement 3) La nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel {…} ou si les données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées 4) Conséquences possibles du traitement ultérieur envisagé pour les personnes concernées 5) Existence de garanties appropriées (ex chiffrement ou pseudonymisation) Le responsable doit exposer les indices de retraitement auprès de l’autorité. 34 Section 2 : Le principe de minimisation Article 5.1.c RGPD et 4.1.c Directive = « Les données à caractère personnel doivent être {…} adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le responsable de traitement doit s’efforcer de collecter le moins possible au regard de la finalité poursuivie. Ce principe est cardinal ! Exemples : − Une plateforme de jeu vidéo en ligne avec un serveur par région du monde et on a besoin de situer la personne pour savoir le serveur à utiliser. On doit aller à la donnée la moins discriminante possible : il est inutile de demander l’adresse précise. − Un blog voulant savoir la moyenne d’âge des utilisateurs : on peut demander la tranche d’âge et non la date d’anniversaire. − Acadomia et les enseignants écrivaient des informations personnelles sur les serveurs (ex stade de cancer) L’autorité de contrôle tolère que l’on puisse collecter plus que ce qui est strictement nécessaire, mais il faut lui demander explicitement, lui exposer les finalités déterminées. Le principe de minimisation des données doit être intégré d’emblée dans le processus de conception du traitement selon l’article 25.1 RGPD. Il faut avoir intégré les principes protecteurs du RGPD dès le moment de la détermination du principe et des moyens du traitement de ces données : − Principe de minimisation des données − Principe de transparence − Moyens de contrôle par la personne concernée de ses données − Sécurité des données − Pseudonymisation (art. 4.5 RGPD et 3.5 Directive) : traitement de donnée à caractère personnel de telle façon que celle-ci ne puisse plus être attribuée à une personne déterminée précise sans avoir recours à des informations supplémentaires. En réalité, l’anonymisation est presque impossible à réaliser à la vue des moyens techniques à disposition. La protection des données par défaut. Quand on a différentes modalités possibles de collectes, le choix doit se porter sur le moins impactant : La proposition par défaut doit être celle qui offre le plus haut degré de confidentialité. Les données ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. 35 Section 3 : Le principe de licéité Pour la Directive 206/680 police-justice, la licéité d’un traitement se confond en partie avec le critère de sa légalité, en ce sens que le traitement doit être prévu par la loi. Article 8.1 Directive = « Les Etats membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un Etat membre » Deux conditions : 1) Nécessaire à l’exécution d’une mission effectuée par une autorité compétente 2) Fondé sur le droit de l’Union ou le droit d’un Etat membre L’article 8.2 exige que la disposition qui réglemente le traitement relevant du champ d’application de la présente directive précise au moins : 1) Les objectifs du traitement 2) Les données à caractère personnel devant faire l’objet d’un traitement 3) Les finalités du traitement §1/ Fondements légaux applicables à tous traitements (RGPD) Le RGPD prévoit six fondements possibles pour un traitement de données à caractère personnel : 1) Le contexte contractuel 2) Le respect d’une obligation légale 3) La sauvegarde des intérêts vitaux d’une personne 4) L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique 5) Le traitement nécessaire aux fins légitimes poursuivies par le responsable de traitement 6) Le consentement Remarque : il existe donc cinq cas dans lesquels le traitement de données à caractère personnel n’exige pas le recueil du consentement. A/ Le contexte contractuel L’article 6.1.b RGPD : « Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ». Cas des mesures précontractuelles prises à la demande des personnes concernées. Les mesures précontractuelles doivent bien être prises à la demande des personnes concernées. Cas du traitement des données nécessaires à l’exécution d’un contrat. C’est un cas dont instinctivement on peut comprendre l’opportunité. Mais il a comme difficulté que ses frontières sont difficiles à tracer. Exemples : 36 − Si on achète un lave-vaisselle et que l’on demande à être livré, il n’y aura pas besoin d’avoir un consentement explicite du traitement des données postales nécessaires au déroulement du contrat conclu. − Traitement de données de la carte bancaire pour un achat. Le traitement doit être objectivement nécessaire. Il faut se demander s’il est possible de fournir le service sans collecter ladite donnée. Piège : il est toujours possible de faire autrement (ex il est toujours possible de payer par espèce et non par carte bancaire). Exemple : L’architecte doit savoir combien il y a de pièces, l’adresse, les canalisations… cad une cartographie de l’appartement pour travailler. = L’appréciation de la nécessité va dépendre de l’appréciation de la finalité. Si la finalité est suffisamment déterminée, on peut déterminer ce qui relève de l’exécution du contrat et ce qui relève d’autre chose. L’appréciation doit tenir compte de l’attente raisonnable de la personne concernée. Si on explique à la personne pourquoi son traitement est nécessaire pour faire ce qu’elle demande, la question est de savoir si elle trouvera cela évident. Ce concept ne doit pas s’entendre comme une simple évaluation de ce qui est prévu par le contrat, mais indépendamment de ce que prévoit le contrat. S’il suffisait d’écrire dans le contrat que l’on considère que telle chose est nécessaire au contrat, tout y passerait. C’est le juge ou l’autorité de contrôle qui apprécie indépendamment de la nécessité du traitement. = La simple mention d’un traitement dans les clauses d’un contrat ne le rend pas « nécessaire » au sens de cette disposition. On ne saurait recourir au consentement pour couvrir l’incertitude liée à l’applicabilité de ce fondement. Cela peut paraitre sévère. En réalité, elle est assez fondée : Elle fait miroir à l’obligation du responsable de traitement de déterminer les finalités du traitement : si l’on a bien déterminé ces finalités, il va apparaitre clairement si cela est nécessaire ou non à l’exécution du contrat. Si l’on permet au consommateur de donner son consentement, on opère une confusion entre le consentement au contrat et le consentement à un traitement de données au sens du RGPD car ce sont des fondements différents et non soumis aux mêmes exigences. Le CEPD énonce que la nécessité à l’exécution du contrat n’est pas un fondement valable pour les traitements qui naissent de l’inexécution du contrat, ce qui peut être discutable. Si c’est une question de garantie contractuelle, en revanche la nécessité à l’exécution du contrat est un fondement valable pour les traitements. 37 B/ Le respect d’une obligation légale Dès que le droit interne ou le droit de l’UE oblige une personne à traiter des données pour se conformer à une obligation légale, alors le consentement de la personne n’est pas nécessaire. Source de l’obligation, droit interne ou de l’Union. Une personne, dès lors qu’elle relève du champ d’application du RGPD, ne peut se fonder sur un droit étranger. L’obligation « légale » doit être entendue dans son sens matériel. La norme doit être claire et précise et rendre le traitement prévisible pour le justiciable. Il faut s’assurer que le traitement est bien nécessaire pour satisfaire la norme. Si jamais il peut être démontré qu’il est possible de satisfaire à l’obligation légale sans traiter de données, on est en infraction avec le RGPD. Le fondement est caractérisé dès lors que le traitement contribue à une application plus efficace de la règlementation considérée. Il faut respecter le principe de minimisation des données. S’il est possible d’aboutir au résultat envisagé par la loi avec des traitements moins gênant, il y aura infraction. Le responsable de traitement doit ainsi documenter son traitement, garder les traces des raisonnements opérés. Exemples : − Le traitement par les employeurs des données à caractère personnel pour exécuter le prélèvement à la source ou obéir aux règles de la sécurité sociale. − Le traitement par la banque de documents d’identité pour l’ouverture d’un compte au regard du respect de la législation anti-blanchiment. → La personne n’a pas à donner son consentement au traitement mais ne peut non plus s’y opposer ou demander la suppression de ses données. C/ La sauvegarde des intérêts vitaux d’une personne Il s’agit des hypothèses qui mettent en jeu la vie d’une personne. L’exemple-typique est la personne que l’on amène en urgence à l’hôpital.

European Committee on Data Protection PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue