Data Protection and Privacy Law PDF
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document discusses the legal framework for data protection, specifically focusing on the General Data Protection Regulation (GDPR). It explains the requirements for data processing, consent, and exceptions, including cases of vital interests and public interest.
Full Transcript
Ce fondement ne peut être utilisé que si le traitement des données « ne peut manifestement pas être fondé sur une autre base juridique » (considérant 46 du RGPD). Il faut combiner les dispositions avec l’article 9 RGPD (dont les données de santé) relatif aux données à caractère sensible : on doit ap...
Ce fondement ne peut être utilisé que si le traitement des données « ne peut manifestement pas être fondé sur une autre base juridique » (considérant 46 du RGPD). Il faut combiner les dispositions avec l’article 9 RGPD (dont les données de santé) relatif aux données à caractère sensible : on doit appliquer à la fois l’article 6 qui regroupe les fondements à caractériser pour toute donnée et ledit article 9. Article 9.2. C) : L’interdiction du traitement de données sensibles ne s’applique pas si « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, 38 dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ». = Le champ est plus large que la personne inconsciente, même si on se figure cette hypothèse. → Le traitement de données médicales sur le fondement de l’article 9.2 c) ne peut avoir lieu qu’autant : 1) Qu’il existe une impossibilité physique de consentir 2) Qu’il s’agit d’un mineur non doué de discernement 3) Qu’il s’agit d’un majeur inapte à prendre une décision sur sa situation médicale L’article 6.1 d) n’est pas limité au traitement des données médicales : possibilité d’un traitement sur ce fondement de données non sensibles (échappant donc à l’article 9). « Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ». La partie soulignée est une nouveauté du RGPD. Le consentement du mineur doit être systématiquement recherché s’il est apte a participer à la prise de décision selon le CSP. Donc le médecin peut se dispenser de consulter les parents si le mineur s’y oppose. Donc, de fait, il devrait pouvoir consentir au traitement de ses données. Pour les majeurs protégés, leur incapacité n’est jamais absolue. L’art. 458 prévoit que l’accomplissement des actes purement personnels = pas besoin du représentant. Il faut qu’ils soient incapables de consentir ou non doués de consentement ou qu’il s’agisse d’un majeur jugé inapte pour qu’on lui demande son consentement. Donc, c’est assez large. D/ L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique C’est le droit de l’UE qui détermine la mission pendante à cette catégorie. Le juridique français sera tentée Cas du traitement relevant de l’exercice de l’autorité publique. Exemples : - Base de données des passeports ou des cartes d’identité, le recensement des nationaux d’un pays. - Base de données contenant les informations nécessaires au prélèvement de l’impôt. Cas du traitement réalisés par une entité bénéficiant d’une délégation du service public. Exemples : - Base de données nécessaires pour que le délégataire d’un service public de l’eau puisse exécuter sa mission. E/ Traitement nécessaire aux fins légitimes poursuivies par le responsable de traitement La difficulté essentielle de ce fondement est que pour être mis en œuvre, il nécessite un fondement de jugement de proportionnalité. 39 Article 6.1 f) RGPD : « Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ». 1. Quel est mon intérêt légitime ? Le G29, l’ancêtre du RGPD, émettait une distinction entre la finalité et l’intérêt. La finalité est « la raison spécifique pour laquelle les données sont traitées : le but ou l’intention de leur traitement » (WP 217, p.26). L’intérêt est « l’enjeu plus large poursuivi par le responsable du traitement, ou le bénéfice qu’il tire – ou que la société pourrait tirer – du traitement » (WP 217 p.26). L’intérêt doit être licite, réel et présent. = C’est pourquoi l’intérêt doit être énoncé de manière suffisamment claire et précise pour permettre une mise en balance avec les intérêts de la personne concernée. Le responsable de traitement doit documenter son raisonnement. Exemples d’intérêts légitimes : − Sécurité des personnes (ex badging ou vidéosurveillance) − Prévention de la fraude − Assurer la sécurité des données − Gestion administrative interne des données des employés − La prospection directe. Action de prospection. La Directive e-privacy du 12 juillet 2002 sur « le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques » (art. 13). Cet article a été transposé à l’art. L.34-5 du Code des postes et des télécommunications. Principe : Interdiction de réalisation d’une prospection directe via automate, télécopieur ou courrier électronique sans consentement préalable. Exception : une prospection directe est licite si : − Les coordonnées du destinataire sont recueillies directement auprès de lui {…} à l’occasion d’une vente ou d’une prestation de services ; − La prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale ; − Le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé. Le RGPD, art. 21§2 prévoit un droit à s’opposer a recevoir des publicités. 40 L’intérêt légitime de qui ? C’est le responsable de traitement qui aura un intérêt légitime. Mais le RGPD prévoit que l’intérêt légitime peut être celui d’un tiers. G29 Ligne directrice = Diffusion ou communication de données à caractère personnel réalisée dans l’intérêt de tiers à des fins de transparence et/ou de responsabilité. Mais cela ne concerne pas l’intérêt de la personne concernée. Illustration de la concurrence entre le RGPD et les principes antérieurs : liberté d’expression et de communication c/ le droit au respect de la vie privée. Le RGPD exclut que les autorités publiques puissent se fonder sur leur intérêt légitime pour mettre en œuvre un traitement qui relève de l’exécution de leur mission. On a peur que les autorités publiques multiplient les traitements alors que l’objectif est de les limiter. 2. Le traitement est-il absolument nécessaire ? La nécessité est un aspect du principe de limitation du traitement - Il ne faut pas que le recueil de la donnée serve un autre objectif que celui de la finalité présentée. Le RT doit se demander s’il n’existe pas un moyen moins intrusif pour assouvir la finalité considérée. 3. Mise en balance de l’intérêt légitime et des droits et libertés de la personne concernée Le G29 propose une approche en quatre temps : a) Appréciation de l’intérêt légitime du responsable du traitement ou du tiers - Lorsque l’intérêt du RT épouse celui d’un droit fondamental (ex liberté d’expression, liberté d’entreprendre), l’intersection est de nature à renforcer le poids de son intérêt. - L’intersection de l’intérêt légitime avec un intérêt public ou un intérêt de la collectivité renforce le poids de cet intérêt. - Le fait que le traitement soit permis par le droit d’un Etat ou de l’UE ou encore encouragé par des orientations non contraignantes renforce le poids de cet intérêt. - Les attentes culturelles et sociétales peuvent aussi jouer un rôle et renforcer le poids de cet intérêt ou contre lui (et en faveur des personnes concernées). b) Incidence sur les personnes concernées L’incidence doit être comprise de manière très large en ce qu’elle dépasse la notion de préjudice ou de violation des données. Il s’agit de prendre en compte toutes les conséquences potentielles ou effectives du traitement des données. i. Les conséquences négatives doivent être analysées et peuvent être diverses : - Traitement pouvant conduire à des décisions discriminatoires ou portant atteinte à certaines libertés (ex atteinte à la réputation, au pouvoir de négociation, à l’autonomie de la personne) 41 - Les répercussions morales résultant d’un sentiment de perte de contrôle sur ses données ou de la découverte d’une utilisation abusive de ces informations. ii. La nature des données influe sur l’importance de l’incidence. iii. La probabilité qu’un risque identifié se concrétise doit être prise en compte (ex potentiel intrusion dans les données). - La gravité des conséquences liées à la réalisation du risque doit être prise en compte iv. Le statut des personnes impliquées doit être pris en compte = plus le responsable de traitement est important (ex Google), plus il doit faire attention. Chaque catégorie de personnes peut avoir des problématiques qui leurs sont propres (ex d’un salarié vulnérable qui ne peut pas se défendre car sinon est viré mais a besoin de son travail, en fonction de l’âge) c) Balance provisoire Exercice délicat pour le responsable de traitement qui doit analyser la situation et plus particulièrement la légitimité de son intérêt à prévaloir au regard de l’attente raisonnable des personnes concernées. Le G29 donne des exemples de mise en balance : - Les responsables de traitement peuvent avoir un intérêt légitime à connaitre les préférences de leurs clients. Mais si le responsable de traitement compile d’importants volumes de données de différents sites web visités par la personne en reconstituant un profil de cette personne précisément, le RT (responsable de traitement) dépasse les limites de l’intérêt légitime. Mais, possibilité d’apporter des garanties supplémentaires pour corriger les problèmes. d) Garanties supplémentaires Il est possible de limiter les atteintes et incidences de plusieurs manières : - Limitations strictes du volume de données collectées ; - Suppression immédiate des données après utilisation ; - Mesures techniques et organisationnelles visant à garantir une séparation fonctionnelle ; Utilisation appropriée de techniques d’anonymisation ; - Agréger les données ; - Augmenter la transparence ; - Etc. Le droit d’opposition inconditionnel (art. 21). Limite → ø un droit discrétionnaire : il y a une condition pour pouvoir s’opposer : « pour des raisons tenant à sa situation particulière ». Une garantie supplémentaire consiste à l’acceptation inconditionnelle de l’opposition, alors qu’en théorie il aurait dû démontrer que sa situation économique est telle qu’il peut légitimement s’y opposer. 42 Deux autres limites au droit des personnes concernées : 1) Motifs légitimes et impérieux pour le traitement qui prévalent sur les droits et libertés de la personne concernée 2) La constatation, l’exercice ou la défense de droits en justice Se prévaloir d’intérêt légitime peut ainsi être périlleux. Le RT doit documenter son raisonnement. F/ Le consentement Le consentement parait être un choix plus sûr. Mais les autorités de contrôle ne voient pas d’un bon œil le fait de se tourner vers le consentement lorsque l’on peut se baser sur un autre fondement car chaque fondement a une raison d’être. Le consentement est un fondement exigeant. 1. Avantages - Le consentement permet de jouer « carte sur table » avec la personne concernée. Il s’agit de l’une des voies d’accès à des traitements particuliers de données. Exemples : - Traitements de données sensibles (art. 9.2 a) - Traitements automatisés, par algorithme, pouvant produire des effets juridiques sur la personne ou l’affectant de manière significative (art. 22.2 c) - Il s’agit de l’une des voies d’accès à un transfert en dehors de l’UE/EEE. - Un autre avantage est la sécurité, à l’abri de l’illégalité du traitement. 2. Les dangers et inconvénients Le consentement RGPD doit être recueilli selon des modalités qui doivent impérativement être respectées. Sans ça, privation de base légale du consentement. 1) Le consentement doit être positif = l’objectif est d’empêcher le responsable de traitement de jouer sur le biais d’inertie. 2) Le consentement doit être libre et réel : Article 7.4 RGPD = question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » La CJUE a affirmé que le consentement n’est pas donné librement quand les stipulations contractuelles sont de nature à induire la personne en erreur quant à la possibilité de conclure ce contrat sans consentement au traitement des données. Exemples : Les boites de dialogue qui disent qu’il faut accepter pour continuer 43 Question des cookie walls dont l’illégalité est débattue. Le CE invalide une partie des lignes directrices de la CNIL qui disaient que cette pratique est interdite. Attention à la portée : le CE dit juste que la CNIL produit du droit souple et n’a pas le droit de poser des règles, a dépassé ses pouvoirs. Pour le CEPD, les cookie walls sont illicites, mais tant que la CJUE ne dit pas que c’est illicite dans son interprétation du RGPD, ce ne le sera pas. La CNIL a déterminé une politique déterminée (2020) contre les cookies et traceurs. Elle procède à des contrôles, à des mises en demeure. Exemples : - La CNIL a prononcé une sanction de 60 millions contre Google, 40 millions contre Google Irlande et 60 millions contre Amazon. - Sanctions plus modestes comme Le Figaro de 50 000 euros. La case de consentement pré-cochée est une violation flagrante du RGPD. Exemples : - Google et une sanction à 50 millions. - CJUE ; 1er octobre 2019 ; Planet 49 = La CJUE a énoncé que le consentement à des cookies n’est pas valablement recueilli si la case « J’accepte » est cochée par défaut. Le consentement doit être positif. 3) Le consentement doit être granulaire = l’utilisateur doit pouvoir consentir séparément chacune des finalités envisagées. Article 7.2 RGPD = « Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions ». Exemple : quand on a une cookie box, on doit pouvoir accepter ou refuser chacune des finalités différentes et il sera possible d’avoir un bouton « Accepter tout ». 4) Exigence de clarté dans l’explication du consentement requis Article 7.2 RGPD = « La demande de consentement est présentée {…} sous une forme compréhensible et aisément accessible et formulée en des termes clairs et simples ». Exemple : Le fait de devoir faire des allers-retours entre différents documents a été jugé contraire au RGPD. Il faut être plus fin dans la manière de faire ➔ Le consentement peut être retiré. Article 7.3 RGPD = « La personne concernée a le droit de retirer son consentement à tout moment {…} Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait ». 44 Article 7.3 RGPD = « La personne concernée en est informée avant de donner son consentement {…} Il est aussi simple de retirer que de donner son consentement » 3. Consentement des mineurs Règle particulière à l’hypothèse de l’offre directe de services de la société de l’information aux enfants (= internet). Par principe licite que s’il est âgé d’au moins 16 ans, mais marge de manœuvre des Etats, dans la limite d’un âge minimal de 13 ans. En France c’est 15 ans. - Si âge requis non atteint, c’est le « titulaire de la responsabilité parentale » qui doit donner le consentement. Hormis Internet, une personne de moins de 18 ans ne peut pas consentir seul à l’exploitation de ses données, à moins qu’on considère que cela rentre dans les usages de la vie courante. Nota Bene Le consentement et la directive Police-Justice Le Considérant 35 souligne que toutes les fois que les autorités demandent ou ordonnent à des personnes de livrer des données à caractère personnel, on ne saurait dire que le consentement est une base de traitement car les personnes n’ont pas le choix. « Cela ne devrait pas empêcher les Etats membres de prévoir par la loi que la personne concernée peut consentir au traitement de données à caractère personnel la concernant aux fins de la présente directive, par exemple pour des tests ADN dans des enquêtes pénale sou le suivi de sa localisation au moyen de dispositifs électroniques dans le cadre de sanctions pénales (ex le bracelet). » Ce ne sera pas le fondement du traitement, mais n’exclut pas sa prise en compte. §2/ Conditions supplémentaires propres aux « catégories particulières de données à caractère personnel » Les catégories particulières de données à caractère personnel sont les données sensibles (art. 9 RGPD et 10 Directive). Si les deux textes donnent la même liste de données sensibles, ils différent sur le régime juridique. A/ Dans le cadre de la directive Article 10 Directive = « Le traitement des données à caractère personnel qui révèlent {…} est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement : a) Lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un Etat membre {C’est le cas le plus répandu. Dans les faits c’est au législateur d’apprécier la nécessité de ce traitement} b) Pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique {La vie de la personne est en jeu, mais jusqu’à quel point ?} 45 c) Lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée. » B/ Dans le cadre du RGPD L’article 9 pose un principe d’interdiction assorti d’exceptions. Question : est-ce que l’article 9 RGPD doit être compris comme posant des exceptions s’ajoutant à l’exigence d’un fondement de l’article 6 ou dès lors qu’il y a exception de l’article 9, on peut traiter de données sensibles ? Question non explicitement réglée par le RGPD. Le G29 avait étudié cette question dans le cadre de la directive et retient qu’il faut analyser au cas par cas, cad savoir si en soit l’article 9 prévoit des conditions plus strictes et suffisantes ou s’il y a lieu d’appliquer les deux articles pour une protection complète des personnes. Le RGPD ne tranche pas la question et reste dans la même ambiguïté que la directive. Les autorités de contrôle énoncent la thèse du cumul : en toute hypothèse, il faut avoir un fondement légal de l’article 6 et caractériser une exception de l’article 9. Les lignes directrices du CEPD remarquent au sujet de ce cumul qu’il n’y a rien dans l’article 9 correspondant à l’hypothèse de l’article 6, à savoir les mesures précontractuelles ou l’exécution du contrat. Cas du fondement de la nécessité pour exécution d’un contrat (art. 6.1 sous b)), il faut utiliser l’exception du consentement (art. 9.2 sous a)) si aucune autre n’est applicable. Exemple : On monte une application de rencontre et on a besoin de connaitre les centres d’intérêts. A priori, c’est nécessaire à l’exécution du contrat. Il faudra demander le consentement de l’article 6.1 et l’exception du consentement de l’article 9.1. Ce qui compte n’est pas tant la donnée que le traitement. Article 9.1 RGPD = « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. » C’est bien le « traitement qui révèle » qui est visé ici, plus que les données. Cependant, bien que le principe de l’article 9 est que le traitement de ces données sont interdits, il y a une pluralité d’exceptions : 1) Le consentement explicite de la personne pour une ou plusieurs finalités déterminées, sauf interdiction légale de consentir. 2) Le traitement nécessaire aux fins de l’exécution des obligations et l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale si ce traitement est autorisé par la loi ou une convention collective. 46 3) Le traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique si la personne concernée ne peut consentir. 4) Le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale (si certaines conditions sont remplies). 5) Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée. 6) Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle. 7) Le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre et pour autant que certaines garanties soient respectées. 8) Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale si autorisé par la loi ou en vertu d’un contrat conclu avec un professionnel de santé pour autant qu’il soit astreint à une obligation de secret. 9) Le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux. 10) Le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. § 3. Autres traitements particuliers A. Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions Article 10 RGPD = « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. » Champ d’application par rapport à la directive 2016/680. La directive est la directive relative à la protection des personnes physiques « à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ». 47 Les traitements de l’article 10 RGPD ne participent pas de la mise en œuvre de la répression pénale, mais plutôt constatent ou relatent sa mise en œuvre. La CJUE énonce que : « Les informations concernant une procédure judiciaire menée contre une personne physique telle que celle relatant sa mise en examen ou le procès et, le cas échéant, la condamnation qui en a résulté sont des données relatives aux infractions et aux condamnations pénales au sens de l’article 10 ». => Procédure judiciaire entendue de manière large, indépendamment du fait que la personne a été condamnée ou non. L’article 10 RGPD concerne un nombre plus grand de responsable de traitement : il y a encore plus de gens à commenter le travail de ces autorités. L’article 10 RGPD concerne : - Les traitements sous le contrôle de l’autorité publique - Les responsables de traitement pouvant se prévaloir d’une permission légale si les garanties appropriées pour les droits et libertés des personnes concernées existent Hypothèses de traitements licites des données visées à l’article 10 : 1) Traitements sous le contrôle de l’autorité publique : - Une autorité publique traite des données relatives à des condamnations, mesures de sûreté, mais à des fins autres que la stricte mise en œuvre du processus pénal. Traitements par les autorités publiques ne participant pas strictement de la mise en œuvre de la répression pénale - L’article 46 de la LIL : « Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales