Data Protection PDF

Summary

This document provides a historical overview of data protection laws. It covers the evolution of privacy rights and legislation stemming from the use of computers and internet technology.

Full Transcript

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
→ enjeu de mise en conformité des entreprises au RGPD
Le droit de la protection des données à caractère personnel trouve son origine dans le droit au respect de la
vie privée.
(Ce droit a été conceptualisé en 1899 dans un article de la Harvard Review)
La consécration de ce droit comme autonome n’existe que depuis les années 50 (hyper récent).
La naissance de l’informatique va démarrer l’histoire de cette matière, notamment et surtout le terme de «
donnée » à protéger (avant l’on ne parlait que des informations)
Définition donnée : « terme mathématique : certaines choses ou quantités, qu’on suppose être données
ou connues et dont on se sert pour trouver d’autres qui sont inconnues et que l’on cherche ».
Informatique : contraction de « information » et « automatique » : application de procédés automatisés
Ce sont les dangers de l’informatiques qui sont à l’origine de l’idée de protection de ces données. Les
ordinateurs calculent des informations avec des bases de données qu’ils stockent de manière indéfinie.
La loi « informatique et liberté » est donc un projet qui visait à s’opposer au projet Safari de l’État français
qui voulait ficher tout le monde.
Aujourd’hui, ces dangers sont exacerbés par l’apparition d’Internet et des courriels, ce qui permettait de
fouiller les mails d’autrui. Puis vînt le téléphone portable que l’on peut espionner et surtout le smartphone
qui contient l’intégralité de notre vie privée.
(La législation a suivi l’évolution de ces dangers (directive de 1995 de la CE et le RGPD))
Cependant aujourd’hui on assiste à la prise d’ascendant de pouvoir du droit de la protection des données
par rapport à la vie privée.
➔ Il faut faire la différence entre la vie privée et les données personnelles et ne pas amalgamer ces
deux domaines.
I. Principaux textes et leurs champs d’application
II. Les acteurs
III. Les principes structurants
IV. Droit des personnes concernées
V. Mise en conformité
VI. Transferts internationaux
VII. Aspects contentieux

1

Chapitre 1 : Principaux textes et leurs champs d’application
Section 1 : Évolution des textes
- la première loi fût suédoise (11 mai 1973)
- suivie d’une loi de la RFA (1976).
• Loi Informatique et Liberté du 6 janvier 1978
Dans cette loi on retrouve des principes comme :
- l’idée d’autorisation préalable nécessaire pour des traitements par une personne publique - la
nécessité d’une déclaration pour les traitements réalisés par d’autres personnes - Octroie des
droits aux individus (opposition, modification, suppression etc…) - Dispositions spéciales pour
les données relatives aux origines raciales ou opinions politiques
- « Aucune décision de justice impliquant une appréciation du comportement humain ne peut avoir
pour fondement un traitement automatisé d’informations donnant une définition du profil ou de
la personnalité de l’intéressé »
Cette loi fut un succès, à tel point qu’elle a inspiré la
• Directive européenne 95/46 du 24 octobre 1995 « relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation de ces données »
Le législateur français a donc évidemment transposé cette directive : loi du 6 août 2004 : - Augmentation
des pouvoirs de contrôle a posteriori de la CNIL et la limitation des contrôles a priori - Renforcement
des pouvoirs de la CNIL
- Création du CIL (correspondant informatique et liberté)
- Introduction du principe selon lequel la durée de conservation des données doit être proportionnelle
à sa finalité (art. 6)
- Introduction d’exceptions nouvelles à l’interdiction de traiter des données sensibles (origines raciales,
santé, opinion…) (art. 8)
- Introduction du principe d’interdiction du transfert des données à caractère personnel vers un État
n’appartenant pas à la Communauté Européenne (si niveau protection pas suffisant)

Entretemps : adoption de la Charte des Droits Fondamentaux de l’UE en 2000, surtout l’article 8 2

1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données
doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne
concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder
aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.
S’ensuivent l’évolution des technologies (installation d’internet, le commerce électronique, l’avènement du
smartphone, les réseaux sociaux et la monétisation des données etc…)
Pour pallier aux distinctions au sein des pays de l’UE suite à la transposition de la directive 95, l’UE a jugé
nécessaire d’adopter un règlement européen
• RGPD + Directive nº 2016/860 « Police Justice » (27 avril 2016)
• Loi du 24 janvier 2016 en France
→ modernisation des données relatives à la santé
• Loi du 7 octobre 2016 (« république numérique »)
→ a élargi les pouvoirs de la CNIL
• Loi du 20 juin 2018
→ tire les conséquences du RGPD car elle modifie la CNIL pour la rendre conforme au règlement (devient
instance de contrôle) et pour fixer la position française sur les questions laissées ouvertes aux États
membres
• Ordonnance du 12 décembre 2018 (refonte de la loi de 1978 pour la rendre + lisible) •
Décret du 29 mai 2019 (décret d’application loi 1978)
Mais il existe déjà une législation spécialisée malgré l’apparition du RGPD (loi de 2016 par exemple)
De plus il existe des recommandations et lignes directrices émanant de
- Autorité de contrôle nationales (CNIL p.ex)
- Comité Européen sur le contrôle des données (CEPD)
Ces textes sont certes des recommandations, mais ils ont l’effet de décret d’application (toujours
obligatoire). Techniquement ces textes sont dépourvus de valeur coercitive, mais en pratique ils l’ont.
• Règlement du 23 octobre 2018 sur les traitements de données à caractère personnel par les organes
de l’UE…
• Conventions internationales
➢ CEDH
➢ Convention 108 (ratifiée par 47 pays du Conseil de l’Europe et des pays tiers)

Cette convention vient d’être révisée (Convention 108+)
Alors que la convention 108 a inspiré la RGPD, le RGPD a à son tour inspiré 108+, ce qui a permis de diffuser
des règles européennes hors de l’Europe (île Maurice par exemple).
3

• Projet de règlement e-Privacy : doit uniformiser les règles européennes en matière de
communication électronique (débat sur pédopornographie et les cookies entre autres)
- Actuellement directive 2002/58 du 12 juillet 2002 « concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques »
Quels changements avec le RGPD ?
- Met à jour et unifie les dispositions d’autrefois en + d’introduire des nouveaux points
Mais le RGPD est plus une évolution qu’une révolution !
• Réduction des lourdeurs administratives (passage du système de déclaration préalable à un traitement
de responsabilité : « accountability »)
• Approche basée sur les risques (tests de proportionnalité) : mais pour certains traitements, c’est à moi
d’estimer les risques de mes actions (balance à effectuer)
• Meilleure prise en compte de la confidentialité des données à la conception des traitements (AIPD,
confidentialité par défaut, etc.)
• Renforcement des conditions de validité du consentement (si requis)
• Obligation généralisée de notification en cas de violations de données à caractère personnel •
Encadrement de l’utilisation du profilage
• Meilleure prise en compte et responsabilité accrue des sous-traitants
• Rôle important des Délégués à la protection des données (ex. CIL)
• Nouveaux droits pour les personnes concernées (ex. légalisation droit à l’oubli, droit à la portabilité
des données)
• Organisation des autorités de contrôle : guichet unique avec une autorité chef de file •
Augmentation sensible des sanctions
• Élargissement du champ d’application territorial du dispositif de protection (champ d’application
extra-territorial du RGPD dès lors que les personnes concernées ont une influence en UE).
Quid des spécificités de la directive « Police-Justice » ?

• Pourquoi cette directive existe-t-elle ?
C’est lié à la spécificité du droit pénal → les mis en enquête n’auront pas les mêmes droits contre le système
pénal que ceux que l’on pourrait en avoir contre un GAFA par exemple
4

Donc la directive adapte ces idées dans le considérant 49
Principes généraux = ceux du RGPD, mais adaptés à la nécessité de l’enquête !
• Pourquoi ne pas intégrer ces principes au RGPD ?
Les compétences de l’UE en matière pénale sont limitées (compétences de coordination, coopération, mais
ø uniformisation)
La directive est donc ici bien + adaptée qu’un règlement (- brute)
• Fondement de la règlementation européenne des données en la matière
➢ Article 16 § 1 TFUE : (à copier)
➢ Article 87 TFUE : (à copier)
Considérants de la directive : « faciliter le libre flux des données à caractère personnel entre les autorités
compétentes » en matière pénale « assurer un niveau élevé et homogène de protection des données à
caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel
etc… »
Mais il ne faut pas oublier que les autorités pénales compétentes seront parfois amenées dans le cadre des
traitements d’appliquer le RGPD car l’affaire échappe au champ d’application de la directive
(cauchemardesque pour les autorités en question)
Section 2 : Champ d’application des textes
Précisions opportunes pour 2 textes : le RGPD & la directive Police-Justice
I/ Le RGPD
A. Champ d’application matériel
1. Définition positive du champ d’application
Article 2 § 1 : « Le présent règlement s'applique au traitement de données à caractère personnel,
automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier ».
→ 2 concepts cruciaux : traitement et données à caractère personnel
a) Donnée à caractère personnel

Définition Article 4 § 1 : « données à caractère personnel », « toute information se rapportant à une
personne physique identifiée ou identifiable » (ci-après dénommée « personne concernée » : en anglais «
data subject »).

5

Décortiquons :
1- Le RGPD ne s’applique qu’aux personnes physiques
Mais les personnes morales disposent néanmoins d’autres protections :
➢ Directive 2002/58/CE (e-privacy) → intérêts légitimes des personnes morales à se voir protégée ➔
Projet de règlement e-privacy alignerait le droit des personnes physiques à celui des personnes morales
La CEDH accepte depuis longtemps (Article 8 CEDH) que des personnes morales puissent se prévaloir du
respect de certains aspects du droit au respect de la vie privée (comme le secret des correspondances) (≠
pour la Cassation).
L’article 52 de la CDF énonce à son alinéa 3 que les droits conférés par la charte sont les mêmes que ceux de
la CEDH.
2- Le RGPD ne s’applique qu’aux personnes vivantes
➔ Le droit au respect de la vie privée s’éteint le jour du décès !
Néanmoins les États membres peuvent légiférer comme ils le veulent sur cette question et faire comme bon
leur semble dans ce silence législatif.
Loi pour une République numérique : Art. 86 à 88 de la loi informatique et liberté : on peut confier des
directives à un tiers concernant le traitement des données après son décès.
→ À défaut, les héritiers peuvent exercer les droits de la personne décédée dans les mesures nécessaires à
l’organisation et au règlement de leurs successions, afin d’obtenir des biens numériques appartenant à des
souvenirs de famille & afin de faire prendre en compte le décès du proche.
Si le RGPD ne s’applique pas aux décédés, ce jeu de données peut quand même être protégé à travers des
personnes vivantes.
Question : Le RGPD s’applique-t-il aux enfants à naître ?
→ 2 courants (ø de personnalité juridique vs. Maxime romaine)
La Cour de Cassation, arrêt du 14 décembre 2017, a redonné ses lettres de noblesse au 2nd courant au fil
des dernières années, ce qui concrétise le débat.
De plus, il s’agit de revoir l’article 4 § 1 « toute information se rapportant à la personne » : comme la donnée
se rapporte à l’enfant à naître, donc l’extension du infans conceptus serait envisageable.

Quid avant la naissance ? Les données pourraient être protégées à travers la protection de la mère
➔ mais ses données génétiques lui sont propres ! Quel statut conférer à ces données ?
• Option 1 : Aucune protection avant la naissance
• Option 2 : protection anticipée conforme au RGPD (sauf si l’enfant ne nait ø vivant et viable) 6
3- Le RGPD s’applique à « toute information » dès lors qu’elle concerne une personne identifiée ou
identifiable :
• Informations objectives (taille etc…)
• Informations subjectives (commentaire sur ma personne etc…)
• Informations écrites, photos, vidéos
• Informations relatives à la vie personnelle
• Informations relatives à la vie professionnelle
4- Le RGPD s’applique à la donnée à caractère personnel peu importe le support de son information
• Numérique
• Analogique (papier, vinyle etc…) NB : le papier ne compte que s’il est classé & si c’est moi qui ai écrit,
cela pourra aussi me concerner !
5- L’information doit se rapporter à une personne physique « identifiée ou identifiable »
Idée : Soit la donnée permet, soit elle peut permettre ou y concourir à singulariser une personne parmi
d’autres.
• Personne identifiée : identification découle de la consultation de la donnée (photo, noms distinctifs)
Ici c’est la taille de l’échantillon qui compte (ø le cas avec le nom Jean Martin p.ex) • Personne identifiable
: 2 cas de figure
1er cas de figure : je peux remonter à l’identité de la personne en croisant les données que j’ai avec une
autre base de données (exemple : numéro de sécurité sociale, pseudo, adresse IP, géolocalisation,
métadonnées etc…)
2nd cas de figure : n’aboutissent ø à l’identification précise d’une personne en cas de croisement de base de
données, mais permettent de cerner/singulariser une personne unique inconnue (exemple : la personne
achète du shampooing pour cheveux blonds).
→ permet de connaître toute forme de trace qu’une personne laisse.
Exemples : La voix, éléments relatifs au psychisme (test de Rorschach), mais surtout le webtracking !
Considérant 26 du règlement évoque cependant des « moyens raisonnablement susceptibles d’être
utilisés »: (…) Pour déterminer si une personne physique est identifiable, il convient de prendre en

considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du
traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement,
tels que le ciblage.
(…) il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de
l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment
du traitement et de l'évolution de celles-ci. (…) »
7

➔ Ici on parle bien sûr des États, qui ont bcp plus de moyens que le commun des mortels
Une donnée qui ne remplit ø les conditions de l’article 4 § 1 RGPD se trouve ipso facto constituer une
donnée à caractère non personnel (Règlement 2018/1807 du 14 novembre 2018)
• Donnée n’ayant jamais eu le caractère de donnée personnelle
• Données anciennement à caractère personnel mais qui ont fait l’objet d’une anonymisation
Un pays n’a pas le droit de restreindre le libre flux des données à caractère non personnel. b) Un
traitement

Article 4 § 2 : traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel,
telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou
la destruction ».
➔ Absolument TOUT rentre dans cette définition
De plus il faut s’attarder sur « effectuées ou non à l'aide de procédés automatisés »
• Un traitement automatisé concerne tout traitement dans lequel la main humaine n’intervient pas. •
Un traitement non-automatisé concerne tout traitement fait à la main.
Quid du terme fichier ? (revoir Article 2 § 1)
Le terme de fichier ne doit ø être compris dans son sens informatique, mais dans son sens historique (lieu
où l’on rassemble des fiches), en anglais, « filing system ».
Article 4 § 6 RGPD : fichier : « tout ensemble structuré de données à caractère personnel accessibles selon
des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle
ou géographique ».
La CJUE a précisé les contours du terme fichier dans une décision du 18 juillet 2018 (Johovan todistajat). Les
notes que les témoins de Jéhovah pouvaient-elles être qualifiées de fichier au sens de la directive de 1995
(à l’époque).

Selon la CJUE, le critère et la forme sous lesquelles sont structurées les données sont sans importance, dès
lors que l’ensemble de donnée permet de retrouver facilement les données d’un individu. → revient à
expurger de la notion de fichier le concept de structuration.
2. Les traitements échappant au RGPD
- Traitement effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit
de l’UE ».
8

Article 6 § 2 du TFUE : on ne peut pas se fonder sur les droits fondamentaux pour étendre les compétences
de l’UE (donc ø CDF)
De plus, certains domaines relèvent de la compétence de l’UE, mais les traitements impliqués relèveront du
règlement 2018/1/1725 du 23 octobre 2018
Donc il faut tourner son regard vers les traités : le TFUE cite plusieurs compétences
➢ Compétences exclusives de l’UE (impliquant l’application du RGPD): L’union douanière, la politique
commerciale commune etc…
➢ Compétences partagées de l’Union (impliquant l’application du RGPD si traitement) : la politique sociale,
la santé publique, aide humanitaire etc…
➢ Compétences d’appui (RGPD si traitement) : protection civile, la jeunesse, la coopération administrative
etc…
➔ Le champ est extrêmement vaste ! Tous les domaines importants de la vie d’une personne physique
sont concernés par le droit de l’UE.
Qu’est-ce qui n’est pas concerné par le droit de l’UE ?:
- Les activités de renseignements des États
- Le traitement des données par un Parlement sur ses parlementaires
- Traitement effectué « par les États membres dans le cadre d’activités qui relèvent du champ
d’application du chapitre 2 du titre V du TFUE » (politique étrangère et de sécurité commune /
PESC). Tout ce qui concerne la PESC = échappe au RGPD.
- Traitement effectué « par une personne physique dans le cadre d’une activité strictement
personnelle ou physique ».
Exemple : fiche de contacts de mon téléphone, albums photos, activité de prêche, ma caméra personnelle
qui filme une partie de l’extérieur (sauf si cela filme un peu dehors, alors RGPD).
Néanmoins d’autres normes doivent aussi être respectées même si elles ne font pas partie du RGPD (secret
des correspondances etc…).
- Tous les traitements effectués dans le champ de la directive Police Justice

B. Champ d‘application territorial
Pour qu’un traitement soit soumis au RGPD, il faut qu’il ait un certain lien avec le territoire européen. Le
règlement emploie l’expression « territoire de l’Union ».
⇨ En réalité, le territoire concerné est plus largement celui de l’Espace économique européen (les pays de
l’UE augmentés de l’Islande, de la Norvège et du Lichtenstein.)
9

Le champ d’application territorial du RGPD est couvert par son article 3 prévoyant trois critères de
rattachement :
1) Soit le traitement est réalisé dans le cadre d’un établissement de l’Union
2) Soit il cible des personnes concernées se trouvant dans le territoire de l’Union
3) Soit il est le fait d’un responsable de traitement situé dans un lieu dans lequel le droit de l’UE s’applique
1. L’activité d’un établissement sur le territoire de l’Union
Hypothèse classique mais sa mise en œuvre suscite un certain nombre de difficultés.
L’article 3.1. RGPD dispose qu’il s’applique à toute personne physique ou morale dont l’établissement est
situé sur le territoire de l’Union, même si le traitement a lieu en dehors de l’Union et indépendamment de
la situation géographique des personnes concernées.

⇨ Dans une telle hypothèse, on doit remplir une des conditions du Chapitre V du RGPD gérant le transfert
de données vers le pays tiers.
La notion d’établissement, contrairement à celle d’établissement principal, n’est pas définie par le RGPD.
Mais il recèle néanmoins dans son considérant 22 la définition d’un établissement.
⇨ L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable.
La CJUE a eu l’occasion de préciser sous l’empire de la directive de 1995 comment il convient d’entendre la
notion d’établissement, repris par le CEPD.
Elle adopte une vision souple, écartant toute approche formaliste :
⇨ Elle considère que la simple présence d’un représentant peut suffire à constituer un établissement
Ce qui compte est :
a) Une stabilité de l’installation
b) Une réalité de l’exercice de celle-ci sur le territoire
→ toute activité réelle et effective, même minime, exercée au moyen d’une installation stable.