1 00:00:06,510 --> 00:00:10,010 S’agissant des droits de la personnalité et de la protection 2 00:00:10,210 --> 00:00:12,670 des aspects moraux et de la personnalité, je pense qu’on peut 3 00:00:12,870 --> 00:00:17,010 ajouter aujourd’hui un paragraphe 6 dans notre plan et dans ce cours, 4 00:00:17,690 --> 00:00:23,030 un paragraphe 6 consacré au droit à la protection des données à caractère 5 00:00:23,230 --> 00:00:23,990 personnel. 6 00:00:25,030 --> 00:00:28,710 Dès les premiers pas du traitement automatisé des informations par 7 00:00:28,910 --> 00:00:31,290 des machines, par les ordinateurs, c’est l’informatique, 8 00:00:31,490 --> 00:00:35,950 c’est-à-dire ce secteur d’activité relatif au traitement automatique 9 00:00:36,150 --> 00:00:41,570 des informations, on s’est préoccupé en France de préserver les libertés 10 00:00:41,770 --> 00:00:44,370 individuelles que l’on pressentait menacées. 11 00:00:44,570 --> 00:00:47,190 C’était assez bien vu, c’était même très bien vu. 12 00:00:47,830 --> 00:00:53,090 C’est la loi du 6 janvier 1978 relative à l’informatique aux fichiers 13 00:00:53,290 --> 00:00:56,310 et aux libertés, plusieurs fois modifiée par la suite, 14 00:00:56,650 --> 00:01:00,330 mais qui avait été votée et qui a été à l’origine de cette protection. 15 00:01:00,530 --> 00:01:05,310 Cette loi avait mis en place de grands principes énoncés par l’article 16 00:01:05,510 --> 00:01:10,270 1er, notamment le droit de toute personne de contrôler les usages 17 00:01:10,470 --> 00:01:13,590 qui sont faits des données à caractère personnel la concernant. 18 00:01:14,090 --> 00:01:18,410 Ce sont aussi des conditions de licéité, du traitement de données 19 00:01:18,610 --> 00:01:24,650 à caractère personnel posé à l’article 6 de la loi, puis l’institution, 20 00:01:24,850 --> 00:01:27,930 toujours par la loi, d’un organe, une autorité 21 00:01:28,130 --> 00:01:32,350 administrative indépendante, la CNIL, Commission nationale de 22 00:01:32,550 --> 00:01:36,450 l’informatique et des libertés, dotée de plusieurs missions. 23 00:01:37,330 --> 00:01:41,350 La loi avait mis en place un système déclaratif préalable, 24 00:01:41,550 --> 00:01:45,150 une obligation de déclarer, auprès de la CNIL précisément, 25 00:01:45,350 --> 00:01:49,050 tout traitement automatisé d’information, donc toute constitution 26 00:01:49,250 --> 00:01:50,770 de fichiers informatiques. 27 00:01:51,990 --> 00:01:58,790 La loi avait prévu des droits au profit des personnes à l’égard 28 00:01:58,990 --> 00:02:01,950 du traitement de leurs données à caractère personnel, 29 00:02:02,490 --> 00:02:06,710 dont notamment ces fameux droits que vous connaissez parce qu’ils 30 00:02:06,910 --> 00:02:11,150 se sont vite diffusés dans la société française, le droit de s’opposer 31 00:02:11,350 --> 00:02:16,430 au traitement, le droit d’interroger le responsable du traitement pour 32 00:02:16,630 --> 00:02:19,670 savoir quelles sont les informations qu’il a recueillies sur soi, 33 00:02:20,930 --> 00:02:27,010 le droit de rectification à l’article 40 de la loi, le droit d’exiger 34 00:02:27,210 --> 00:02:31,670 l’effacement de données collectées pendant la minorité. 35 00:02:32,650 --> 00:02:35,870 Toute une série de droits, droits d’ailleurs qui s’éteignent 36 00:02:36,070 --> 00:02:40,930 au décès de leur titulaire, c’est l’article 40-1 de cette loi 37 00:02:41,130 --> 00:02:46,270 qui a été ajouté, cet article 40-1, par une loi du 7 octobre 2016. 38 00:02:47,370 --> 00:02:52,770 Toute personne peut cependant définir des directives relatives à la 39 00:02:52,970 --> 00:02:57,790 conservation, à l’effacement et à la communication de ses données 40 00:02:57,990 --> 00:03:01,290 à caractère personnel après son décès. 41 00:03:01,510 --> 00:03:04,750 Ces directives peuvent être enregistrées auprès d’un tiers 42 00:03:04,950 --> 00:03:07,210 de confiance certifié par la CNIL. 43 00:03:08,050 --> 00:03:13,330 Voilà le dispositif mis en place en France, un dispositif pionnier. 44 00:03:13,530 --> 00:03:18,690 Le droit européen a ensuite emboîté le pas au législateur français 45 00:03:18,890 --> 00:03:26,230 avec un règlement, le règlement du 27 avril 2016 relatif à la 46 00:03:26,430 --> 00:03:31,830 protection des personnes physiques à l’égard du traitement des données 47 00:03:32,030 --> 00:03:35,630 à caractère personnel et à la libre circulation de ces données. 48 00:03:36,410 --> 00:03:41,110 Le titre continue en disant qu’il abroge une directive de 1995 sur 49 00:03:41,310 --> 00:03:42,070 le sujet. 50 00:03:42,270 --> 00:03:48,930 C’est un texte-fleuve de 99 articles, je vous le montre devant la caméra, 51 00:03:50,310 --> 00:03:54,750 99 articles, 87 pages du journal officiel de l’Union européenne. 52 00:03:54,970 --> 00:03:55,730 C’est dense. 53 00:03:57,130 --> 00:04:02,410 Ce texte, qui date de 2016, n’a pas été applicable immédiatement, 54 00:04:02,610 --> 00:04:06,710 mais il est applicable depuis le 25 mai 2018 dans toute l’Union 55 00:04:06,910 --> 00:04:10,470 européenne, y compris en France, et il est directement applicable. 56 00:04:10,710 --> 00:04:13,710 Puisque c’est un règlement, il n’a pas besoin d’être transposé. 57 00:04:13,910 --> 00:04:17,210 C’est la différence entre un règlement et une directive. 58 00:04:18,250 --> 00:04:23,210 Ce texte est très intéressant, nous devons le connaître. 59 00:04:24,230 --> 00:04:27,770 Il donne, dans son article 4, toute une liste de définitions 60 00:04:27,970 --> 00:04:31,750 et déjà la définition de ce que sont des données à caractère personnel, 61 00:04:31,950 --> 00:04:33,170 puisqu’on parle beaucoup de ça. 62 00:04:33,370 --> 00:04:38,610 Il s’agit de toute information se rapportant à une personne physique 63 00:04:38,810 --> 00:04:42,790 identifiée ou identifiable, toute information. 64 00:04:43,210 --> 00:04:45,390 Dans les données à caractère personnel, on a tout ce qu’on veut, 65 00:04:45,890 --> 00:04:51,490 la date de naissance, le numéro de téléphone portable ou fixe, 66 00:04:51,750 --> 00:04:55,910 le numéro de carte bancaire, l’adresse, les identifiants divers, 67 00:04:56,210 --> 00:04:57,170 de multiples choses. 68 00:04:59,310 --> 00:05:04,290 Ce texte Règlement général relatif à la protection des données, 69 00:05:04,870 --> 00:05:07,550 on le désigne souvent par l’acronyme RGPD. 70 00:05:08,150 --> 00:05:13,390 Ce texte poursuit deux objectifs, même si l’un fait l’objet de 71 00:05:13,590 --> 00:05:15,350 l’essentiel des dispositions. 72 00:05:16,370 --> 00:05:21,550 L’essentiel, c’est la protection des libertés et des droits fondamentaux 73 00:05:21,750 --> 00:05:25,790 des personnes physiques, en particulier leur droit à la 74 00:05:25,990 --> 00:05:28,130 protection des données à caractère personnel. 75 00:05:28,530 --> 00:05:31,130 C’est l’article 1.2 du règlement. 76 00:05:31,850 --> 00:05:38,430 Mais il y a aussi un second objectif, celui de libre circulation des 77 00:05:38,630 --> 00:05:40,810 données au sein de l’Union européenne. 78 00:05:41,710 --> 00:05:46,310 Cette libre circulation ne doit être, dit le règlement, ni limité ni 79 00:05:46,510 --> 00:05:51,890 interdite, pour des motifs liés à la protection des personnes physiques 80 00:05:52,090 --> 00:05:55,910 à l’égard du traitement des données à caractère personnel. 81 00:05:57,210 --> 00:06:02,430 Cet aspect n’est certes pas très présent dans le corps du règlement, 82 00:06:02,770 --> 00:06:06,470 mais il apparaît tout de même dans le titre, on l’a lu tout à l’heure, 83 00:06:07,010 --> 00:06:10,230 et dans l’article 1.3 de ce règlement. 84 00:06:10,430 --> 00:06:15,870 Ce second aspect revient à prendre les données un peu comme des biens, 85 00:06:16,070 --> 00:06:19,610 comme s’il s’agissait de biens qui doivent circuler librement 86 00:06:19,810 --> 00:06:24,530 au sein du marché intérieur, parce que librement circuler et 87 00:06:24,730 --> 00:06:26,610 pouvoir librement être commercialisé. 88 00:06:26,990 --> 00:06:31,850 Et voilà que se profilent, ce qui se produit, la vente ou 89 00:06:32,050 --> 00:06:37,210 la location de fichiers contenant de multiples données concernant 90 00:06:37,410 --> 00:06:40,630 des milliers, des centaines de milliers, des millions de personnes. 91 00:06:41,550 --> 00:06:43,370 Le règlement ne vise pas à entraver cela. 92 00:06:44,250 --> 00:06:50,510 Deux aspects, un aspect protection, un aspect liberté de circulation, 93 00:06:51,410 --> 00:06:54,050 mais pour ceux qui ont collecté les données. 94 00:06:55,270 --> 00:06:57,330 La protection des personnes, c’est elle qui nous intéresse 95 00:06:57,530 --> 00:07:03,190 maintenant, passe notamment par l’encadrement du traitement des 96 00:07:03,390 --> 00:07:04,730 données à caractère personnel. 97 00:07:04,930 --> 00:07:09,850 C’est l’article 5 qui précise que les données doivent être traitées 98 00:07:10,050 --> 00:07:13,970 de manière loyale, licite et transparente. 99 00:07:14,510 --> 00:07:19,590 Il précise également qu’elles doivent être collectées pour des finalités 100 00:07:19,790 --> 00:07:22,670 déterminées, explicites et légitimes. 101 00:07:23,210 --> 00:07:27,790 Il ajoute : "Les données doivent être adéquates, pertinentes et 102 00:07:27,990 --> 00:07:33,470 limitées à ce qui est nécessaire au regard des finalités pour lesquelles 103 00:07:33,670 --> 00:07:34,750 elles sont traitées". 104 00:07:34,950 --> 00:07:39,330 C’est ce qu’on appelle le principe de minimisation des données. 105 00:07:39,810 --> 00:07:43,890 L’article 5 ajoute encore que les données doivent être exactes et 106 00:07:44,090 --> 00:07:44,850 tenues à jour. 107 00:07:45,050 --> 00:07:48,930 Ah oui, il ne suffit pas d’avoir des données qui datent de 20 ans 108 00:07:49,130 --> 00:07:51,770 sur une personne si sa situation a complètement changé, 109 00:07:52,250 --> 00:07:53,010 tenues à jour. 110 00:07:54,110 --> 00:07:59,430 L’article 6 pose des conditions de licéité du traitement. 111 00:07:59,630 --> 00:08:05,690 C’est un texte très vaste avec six conditions, non pas cumulatives, 112 00:08:06,010 --> 00:08:07,250 mais alternatives. 113 00:08:07,930 --> 00:08:12,550 Comme il suffit d’en remplir l’une des six, les conditions, 114 00:08:12,750 --> 00:08:14,490 en réalité, sont assez souples. 115 00:08:14,690 --> 00:08:18,470 Vous pourrez aller regarder très facilement, ce texte, 116 00:08:18,670 --> 00:08:22,210 sur le site de l’Union européenne, vous verrez l’article 6. 117 00:08:23,770 --> 00:08:30,530 Nous avons ensuite l’octroi de droit à la personne concernée. 118 00:08:31,210 --> 00:08:34,270 Ce sont les articles 13 et suivants. 119 00:08:34,590 --> 00:08:37,650 C’est le droit d’accès, que nous connaissons bien en France. 120 00:08:38,130 --> 00:08:42,830 C’est le droit de rectification, même chose, le droit à l’effacement 121 00:08:43,170 --> 00:08:44,870 ou encore dit droit à l’oubli. 122 00:08:45,410 --> 00:08:48,390 C’est le droit à la limitation du traitement. 123 00:08:48,590 --> 00:08:55,230 C’est le droit à la portabilité des données proclamé à l’article 20. 124 00:08:55,670 --> 00:08:58,990 C’est le droit d’opposition dont dispose la personne, 125 00:08:59,190 --> 00:09:04,130 très intéressant, notamment de s’opposer à tout moment au profilage 126 00:09:04,330 --> 00:09:06,010 lié à une prospection. 127 00:09:06,830 --> 00:09:12,970 C’est encore l’obligation faite à celui qui traite des données, 128 00:09:13,170 --> 00:09:18,870 de communiquer à la personne concernée une violation des données à caractère 129 00:09:19,070 --> 00:09:20,730 personnel, c’est l’article 34. 130 00:09:21,290 --> 00:09:25,470 Nous savons ce qu’il en est lorsque tel opérateur, qui a des millions, 131 00:09:25,670 --> 00:09:29,330 voire des dizaines de millions de clients, s’est fait pirater 132 00:09:29,530 --> 00:09:32,770 tous ses fichiers, contenant quel genre de données ? 133 00:09:33,150 --> 00:09:38,130 Peut-être des adresses électroniques, des numéros de carte bancaire. 134 00:09:38,330 --> 00:09:44,350 Il est absolument important, impératif, de prévenir les personnes 135 00:09:44,550 --> 00:09:47,390 concernées pour qu’elles puissent au moins changer de carte bancaire, 136 00:09:47,590 --> 00:09:52,050 plutôt qu’ensuite de faire l’objet de manœuvres frauduleuses, 137 00:09:52,830 --> 00:09:55,750 d’opérations d’escroquerie ou de vol. 138 00:09:56,510 --> 00:10:00,510 Nous connaissons de grandes firmes qui ont fait l’objet très récemment, 139 00:10:01,090 --> 00:10:04,790 et il y a un peu plus longtemps, de piratage de leurs données de 140 00:10:04,990 --> 00:10:05,750 cette façon. 141 00:10:05,950 --> 00:10:07,190 L’article 34 est une réponse. 142 00:10:07,390 --> 00:10:10,370 Ça n’interdit pas de faire des fichiers, mais du moins, 143 00:10:10,570 --> 00:10:13,770 si le fichier a été violé, il faut prévenir les personnes, 144 00:10:13,970 --> 00:10:16,210 toutes les personnes concernées. 145 00:10:16,490 --> 00:10:20,810 En outre, dans le règlement, il y a des aspects organisationnels 146 00:10:21,010 --> 00:10:21,770 dans les entreprises. 147 00:10:22,570 --> 00:10:26,290 C’est l’article 24 : "Le responsable du traitement des 148 00:10:26,490 --> 00:10:33,290 données met en œuvre les mesures techniques et organisationnelles 149 00:10:33,490 --> 00:10:39,730 appropriées pour s’assurer et être en mesure de démontrer que le 150 00:10:39,930 --> 00:10:44,370 traitement est effectué conformément au présent règlement". 151 00:10:46,190 --> 00:10:50,030 Ce n’est pas tout à fait le mécanisme de la déclaration préalable qui 152 00:10:50,230 --> 00:10:53,870 avait été mise en place en France en 1978, déclaration préalable 153 00:10:54,070 --> 00:10:56,870 des fichiers informatisés auprès de la CNIL. 154 00:10:57,210 --> 00:11:03,170 C’est fini, il a fallu supprimer pour mettre en harmonie notre droit 155 00:11:03,370 --> 00:11:04,710 interne qui n’a pas disparu. 156 00:11:04,910 --> 00:11:07,170 Le règlement s’est ajouté, il ne s’est pas substitué à la 157 00:11:07,370 --> 00:11:10,610 loi de 1978, mais du moins l’a-t-on fait disparaître dans la loi de 1978, 158 00:11:10,810 --> 00:11:13,510 ce qui n’était pas tout à fait en harmonie avec le règlement européen. 159 00:11:14,310 --> 00:11:17,170 C’est un mécanisme non pas de déclaration préalable, 160 00:11:17,370 --> 00:11:23,710 mais un mécanisme de certification par celui qui met en place un 161 00:11:23,910 --> 00:11:24,670 traitement. 162 00:11:24,870 --> 00:11:26,670 Il dit : "Oui, c’est conforme", et si on lui pose des questions, 163 00:11:26,870 --> 00:11:29,970 il faut qu’il soit en mesure de démontrer que son traitement est 164 00:11:30,170 --> 00:11:31,610 conforme à l’ensemble du règlement. 165 00:11:31,810 --> 00:11:36,270 Ça nous rappelle un petit peu le processus qui est mis en place 166 00:11:36,470 --> 00:11:40,690 pour la commercialisation des produits dans l’Union européenne où nous 167 00:11:40,890 --> 00:11:41,910 avons un marquage CE. 168 00:11:42,130 --> 00:11:44,870 C’est celui qui diffuse, le producteur qui va mettre sur 169 00:11:45,070 --> 00:11:48,310 le marché des produits, qui va expliquer lui-même que ce 170 00:11:48,510 --> 00:11:50,850 qu’il a fait est conforme, que ses produits sont conformes 171 00:11:51,050 --> 00:11:51,810 à la réglementation. 172 00:11:52,010 --> 00:11:53,510 Mais ici, c’est un peu la même chose. 173 00:11:53,730 --> 00:11:57,410 Donc, pas de déclaration préalable auprès d’un organisme. 174 00:11:59,410 --> 00:12:04,010 Ce que nous avons dans le système, avec l’article 37, c’est la désignation 175 00:12:04,210 --> 00:12:09,250 obligatoire par le responsable du traitement d’un délégué à la 176 00:12:09,450 --> 00:12:10,790 protection des données. 177 00:12:11,690 --> 00:12:17,830 Ce délégué, c’est celui que la CNIL désigne comme le chef d’orchestre 178 00:12:18,030 --> 00:12:22,210 chargé de piloter la gouvernance des données personnelles. 179 00:12:23,250 --> 00:12:26,390 Mesdames et Messieurs, voici un nouveau métier, 180 00:12:26,590 --> 00:12:31,030 un nouveau métier pour les juristes, le gouverneur donné, 181 00:12:31,750 --> 00:12:37,390 et pour ceux qui aiment bien l’anglais, ce sera le DPO, le Data Protection 182 00:12:37,590 --> 00:12:38,350 Officer. 183 00:12:39,410 --> 00:12:40,690 Allez, un bel avenir pour vous.