Sous forme de questions/réponses, on fait le point sur le droit de l’internet français concernant la protection des données personnelles et le cybercrime.
Les lois nationales sur la protection des données sont en avance ou en retard sur la courbe internationale ?
Les lois de protection des données en France sont généralement en avance sur les autres à l’international. Comme elles respectent les règlements de l’Union européenne, dans le cadre du Règlement général de protection des données de l’UE qui a été approuvé par le Parlement européen le 14 avril 2016 et s’appliquera directement à partir du 25 mai 2018, la France débat actuellement d’une loi (la loi Projet pour une République Numérique, NOR: EINI1524250L) qui anticipera certaines des dispositions de ce règlement et étendra la protection à plus d’un titre. Cette loi peut entrer en vigueur avant le 25 mai 2018.
Est-ce que des modifications apportées à la législation existante en matière de protection des données sont proposées ou attendues dans un proche avenir ?
En plus du Règlement général sur la protection des données, plusieurs lois contenant des dispositions spécifiques en matière de protection des données (par exemple, le projet de loi pour une république numérique) et des modifications apportées à la Loi sur la protection des données sont actuellement en discussion. Ces changements proposés couvrent divers sujets (par exemple, les emplacements géographiques des centres de données).
Cadre juridique
Législation : Quelle loi régit la collecte, le stockage et l’utilisation des données personnelles ? La loi de 1978 sur la protection des données constitue le cadre juridique interne régissant la collecte, le stockage et l’utilisation des données à caractère personnel.
Plusieurs autres lois techniques et pénales prévoient des règles spécifiques concernant la protection des données (p. Ex., Trust in Digital Economy Law, 2001).
Champ d’application et compétence : Qui entre dans le cadre de la législation ? Les contrôleurs de données personnelles relèvent de la Loi sur la protection des données. Un « contrôleur de données personnelles » est une personne ou une entreprise qui détermine les moyens et le but du traitement des données personnelles.
Le « traitement des données » englobe toutes les opérations ou les opérations concernant les données personnelles (p. Ex. Collecte de données personnelles, stockage, utilisation de la modification et suppression).
Cette législation s’applique au contrôleur de données lorsque le traitement de données personnelles fait partie des activités d’au moins un de ses établissements situés dans un État membre de l’UE ou lorsqu’il traite des données personnelles par des moyens techniques ou humains situés chez un des membres de l’UE.
D’autres personnes physiques ou morales peuvent également entrer dans le champ d’application de la législation et dans l’application des dispositions pénales (par exemple, lorsque la victime d’une infraction pénale est français).
Quel genre de données relève de la législation ?
La Loi sur la protection des données ne régit que le traitement des données personnelles. Les « données personnelles » sont considérées comme des informations relatives à une personne physique identifiée ou identifiable. Une « personne identifiable » est celle qui peut être identifiée directement ou indirectement, en particulier par référence à un numéro d’identification ou à un ou plusieurs facteurs spécifiques à son identité physique, physiologique, mentale, économique, culturelle ou sociale.
Les propriétaires de données doivent-ils s’inscrire auprès de l’autorité compétente avant de traiter les données ?
Avant de traiter les données personnelles, les contrôleurs de données personnelles doivent s’inscrire auprès de l’autorité nationale de contrôle des données (CNIL). Bien que la plupart des traitements nécessitent simplement une déclaration de traitement des données personnelles (qui comprend une documentation détaillée concernant le type de données traitées, la finalité du traitement et la durée de stockage des données), le traitement de données personnelles particulièrement sensibles (p. Ex. données médicales et biométriques) est soumise à l’autorisation préalable formelle de l’autorité.
Si la finalité ou les moyens du traitement des données personnelles évoluent, le responsable du traitement doit notifier l’autorité de ces changements en modifiant la déclaration initiale ou en déposant une nouvelle.
Cependant, le nouveau Règlement général sur la protection des données de l’UE qui s’appliquera à partir du 25 mai 2018 ne nécessitera pas de telles déclarations. À partir de cette date, les contrôleurs de données devront documenter eux-mêmes leur traitement des données et devront fournir des preuves de leur conformité aux règles de confidentialité en matière d’enquête.
L’information concernant les propriétaires de données enregistrées est-elle accessible au public ?
Les déclarations et autorisations enregistrées par la CNIL sont accessibles au public.
Est-il nécessaire de nommer un agent de protection des données ?
Il n’y a actuellement aucune obligation concernant la nomination d’un agent de protection des données. La désignation d’un agent de protection des données doit simplement être notifiée à la CNIL.
Toutefois, avec l’entrée en vigueur du Règlement général sur la protection des données, la nomination d’un agent de protection des données deviendra obligatoire pour toutes les autorités publiques et entités où les activités principales du contrôleur ou du transformateur de données impliquent un suivi régulier et systématique des personnes concernées à l’échelle ou lorsque l’entité effectue un traitement à grande échelle de données personnelles sensibles (p. Ex., données révélant des origines ethniques ou raciales, opinions politiques, croyances religieuses ou philosophiques et orientation sexuelle).
Application de la loi : Quel organisme est responsable de l’application de la législation sur la protection des données et quels sont ses pouvoirs ?
La CNIL est responsable de l’application des règles de protection des données en France. Sa mission est d’informer le public et les contrôleurs de données personnelles concernant leurs droits et obligations réciproques. Elle joue également un rôle consultatif pour le gouvernement, ce qui implique à la fois la publication des rapports sur les pratiques et les problèmes de données personnelles et la consultation direct des fonctionnaires lors de la préparation de la législation relative à la protection des données
La CNIL a de vastes pouvoirs de pénalisation, ce qui en fait une autorité juridictionnelle conformément à la Convention européenne des droits de l’homme. La CNIL peut émettre des pénalités administratives potentiellement sévères, qui ne sont perçues qu’après un examen contradictoire et font l’objet d’un recours. Ces pouvoirs pénalisants doivent être élargis après l’adhésion du Règlement général sur la protection des données.
Le Règlement général sur la protection des données prévoit également que les États membres de l’UE seront responsables de l’application des dispositions pénales relatives aux données personnelles. À cet égard, la CNIL peut notifier à d’autres autorités compétentes des violations de la protection des données et prendre des mesures en justice pour ces violations. Afin de fournir une documentation efficace de ces violations, la CNIL a avancé les pouvoirs d’enquête qui suivent diverses procédures, selon que le contrôleur de données accepte l’enquête, l’urgence de la situation, la gravité de la violation ou si la preuve de la violation est détruite.
Collecte et stockage des données
Collecte et gestion : Dans quelles circonstances les données personnelles peuvent-elles être collectées, stockées et traitées ? La collecte, le stockage et le traitement des données personnelles doivent suivre un ensemble de règles cumulatives.
Tout d’abord, la collecte et le traitement doivent être équitables et légaux. Cette obligation est évaluée par les juges et implique que le responsable du traitement doit informer les personnes concernées du traitement auquel leurs données sont soumises.
Les opérations de traitement doivent également servir un but précis, explicite et légitime. Les contrôleurs de données doivent présenter la justification de l’objet du traitement à l’autorité nationale pour le contrôle des données (CNIL) avant de s’engager dans de telles opérations. La collecte, l’utilisation, l’entreposage et le traitement des données ne sont licites que dans la mesure où ils relèvent du but déclaré du traitement; Cette obligation est strictement interprétée par les juges.
Les données recueillies doivent être adéquates, pertinentes et non excessives par rapport au but déclaré du traitement. Les données traitées doivent également être exactes, complètes et à jour.
La durée du stockage des données doit être limitée conformément au but du traitement. Dans la plupart des cas, la collecte de données nécessite le consentement de la personne concernée.
Existe-t-il des limitations ou des restrictions sur la période pendant laquelle une organisation peut (ou doit) conserver des documents ?
Les données recueillies ne doivent être conservées que pendant une durée conforme à l’objet de son traitement. Une fois que l’objectif de la collecte des données a été respecté, les données doivent être supprimées.
Cependant, des données spécifiques peuvent et doivent parfois être archivées, en fonction des obligations légales pertinentes (par exemple, un bailleur de logements sociaux doit tenir des registres des locataires en cas d’enquête ministérielle confidentielle) ou lorsque les données sont toujours intéressantes (par exemple, si elles peuvent être utilisées pour respecter une obligation ou empêcher un conflit légal). Elles ne peuvent être stockées que dans la mesure où cet intérêt existe encore. Il n’y a pas de limite de temps de stockage si les données contiennent un intérêt historique, scientifique ou statistique.
Le délai de stockage des données varie également en fonction du type de données à stocker. Par exemple, les cookies peuvent être actifs pendant 13 mois seulement. Comme autre exemple, les fournisseurs de services Internet et les hébergeurs de l’Union européenne doivent garder l’information personnelle des utilisateurs pendant un an pour des besoins potentiels en matière de police ou d’enquête judiciaire.
Les individus ont-ils le droit d’accéder à des informations personnelles à leur sujet qui sont détenues par une organisation? Les personnes ont le droit d’accéder à des données personnelles à leur sujet qui sont détenues, stockées ou autrement traitées par une personne physique ou morale. Le contrôleur de données doit fournir un accès direct et gratuit aux données pour l’individu. Cependant, certaines données – telles que les données traitées par une entité publique qui détient un intérêt national (par exemple, les données importantes pour la conduite d’une enquête de police confidentielle) – peuvent être consultées indirectement par la CNIL.
Les individus ont-ils le droit de demander la suppression de leurs données ?
Les individus ont le droit de s’opposer au traitement de leurs données pour des raisons légitimes et décisives.
Les individus ont également le droit d’exiger la suppression de leurs données si elles sont inexactes, incomplètes, obsolètes, ambiguës ou illégalement utilisées, transférées ou stockées. Cela s’applique également lorsque la période de stockage de données est excessive par rapport au but déclaré du traitement.
La suppression n’est pas nécessairement garantie. Selon le but du traitement, certaines données pertinentes peuvent être préservées.
Obligations de consentement : Le consentement requis avant le traitement des données personnelles est-il nécessaire ?
Avant de traiter les données personnelles, le contrôleur de données doit obtenir le consentement explicite, gratuit, spécifique et éclairé de l’individu.
Si le consentement n’est pas fourni, existe-t-il d’autres circonstances dans lesquelles le traitement des données est autorisé ?
Le consentement au traitement des données personnelles n’est pas nécessaire dans cinq cas. Le contrôleur de données doit prouver qu’il remplit toutes les exigences pour l’un de ces cas. En particulier, il n’y a pas besoin de consentement si :
- Le contrôleur de données traite les données afin de respecter une obligation légale;
- Le traitement des données est nécessaire pour protéger la vie de la personne concernée;
- Le traitement des données est nécessaire pour accomplir une mission d’intérêt public;
- Le traitement des données est nécessaire pour signer ou remplir un contrat; ou
- Le traitement des données sert un intérêt légitime qui ne porte pas atteinte aux intérêts personnels ou aux droits de la personne concernée.
Quelles informations doivent être fournies aux personnes lorsque des données personnelles sont collectées ?
Lors de la collecte des données, l’individu doit recevoir des informations sur :
- L’identité du contrôleur de données et ses sous-traitants (s’ils participent au traitement);
- Le but du traitement;
- Toute obligation de l’individu de répondre et les conséquences de l’absence de réponse;
- Les destinataires ou les catégories de destinataires des données collectées;
- Les droits de l’individu concernant ses données (concernant l’accès, l’opposition, la correction et la suppression); et
- Si les données seront transférées à l’international, les conditions du transfert, le pays vers lequel elles seront transférées, le niveau de protection des données, le but du transfert et le destinataire des données.
Sécurité des données et notification de violation
Obligations de sécurité : Des obligations de sécurité spécifiques doivent-elles être respectées ?
Le droit français et la directive européenne sur la protection des données indiquent que le responsable du traitement doit assurer la sécurité et la confidentialité des données personnelles qu’il traite. Cela inclut l’obligation de ne pas autoriser une personne ou un organisme non autorisé à accéder aux données. Certaines autorités (par exemple, les juges ou les agents administratifs dans des cas spécifiques) sont considérées comme autorisées par la loi, ainsi que toute personne sous l’autorité directe du responsable du traitement ou de ses sous-traitants.
En ce qui concerne les mesures de sécurité réelles, l’autorité nationale de contrôle des données (CNIL) exige que les contrôleurs de données entreprennent des évaluations systématiques des risques avant de traiter les données et de surveiller la stabilité et l’efficacité de leurs systèmes de sécurité.
Avis de violation : Les propriétaires de données / les transformateurs doivent-ils notifier les personnes en cas de violation ?
Si les fournisseurs de services de communication électronique (par exemple, les fournisseurs de services Internet) subissent une violation des données personnelles – qui comprend des violations délibérées de la sécurité par des tiers et des pertes accidentelles ou la corruption de données – ils doivent informer les personnes dont les données personnelles ou la vie privée pourraient être violées sans retard inutile. À moins que la CNIL ne détermine que les mesures de sécurité prises par la cible de la violation des données sont satisfaisantes, auquel cas le fournisseur de services de communication n’est pas tenu d’informer les particuliers.
Les propriétaires / transformateurs de données doivent-ils notifier l’organisme de réglementation en cas de violation ?
Si un fournisseur de services de communication électronique subit une violation des données personnelles – qu’il soit menacé par les droits d’un particulier -, la CNIL doit être informée dans les 24 heures suivant la découverte de la violation. Cette notification doit inclure une description précise de l’étendue et de la nature de la violation, ainsi que des mesures prises ou proposées par le responsable du traitement afin de remédier à la violation et limiter les dommages subséquents.
Commercialisation électronique et utilisation d’Internet
Web marketing : Existe-t-il des règles régissant spécifiquement le web marketing non sollicité (spam) ?
Le droit Trust in Digital Economy prévoit que toute prospection commerciale par téléphone, fax ou communication électronique est interdite sans l’accord préalable de la personne concernée. Une telle prospection doit toujours indiquer l’adresse du prospecteur et donner la possibilité de se désabonner de ces communications. La CNIL contrôle l’application de ces règles et peut infliger des amendes pour un web marketing non sollicité jusqu’à 3 000 € pour une personne physique et 15 000 € pour une personne morale.
Cookies : Existe-t-il des règles régissant l’utilisation de cookies ? L’ordonnance ministérielle 2011-1012 (24 août 2011) prévoit que l’utilisation des cookies est permise si le consentement de l’utilisateur est obtenu avant que les données ne soient prises ou stockées sur le terminal de l’utilisateur ou si ces actions sont strictement nécessaires pour obtenir un service qui a été expressément exigé par l’utilisateur.
En pratique, cela signifie que les sites Web qui utilisent des cookies doivent informer les utilisateurs de :
- Le stockage des cookies sur leurs ordinateurs;
- La possibilité de gérer les paramètres des cookies ou de refuser leur utilisation; et
- Le fait que la navigation sur le site implique l’acceptation de la politique sur les cookies (et les détails concernant l’impact de la non-acceptation des cookies sur les services fournis).
Selon la CNIL, les cookies peuvent rester actifs pendant une période maximale de 13 mois
Transfert de données et tiers
Transfert transfrontalier de données : Quelles règles régissent le transfert de données en dehors de notre juridiction ?
La législation française (et donc la législation de l’UE aussi) est considérée comme établissant la norme pour le niveau requis de protection des données personnelles. Ainsi, les transferts de données personnelles transfrontaliers ne sont normalement possibles que si les données sont transférées dans un état qui offre un niveau de protection comparable à celui de la France.
Cependant, il existe des exceptions à cette règle générale. L’autorité nationale de contrôle des données (CNIL) peut reconnaître officiellement certains états offrant une protection des données satisfaisante et peuvent négocier avec ces états les règles applicables aux transferts transfrontaliers (les États membres de l’UE sont par défaut considérés comme ayant un niveau suffisant de protection des données; La CNIL suit habituellement la reconnaissance par la Commission européenne du niveau de protection des données des États étrangers). Une fois qu’un accord est conclu, il peut devenir un cadre pour que les deux parties fournissent un niveau de protection satisfaisant.
Sinon, la Commission européenne émet des clauses contractuelles standard qui, une fois signées entre un émetteur privé de données personnelles et un destinataire, garantissent la conformité aux règles de protection des données. Dans une société ou un groupe international basé sur plusieurs états avec des règles de confidentialité différentes, des règles d’entreprise contraignantes peuvent être mises en œuvre pour garantir des transferts de données transfrontaliers conformes.
Les données personnelles peuvent également être transférées vers des états qui ne fournissent pas un niveau suffisant de protection des données si l’une des conditions suivantes est remplie :
La personne concernée a expressément accepté le transfert (cependant, la CNIL n’accepte pas que cette condition soit remplie si le consentement est donné pour les transferts de données répétés ou structurels); Le transfert est nécessaire pour :
- Sauver une vie humaine;
- Servir un intérêt public;
- Établir l’existence, défendre ou exercer une revendication légale;
- Consulter un registre public;
- Signer ou remplir un contrat entre la personne concernée et le responsable du traitement des données; ou
- Signer ou remplir un contrat entre le responsable du traitement des données et un tiers agissant dans l’intérêt de la personne concernée; ou
- Le transfert a été spécifiquement autorisé par la CNIL ou par décret du Conseil d’État.
Existe-t-il des restrictions sur le transfert géographique de données ?
Les données personnelles ne peuvent être transférées qu’aux états qui fournissent un niveau satisfaisant de protection des données ou à d’autres pays selon les procédures détaillées ci-dessus.
Les tierces parties : Les exigences spécifiques s’appliquent-elles aux propriétaires de données où les données personnelles sont transférées à un tiers pour traitement ?
Le transfert de données d’un contrôleur de données à un sous-traitant pour le traitement doit être arrangé contractuellement et fixer les mêmes obligations de sécurité et de confidentialité pour le récepteur que pour le contrôleur de données lui-même. Le règlement général de la protection des données de l’UE devrait également créer de nombreuses possibilités pour le sous-traitant d’hériter des obligations du contrôleur de données, si son rôle dépasse celui d’un interprète simple pour le contrôleur de données.
Pénalités et indemnités
Pénalités : Quelles sont les pénalités potentielles pour le non-respect des dispositions relatives à la protection des données ?
Les sanctions administratives pour non-respect de la réglementation de la protection des données sont administrées par l’autorité nationale pour le contrôle des données (CNIL). Elle peut infliger des amendes pour les personnes physiques jusqu’à 150 000 € pour une première infraction et 300 000 € pour une deuxième infraction qui se produit moins de cinq ans après la première infraction.
Le Code criminel énumère également un certain nombre d’infractions pour non-respect ou violation de la législation sur la protection des données, dont la gravité peut entraîner une peine de prison de cinq ans et une amende de 300 000 € pour les particuliers (l’amende est cinq fois plus élevée pour les personnes et entités morales). Ces sanctions sont émises par les autorités criminelles nationales.
Compensation : Les personnes ont-elles droit à une indemnité pour les pertes subies en raison d’une violation des données ou du non-respect des dispositions relatives à la protection des données par le propriétaire des données ?
Les individus peuvent exiger une compensation pour les pertes subies en raison de la violation des données ou du non-respect des règles de protection des données en intentant des poursuites devant les autorités nationales. Il est également possible de déposer une action en recours collectif pour non-respect des dispositions relatives à la protection des données.
La cyber-sécurité
Législation, réglementation et application de la cybersécurité : Des lois ont-elles été introduites dans votre juridiction pour couvrir spécifiquement la cybercriminalité et / ou la cybersécurité ?
La France a des lois couvrant des infractions spécifiques qui ne peuvent se produire que numériquement, bien que la plupart des infractions et pénalités stipulées dans ces lois aient simplement été adaptées de la législation précédente pour tenir compte de l’environnement numérique actuel. A titre d’exemple, certaines infractions peuvent constituer un facteur aggravant lorsque le crime est commis sur Internet (en particulier pour la pornographie infantile).
À titre d’exemple, une infraction liée au cyberespace qui a été introduite dans le droit pénal français est la violation automatisée du système de traitement des données, créée par la loi 92-685 (22 juillet 1992). Cette loi interdit l’accès frauduleux (c.-à-d. Volontaire et non autorisé) à un système automatisé. Cette infraction est aggravée si les données du système sont extraites, modifiées ou développées, ou si les fonctions du système sont modifiées ou corrompues.
De façon similaire, les infractions liées aux données personnelles sont pénalisées conformément au Code criminel.
Quelles sont les autres considérations réglementaires importantes concernant la cybersécurité dans votre juridiction (y compris les normes internationales qui ont été adoptées) ?
De nombreuses directives et meilleures pratiques en matière de cybersécurité ont été émises par diverses organisations, y compris l’autorité nationale pour le contrôle des données (CNIL), et peuvent être utilisées comme référence dans les litiges relatifs aux violations de données.
Quelles cyber-activités sont criminalisées dans votre juridiction ?
Outre la violation des systèmes automatisés de traitement des données, de nombreuses activités cybernétiques sont criminalisées, y compris la falsification du protocole Internet, le vol d’identité et les agressions physiques filmées sur les appareils mobiles et la diffusion en ligne de ces images ou « happy slapping ».
Quelles sont les autorités responsables de l‘application des règles de cybersécurité ?
Les règles de cybersécurité sont appliquées à la fois par la CNIL et par les autorités nationales.
Bonnes pratiques et rapports sur la cybersécurité : Les entreprises peuvent-elles obtenir une assurance pour les infractions à la cybersécurité et est-il commun de le faire ? De nombreuses entreprises obtiennent une assurance pour des infractions de sécurité. Cela implique généralement une inspection et une mise à niveau des mesures de cybersécurité de l’entreprise, ainsi qu’une séance de formation pour les employés. L’assurance protège contre les dommages potentiels résultant de cyberattaques et de violations et fournit un soutien stratégique.
Une telle assurance n’est commune que pour les entreprises susceptibles d’être soumises à des cyberattaques ou dont les activités dépendent directement de la sécurité des données.
Les entreprises doivent-elles tenir compte des menaces, des attaques et des infractions liées à la cybercriminalité ? Les entreprises sont tenues de tenir à jour des registres sur les violations de sécurité impliquant un vol de données personnelles ou une corruption.
Les entreprises doivent-elles signaler les menaces, les attaques et les infractions de cybercriminalité aux autorités compétentes ?
Les fournisseurs de services de communication électronique sont tenus de signaler les violations de données aux autorités uniquement lorsque des données personnelles sont impliquées.
Les entreprises doivent-elles signaler publiquement les menaces, les attaques et les infractions liées à la cybercriminalité ?
Les fournisseurs de services de communication électronique doivent informer les individus de violations de données uniquement lorsque leur protection de la vie privée ou des données personnelles est en jeu et que la CNIL ne considère pas que cela ne soit pas nécessaire.
Pénalités et sanctions pénales : Quelles sont les sanctions pénales potentielles pour la cybercriminalité ? Les pénalités pénales dépendent de l’infraction en question. Les peines peuvent comprendre une peine d’emprisonnement de un à dix ans et une amende de 15 000 à 500 000 euros (l’amende est cinq fois plus élevée pour les personnes morales).
Des pénalités sont délivrées par les juridictions pénales nationales.
Quelles sanctions peuvent être imposées en cas de non-respect des règlements sur la cybersécurité ? L’échec ou l’oubli d’un contrôleur de données d’informer la CNIL d’une violation de sécurité impliquant des données personnelles, peut entraîner une peine de prison de cinq ans et une amende de 300 000 €.
