Enjeux européens et mondiaux de la protection des données personnelles
Larcier
Remerciements
5
Préface 1
7
Foreword 2: Shedding light on the data protection reform
9
Préface 3
11
Préface 4
13
Préface 5
15
Propos introductifs
Comment assurer l'effectivité de la protection
des droits à l'ère post-Snowden ?
Édouard Geffray
I Le premier enjeu majeur est celui de la souveraineté
du droit européen de la protection des données, c'est-à-dire
de sa pleine applicabilité lorsque les données d'un résident
européen sont traitées20
II Le deuxième enjeu réside, à mon sens, dans l'intégration
croissante et nécessaire de l'Europe de la protection
des données21
III Dans ce contexte, le troisième et dernier enjeu
pour assurer l'effectivité de la protection des données
personnelles me semble résider dans ses modalités
de contrôle a posteriori. Dans les États de droit contemporains,
ce contrôle repose sur trois acteurs : le citoyen, les autorités
de protection et le juge22
Droits fondamentaux
et jurisprudence européenne
Chapitre 1
La protection des données à caractère personnel
dans le cadre de la jurisprudence de la Cour de justice
de l'Union européenne relative aux droits fondamentaux
Agostino Valerio Placco
Introduction
27
I Conditions de légalité des limitations à l'exercice
de droits fondamentaux20
A. Quelle grille d'analyse ?29
B. Les conditions posées à l'article 52, § 1er, première phrase31
1. La limitation doit être «prévue par la loi»31
2. La limitation doit respecter le contenu essentiel du droit fondamental
en cause32
C. Les conditions posées à l'article 52, § 1er, seconde phrase,
ou le contrôle de proportionnalité34
1. Test d'aptitude35
2. Test de nécessité36
3. Test de proportionnalité au sens strict37
II Apports spécifiques de la jurisprudence relative
à la protection des données à caractère personnel31
A. L'exigence d'une analyse d'impact préalable41
B. L'exigence de garanties suffisantes contre les risques d'abus44
C. La marge d'appréciation du législateur
de l'Union et l'intensité du contrôle juridictionnel48
Conclusions
50
Chapitre 2
La protection des données dans la jurisprudence
de la Cour européenne des droits de l'homme
Loredana Tassone
Chapitre 3
Articles 7 and 8 of the EU Charter:
two distinct fundamental rights
Christopher Docksey
Introduction
71
I Article 7 of the Charter: the right to privacy73
II Article 8 of the Charter: the right to protection of personal data74
III The overlap between the two rights in the case law76
1. The interpretation of Article 8 ECHR to cover the processing
of personal data76
2. The development of a parallel concept in Germany, the constitutional right
to informational self-determination79
IV The differences between the two rights
and the practical consequences82
1. The different scope of the rights at issue82
2. Supervision by an independent authority85
3. Interference and justification87
V The implications of the status of data protection as primary law
under Article 8 of the Charter and Article 16 TFEU89
1. Article 8 offers an additional protection to Article 789
2. The interpretation and application of Article 8 of the Charter93
3. The limitation on legislative discretion under Article 16 of the Treaty96
Conclusions
97
Chapitre 4
La protection des données personnelles entre droits de l'homme
et droits fondamentaux
François Moyse
I La Cour de Strasbourg et l'ingérence dans la vie privée101
II La Cour de Luxembourg et la proportionnalité des limitations
aux droits fondamentaux103
III Les données personnelles, entre droits de l'homme
et droits fondamentaux108
Champ d'application territorial du règlement
et transfert de données
Chapitre 1
Aperçu de la dimension internationale du Règlement général
sur la protection des données à caractère personnel
Marc Gallardo Meseguer
Introduction
117
I Une réforme en cours119
II Un champ d'application territorial «renouvelé»119
III Des mécanismes «évolués» pour le transfert des données122
A.122
B.124
C.125
IV Safe Harbor... une sphère de (d') «(in)sécurité» ?125
V Remarques finales128
Annexes : Aperçu du champ d'application territorial
et transferts des données dans la proposition
de règlement
129
Annexe 1 : Champ d'application territorial
131
Annexe 2 : Chapitre V - Transfert des données
(articles 40 à 45)
133
Annexe 3 : Safe harbour
155
Chapitre 2 Mind the GAP:
understanding the U.S. perspective on privacy
in safe harbor/data transfer negotiations
Richard J. Peltz-Steele
I Public Sector, Private Sector162
II Property Paradigm, Rights Paradigm163
III A Slow Evolution of the U.S. Perspective165
IV Conclusion: Mind the gap169
Chapitre 3
Application territoriale de la législation européenne
en matière de protection des données et transfert
de données vers des pays tiers : vaincre la peur de l'autre
Jean-François Henrotte et Fanny Coton
I Introduction171
A. Droit applicable au responsable du traitement173
1. Historique173
2. Directive 95/46/CE174
a. Texte retenu174
b. Transposition en droits belge et luxembourgeois176
c. Comparaison avec la directive 2002/58/CE177
d. Analyse de l'article 4177
1° 4, § 1er, a) : responsable de traitement établi dans un état membre178
i. Établissement sur le territoire d'un État membre178
ii. Dans le cadre des activités179
2° Article 4, § 1er, b) : application en vertu du droit international public183
3° Article 4, § 1er, c) : recours à des moyens183
3. Projet de règlement188
B. Droit applicable aux mesures de sécurité en cas de sous-traitance193
1. Directive 95/46/CE193
2. Projet de règlement193
C. Compétence des autorités nationales de contrôle194
1. Directive 95/46/CE194
2. Projet de règlement194
II Les transferts de données à des responsables de traitement
ou à des sous-traitants établis en dehors de l'Union européenne197
A. Directive 95/46/CE197
1. Vers des pays offrant un niveau de protection adéquat198
a. Reconnaissance du niveau de protection198
b. Le cas particulier des USA : le niveau de protection adéquat
par le Safe Harbor199
2. Vers des pays n'offrant pas un niveau de protection adéquat205
a. Clauses contractuelles205
b. Règles d'entreprise contraignantes (BCR)206
c. Exceptions207
B. Le projet de règlement208
1. Vers un pays offrant un niveau de protection adéquat208
2. Vers des pays n'offrant pas un niveau de protection adéquat210
a. Transferts moyennant des garanties appropriées210
b. Transferts encadrés par des Règles d'entreprise contraignantes211
c. Clauses contractuelles et autres garanties213
d. Exceptions214
III Conclusions215
Comment les droits de la personne concernée
sont-ils renforcés ?
Chapitre 1
Comment les droits de la personne concernée
sont-ils renforcés ?
Christiane Féral-Schuhl
Chapitre 2
How to Handle Data Breaches From an EU Legal
and Practical Perspective
Elisabeth Thole
I Introduction223
II Data protection laws and regulations224
III Personal data226
Legitimate purpose227
Legal ground227
Information duty228
IV Data Protection Officer229
V Data breaches230
VI Legal framework - data breaches230
VII Appropriate technical and organizational security measures231
VIII Notification duties233
IX Relevance of notification duties236
X Remedies, actions and sanctions237
XI Incident Road Map239
Pre-incident239
Incident241
Post-incident241
XII Cyber Risk Insurance242
XIII Closing remarks243
Chapitre 3
Droit à l'oubli, droit à l'effacement ou droit
au déréférencement ? Quand le législateur et le juge européens
dessinent les contours du droit à l'oubli numérique
Cécile de Terwangne
I Droit à l'oubli, droit à l'effacement, droit au déréférencement,
de quoi s'agit-il ?245
II Contexte du droit à l'oubli numérique :
les spécificités d'Internet245
A. La nécessité d'une décision d'effacer et l'«eternity effect»
ou effet d'éternité qui en découle248
B. Le coût économique de l'effacement249
C. La décontextualisation des informations249
III L'autodétermination informationnelle à la base du droit
à l'oubli ou à l'effacement251
IV Le droit au déréférencement253
V Le droit à l'oubli en cas de traitement de données basé
sur le consentement de la personne concernée : le droit à l'oubli
en tant que droit au repentir et à changer d'avis248
VI Le droit à l'oubli lorsque l'information est traitée/diffusée
à l'initiative d'un tiers257
A. La mise en balance des intérêts257
1. La résolution des conflits de droits et intérêts257
2. Les critères de la résolution des conflits258
3. Exemple des archives de presse sur Internet. Critères pour la mise en balance :
actualité, intérêt historique et intérêt public259
B. Les éléments du droit à l'oubli issus de la législation
de protection des données262
1. L'obligation de supprimer des données à caractère personnel
découlant du principe de finalité262
2. Le droit à l'effacement des données262
a. L'article 12, b), de la directive 95/46262
b. Les cas élargis de traitement non conforme : non-respect
des exigences de qualité des données, non-respect des hypothèses
de légitimité des traitements263
3. Le droit d'opposition au traitement des données265
VII Les effets de l'exercice du droit à l'oubli267
A. L'effacement, l'anonymisation, le verrouillage, ou...267
B. L'information en aval des demandes d'effacement de données269
VIII Droit à la suppression automatique des données
dans l'environnement électronique - Droit à l'oubli par défaut271
Conclusion
273
Chapitre 4
Le profilage : un défi pour la protection des données
à caractère personnel
Alain Grosjean
Introduction
277
I Les raisons variées du profilage et la révolution du big data284
A. Profilage imposé par la loi284
B. Lutte contre la fraude et profilage en matière de sécurité nationale286
C. La publicité ciblée287
D. Le big data289
II La tentative de délimitation de la notion de profilage291
A. La définition du profilage291
B. Notions d'anonymisation ou de pseudonymisation295
1. Anonymisation295
2. Pseudonymisation296
C. Le profilage de la publicité ciblée en ligne concerne-t-il
des données à caractère personnel ?297
D. L'encadrement légal du profilage298
1. L'État de la législation sur les cookies298
2. Les dispositions de la directive 95/46/CE et réforme à venir300
III Les recommandations300
A. Les recommandations d'ordre technique305
B. Les recommandations d'ordre comportemental307
1. Pour les responsables du traitement308
2. Le rôle des autorités de régulation309
3. Meilleure prise de conscience des utilisateurs309
Conclusion
309
Banque, paiement en ligne et protection
des données personnelles
Chapitre 1
Banque, paiement en ligne et protection
des données personnelles
Myriam Quéméner
Chapitre 2
Systèmes de prévention
de la fraude et protection
des données personnelles
Nathalie Métallinos
Introduction
315
I L'application des principes de protection des données
aux traitements de prévention de la fraude et des impayés317
A. Les différences d'approche adoptées par les États membres317
B. Les recommandations du Groupe de travail «Article 29»
sur les listes noires et leur application aux traitements destinés
à la prévention de la fraude319
II Conciliation des règles relatives à la protection des données
à caractère personnel et des législations et pratiques destinées
à la prévention de la fraude : les perspectives offertes
dans la proposition de règlement322
A. Les cas de présomption de légitimité fondée sur l'intérêt légitime324
B. Le régime applicable aux mesures de profilage326
Conclusion
327
Chapitre 3
L'anonymisation des informations et l'authentification biométrique
pourraient permettre de lutter efficacement contre les vols
de données bancaires
Olivier Perrin
Introduction
329
I La protection des données bancaires, un enjeu stratégique
pour les entreprises à l'heure du numérique330
A.330
B.331
II La confiance dans les moyens de paiement et, donc,
de leur protection, au coeur du développement de l'économie
numérique332
A.332
B.333
III L'anonymisation des données et l'authentification forte
les deux facettes de la protection des données bancaires334
A.334
B.335
Conclusion
335
La protection des données et services financiers
Chapitre 1
Introduction de session
Alex Schmitt
Chapitre 2
La protection des droits de la personne concernée
dans les services financiers
Isabelle Chatelier
I Le respect des droits des clients personnes physiques
et autres personnes physiques en lien avec ces clients
(bénéficiaires réels, membres de la famille des personnes
politiquement exposées, etc.)344
A. Droit à l'information344
B. Droit d'accès344
C. Limitation des droits et recours345
II Le respect des droits des professionnels
- personnes physiques - du secteur financier345
A. Droit d'accès346
B. Publication de sanctions346
C. Whistleblowing347
Conclusion
347
Chapitre 3
La protection des données fiscales
dans l'assistance administrative internationale
Lionel Noguera
Introduction
349
A. La rencontre de deux mondes349
B. Formes et instruments de l'échange d'informations
en matière fiscale351
C. L'échange d'informations, traitement de masse352
I Portée de l'exception de l'article 13 de la directive 95/46/CE354
A. Intérêts protégés354
B. Application au traitement de données fiscales en général356
C. Cas particulier de l'échange d'informations harmonisé361
II Problématiques annexes363
A. Loyauté du traitement et source des données collectées363
B. Communication à des pays tiers364
Nouveau défi de mise en conformité («compliance»)
pour les responsables du traitement :
vers une responsabilité accrue
Chapitre 1
The role of national data protection authorities in the light
of the proposed General Data Protection Regulation
Tine A. Larsen
Chapitre 2
Companies' liability regarding new technologies
Gérard Lommel
I A Paradigm Shift: From a Reactive to a Proactive Attitude
towards Data Protection rules373
II Building on existing principles and strengthening
data protection rules in view of the technological
developments374
A. Enlarged territorial scope of EU legal framework374
B. Increased emphasis on transparency375
C. Strengthened individual rights so as to cope with the new
online reality375
D. Rules applicable to Profiling375
E. Increased security obligations and personal data breach notification376
F. Data Protection by Design377
G. Data Protection Impact Assessment377
H. Data Protection Officer378
III Which attitude towards compliance:
Data Protection - Friend or Foe?378
Chapitre 3
Le nouveau rôle des autorités de contrôle
Sophie Nerbonne
Introduction
379
I Une régulation par l'accompagnement des professionnels
illustrée par les «packs de conformité»383
A. Cette appellation, un tant soit peu commerciale, il faut bien
le reconnaître, recouvre tout à la fois une méthode de travail
et un nouveau mode de régulation pour la CNIL383
B. Ces référentiels ont donc un double objectif383
C. Les trois premiers packs adoptés correspondent aux trois
hypothèses du recours à la conformité385
D. La création de «clubs conformité» destinés à faire vivre
les «packs de conformité»387
E. Les deux packs envisagés pour 2015388
II Installer les correspondants Informatique et Libertés au coeur
de la gouvernance des données en en faisant les acteurs
incontournables de la conformité et valoriser les outils
de la conformité que sont les labels et les BCR389
A. Un nouveau métier en cours de définition : le correspondant
Informatique et Libertés (CIL), pilote de la sécurité juridique
et technique du patrimoine informationnel au sein
des organismes publics ou privés389
B. «Le label CNIL comme outil de conformité» :
un indicateur de confiance390
C. Les Binding Corporate Rules (BCR) et les Règles contraignantes
d'entreprise (RCE) francophones : les prémices des programmes
de management de la vie privée391
Chapitre 4
Challenges for compliance with the rights of data subjects:
the case of a hypothetical complaint related to the exercise
of the right of access
Maria Veronica Perez Asinari
Introduction
395
I What does the EDPS do to protect the rights of data subjects?396
II EDPS Guidelines on the rights of individuals with regard
to the processing of personal data396
III A hypothetical example of a complaint397
Concluding remarks
400
La protection des données en pratique
Chapitre 1
Les grands changements liés à la réglementation
sur la protection des données personnelles et ses implications
pratiques pour les entreprises et les professionnels
Georgia Skouma et Laura Léonard
I Le cadre juridique européen403
La directive 95/46/CE403
La future réglementation européenne : son application404
Quel(s) impact(s) sur les entreprises ?406
A. Quelles conséquences sur les relations entre l'entreprise
et le titulaire de données ?406
1. Le consentement407
2. Droit d'accès du titulaire des données407
a. Droit à l'oubli numérique et à l'effacement408
b. Droit d'opposition409
c. Profilage410
B. La mise en place de procédures internes et les obligations
incombant au responsable du traitement411
1. Protection des données dès la conception et protection des données
par défaut412
2. Élection d'un représentant pour les responsables de traitement
établis en dehors de l'Union européenne413
3. Obligation de documentation413
4. Sécurité des traitements414
5. Les obligations du responsable du traitement en cas de violation
de données à caractère personnel414
6. Analyse d'impact relative à la protection des données415
7. Désignation du délégué à la protection des données415
8. Certification416
9. Notification à l'autorité en charge de la protection de la vie privée416
C. Mise en application des règles légales417
1. Sanctions administratives417
Conclusion intermédiaire
417
II Les programmes «Vie privée» : défis, options et avantages418
A. Les défis de la conformité aux règles en matière de protection
des données418
1. Le contexte pluridimensionnel de la protection des données personnelles418
B. Les facteurs incitant à la mise en conformité420
C. Les sanctions en cas de non-conformité422
D. Les programmes de protection des données personnelles424
Raison d'être et concept424
E. Quels avantages pour l'entreprise ?425
Bibliographie
426
Chapitre 2
Peering into the Future of Privacy
François Lhemery et Marie-Charlotte Roques-Bonnet
Introduction
429
I Moving from the computing age to the digital ubiquity430
A. An EU legal framework out of touch with the digital boom431
B. A digital environment that revolutionizes data uses431
II From privacy concerns to building trust in a ubiquitous
digital society433
A. Putting the user in control of their digital life433
B. Taking a step beyond legal compliance by assessing proportionality435
C. Turning by-default accountability into trust by providing
full transparency to users436
III Towards a new legal paradigm437
A. Moving from the "notice and consent" model to the
"User Control Model"437
B. Legitimate interest: an effective legal ground for data processing
conditioned by accountability and full transparency438
Conclusions: Beyond data protection law compliance,
being trusted by individuals controlling their ubiquitous
digital identity
439
Conclusions
Peter Hustinx
Some reflections at the end
443