Enjeux européens et mondiaux de la protection des données personnelles

Résumé

Analyse des grands enjeux en matière de protection des données à caractère personnel, à la lumière des dispositions de la proposition de règlement européen et des législations européennes en vigueur. L'ouvrage traite en particulier du droit à l'oubli, du profilage ou de la notification des failles de sécurité. ©Electre 2015

Contributeur(s)
- Grosjean, Alain (1970-....). Directeur de publication/coordinateur/coordonnateur
- Union internationale des avocats. Éditeur scientifique
Éditeur(s)
- Larcier
Date
- DL 2014
Notes
- Textes en anglais et en français
- Issu du séminaire éponyme organisé par l'Union internationale des avocats à Bruxelles, les 19 et 20 septembre 2014
- Notes bibliogr.
- Diff. en France
Description matérielle
- 1 vol. (465 p.) ; 24 cm
Collections
- Création, information, communication
Sujet(s)
ISBN
- 978-2-8044-7701-1
Indice
- 346.2 Droit du multimédia et de l'Internet
Quatrième de couverture
- Cet ouvrage offre une analyse des grands enjeux en matière de protection des données à caractère personnel, à la lumière des dispositions de la proposition de règlement européen et des législations européennes en vigueur.
  Nous assistons actuellement à une véritable révolution sociale, économique et technologique. L'exploitation des données avec le big data, l'internet des objets, va changer le monde. Face aux avancées, mais également aux inquiétudes que cette révolution suscite, il est important de s'appuyer sur les droits fondamentaux. Ainsi l'ouvrage revient sur la jurisprudence tant de la Cour de justice européenne que celle de la Cour européenne des droits de l'homme.
  Une attention particulière est également donnée au champ d'application territorial de la proposition de règlement et au transfert des données. L'ouvrage met notamment en relief la perception américaine des règles de protection des données personnelles par rapport aux dernières négociations entre l'Europe et les États-Unis. Il traite en particulier du droit à l'oubli, du profilage ou de la notification des failles de sécurité ; il met en exergue les défis de la protection des données personnelles dans le domaine des services financiers, notamment en matière de fraude au paiement.
  L'ouvrage s'intéresse ainsi non seulement aux mesures à prendre par les entreprises pour respecter les règles de protection des données, mais aussi à la façon des autorités de les faire respecter.
  Il propose ainsi une approche aussi bien juridique que pratique sur le sujet.
Tables des matières
- - Enjeux européens et mondiaux de la protection des données personnelles
  - Larcier
  - Remerciements 5
  - Préface 1 7
  - Foreword 2: Shedding light on the data protection reform 9
  - Préface 3 11
  - Préface 4 13
  - Préface 5 15
  - Propos introductifs
  - Comment assurer l'effectivité de la protection des droits à l'ère post-Snowden ?
  - Édouard Geffray
  - I Le premier enjeu majeur est celui de la souveraineté du droit européen de la protection des données, c'est-à-dire de sa pleine applicabilité lorsque les données d'un résident européen sont traitées20
  - II Le deuxième enjeu réside, à mon sens, dans l'intégration croissante et nécessaire de l'Europe de la protection des données21
  - III Dans ce contexte, le troisième et dernier enjeu pour assurer l'effectivité de la protection des données personnelles me semble résider dans ses modalités de contrôle a posteriori. Dans les États de droit contemporains, ce contrôle repose sur trois acteurs : le citoyen, les autorités de protection et le juge22
  - Droits fondamentaux et jurisprudence européenne
  - Chapitre 1 La protection des données à caractère personnel dans le cadre de la jurisprudence de la Cour de justice de l'Union européenne relative aux droits fondamentaux
  - Agostino Valerio Placco
  - Introduction 27
  - I Conditions de légalité des limitations à l'exercice de droits fondamentaux20
  - A. Quelle grille d'analyse ?29
  - B. Les conditions posées à l'article 52, § 1^er, première phrase31
  - 1. La limitation doit être «prévue par la loi»31
  - 2. La limitation doit respecter le contenu essentiel du droit fondamental en cause32
  - C. Les conditions posées à l'article 52, § 1^er, seconde phrase, ou le contrôle de proportionnalité34
  - 1. Test d'aptitude35
  - 2. Test de nécessité36
  - 3. Test de proportionnalité au sens strict37
  - II Apports spécifiques de la jurisprudence relative à la protection des données à caractère personnel31
  - A. L'exigence d'une analyse d'impact préalable41
  - B. L'exigence de garanties suffisantes contre les risques d'abus44
  - C. La marge d'appréciation du législateur de l'Union et l'intensité du contrôle juridictionnel48
  - Conclusions 50
  - Chapitre 2 La protection des données dans la jurisprudence de la Cour européenne des droits de l'homme
  - Loredana Tassone
  - Chapitre 3 Articles 7 and 8 of the EU Charter: two distinct fundamental rights
  - Christopher Docksey
  - Introduction 71
  - I Article 7 of the Charter: the right to privacy73
  - II Article 8 of the Charter: the right to protection of personal data74
  - III The overlap between the two rights in the case law76
  - 1. The interpretation of Article 8 ECHR to cover the processing of personal data76
  - 2. The development of a parallel concept in Germany, the constitutional right to informational self-determination79
  - IV The differences between the two rights and the practical consequences82
  - 1. The different scope of the rights at issue82
  - 2. Supervision by an independent authority85
  - 3. Interference and justification87
  - V The implications of the status of data protection as primary law under Article 8 of the Charter and Article 16 TFEU89
  - 1. Article 8 offers an additional protection to Article 789
  - 2. The interpretation and application of Article 8 of the Charter93
  - 3. The limitation on legislative discretion under Article 16 of the Treaty96
  - Conclusions 97
  - Chapitre 4 La protection des données personnelles entre droits de l'homme et droits fondamentaux
  - François Moyse
  - I La Cour de Strasbourg et l'ingérence dans la vie privée101
  - II La Cour de Luxembourg et la proportionnalité des limitations aux droits fondamentaux103
  - III Les données personnelles, entre droits de l'homme et droits fondamentaux108
  - Champ d'application territorial du règlement et transfert de données
  - Chapitre 1 Aperçu de la dimension internationale du Règlement général sur la protection des données à caractère personnel
  - Marc Gallardo Meseguer
  - Introduction 117
  - I Une réforme en cours119
  - II Un champ d'application territorial «renouvelé»119
  - III Des mécanismes «évolués» pour le transfert des données122
  - A.122
  - B.124
  - C.125
  - IV Safe Harbor... une sphère de (d') «(in)sécurité» ?125
  - V Remarques finales128
  - Annexes : Aperçu du champ d'application territorial et transferts des données dans la proposition de règlement 129
  - Annexe 1 : Champ d'application territorial 131
  - Annexe 2 : Chapitre V - Transfert des données (articles 40 à 45) 133
  - Annexe 3 : Safe harbour 155
  - Chapitre 2 Mind the GAP: understanding the U.S. perspective on privacy in safe harbor/data transfer negotiations
  - Richard J. Peltz-Steele
  - I Public Sector, Private Sector162
  - II Property Paradigm, Rights Paradigm163
  - III A Slow Evolution of the U.S. Perspective165
  - IV Conclusion: Mind the gap169
  - Chapitre 3 Application territoriale de la législation européenne en matière de protection des données et transfert de données vers des pays tiers : vaincre la peur de l'autre
  - Jean-François Henrotte et Fanny Coton
  - I Introduction171
  - A. Droit applicable au responsable du traitement173
  - 1. Historique173
  - 2. Directive 95/46/CE174
  - a. Texte retenu174
  - b. Transposition en droits belge et luxembourgeois176
  - c. Comparaison avec la directive 2002/58/CE177
  - d. Analyse de l'article 4177
  - 1° 4, § 1er, a) : responsable de traitement établi dans un état membre178
  - i. Établissement sur le territoire d'un État membre178
  - ii. Dans le cadre des activités179
  - 2° Article 4, § 1er, b) : application en vertu du droit international public183
  - 3° Article 4, § 1er, c) : recours à des moyens183
  - 3. Projet de règlement188
  - B. Droit applicable aux mesures de sécurité en cas de sous-traitance193
  - 1. Directive 95/46/CE193
  - 2. Projet de règlement193
  - C. Compétence des autorités nationales de contrôle194
  - 1. Directive 95/46/CE194
  - 2. Projet de règlement194
  - II Les transferts de données à des responsables de traitement ou à des sous-traitants établis en dehors de l'Union européenne197
  - A. Directive 95/46/CE197
  - 1. Vers des pays offrant un niveau de protection adéquat198
  - a. Reconnaissance du niveau de protection198
  - b. Le cas particulier des USA : le niveau de protection adéquat par le Safe Harbor199
  - 2. Vers des pays n'offrant pas un niveau de protection adéquat205
  - a. Clauses contractuelles205
  - b. Règles d'entreprise contraignantes (BCR)206
  - c. Exceptions207
  - B. Le projet de règlement208
  - 1. Vers un pays offrant un niveau de protection adéquat208
  - 2. Vers des pays n'offrant pas un niveau de protection adéquat210
  - a. Transferts moyennant des garanties appropriées210
  - b. Transferts encadrés par des Règles d'entreprise contraignantes211
  - c. Clauses contractuelles et autres garanties213
  - d. Exceptions214
  - III Conclusions215
  - Comment les droits de la personne concernée sont-ils renforcés ?
  - Chapitre 1 Comment les droits de la personne concernée sont-ils renforcés ?
  - Christiane Féral-Schuhl
  - Chapitre 2 How to Handle Data Breaches From an EU Legal and Practical Perspective
  - Elisabeth Thole
  - I Introduction223
  - II Data protection laws and regulations224
  - III Personal data226
  - Legitimate purpose227
  - Legal ground227
  - Information duty228
  - IV Data Protection Officer229
  - V Data breaches230
  - VI Legal framework - data breaches230
  - VII Appropriate technical and organizational security measures231
  - VIII Notification duties233
  - IX Relevance of notification duties236
  - X Remedies, actions and sanctions237
  - XI Incident Road Map239
  - Pre-incident239
  - Incident241
  - Post-incident241
  - XII Cyber Risk Insurance242
  - XIII Closing remarks243
  - Chapitre 3 Droit à l'oubli, droit à l'effacement ou droit au déréférencement ? Quand le législateur et le juge européens dessinent les contours du droit à l'oubli numérique
  - Cécile de Terwangne
  - I Droit à l'oubli, droit à l'effacement, droit au déréférencement, de quoi s'agit-il ?245
  - II Contexte du droit à l'oubli numérique : les spécificités d'Internet245
  - A. La nécessité d'une décision d'effacer et l'«eternity effect» ou effet d'éternité qui en découle248
  - B. Le coût économique de l'effacement249
  - C. La décontextualisation des informations249
  - III L'autodétermination informationnelle à la base du droit à l'oubli ou à l'effacement251
  - IV Le droit au déréférencement253
  - V Le droit à l'oubli en cas de traitement de données basé sur le consentement de la personne concernée : le droit à l'oubli en tant que droit au repentir et à changer d'avis248
  - VI Le droit à l'oubli lorsque l'information est traitée/diffusée à l'initiative d'un tiers257
  - A. La mise en balance des intérêts257
  - 1. La résolution des conflits de droits et intérêts257
  - 2. Les critères de la résolution des conflits258
  - 3. Exemple des archives de presse sur Internet. Critères pour la mise en balance : actualité, intérêt historique et intérêt public259
  - B. Les éléments du droit à l'oubli issus de la législation de protection des données262
  - 1. L'obligation de supprimer des données à caractère personnel découlant du principe de finalité262
  - 2. Le droit à l'effacement des données262
  - a. L'article 12, b), de la directive 95/46262
  - b. Les cas élargis de traitement non conforme : non-respect des exigences de qualité des données, non-respect des hypothèses de légitimité des traitements263
  - 3. Le droit d'opposition au traitement des données265
  - VII Les effets de l'exercice du droit à l'oubli267
  - A. L'effacement, l'anonymisation, le verrouillage, ou...267
  - B. L'information en aval des demandes d'effacement de données269
  - VIII Droit à la suppression automatique des données dans l'environnement électronique - Droit à l'oubli par défaut271
  - Conclusion 273
  - Chapitre 4 Le profilage : un défi pour la protection des données à caractère personnel
  - Alain Grosjean
  - Introduction 277
  - I Les raisons variées du profilage et la révolution du big data284
  - A. Profilage imposé par la loi284
  - B. Lutte contre la fraude et profilage en matière de sécurité nationale286
  - C. La publicité ciblée287
  - D. Le big data289
  - II La tentative de délimitation de la notion de profilage291
  - A. La définition du profilage291
  - B. Notions d'anonymisation ou de pseudonymisation295
  - 1. Anonymisation295
  - 2. Pseudonymisation296
  - C. Le profilage de la publicité ciblée en ligne concerne-t-il des données à caractère personnel ?297
  - D. L'encadrement légal du profilage298
  - 1. L'État de la législation sur les cookies298
  - 2. Les dispositions de la directive 95/46/CE et réforme à venir300
  - III Les recommandations300
  - A. Les recommandations d'ordre technique305
  - B. Les recommandations d'ordre comportemental307
  - 1. Pour les responsables du traitement308
  - 2. Le rôle des autorités de régulation309
  - 3. Meilleure prise de conscience des utilisateurs309
  - Conclusion 309
  - Banque, paiement en ligne et protection des données personnelles
  - Chapitre 1 Banque, paiement en ligne et protection des données personnelles
  - Myriam Quéméner
  - Chapitre 2 Systèmes de prévention de la fraude et protection des données personnelles
  - Nathalie Métallinos
  - Introduction 315
  - I L'application des principes de protection des données aux traitements de prévention de la fraude et des impayés317
  - A. Les différences d'approche adoptées par les États membres317
  - B. Les recommandations du Groupe de travail «Article 29» sur les listes noires et leur application aux traitements destinés à la prévention de la fraude319
  - II Conciliation des règles relatives à la protection des données à caractère personnel et des législations et pratiques destinées à la prévention de la fraude : les perspectives offertes dans la proposition de règlement322
  - A. Les cas de présomption de légitimité fondée sur l'intérêt légitime324
  - B. Le régime applicable aux mesures de profilage326
  - Conclusion 327
  - Chapitre 3 L'anonymisation des informations et l'authentification biométrique pourraient permettre de lutter efficacement contre les vols de données bancaires
  - Olivier Perrin
  - Introduction 329
  - I La protection des données bancaires, un enjeu stratégique pour les entreprises à l'heure du numérique330
  - A.330
  - B.331
  - II La confiance dans les moyens de paiement et, donc, de leur protection, au coeur du développement de l'économie numérique332
  - A.332
  - B.333
  - III L'anonymisation des données et l'authentification forte les deux facettes de la protection des données bancaires334
  - A.334
  - B.335
  - Conclusion 335
  - La protection des données et services financiers
  - Chapitre 1 Introduction de session
  - Alex Schmitt
  - Chapitre 2 La protection des droits de la personne concernée dans les services financiers
  - Isabelle Chatelier
  - I Le respect des droits des clients personnes physiques et autres personnes physiques en lien avec ces clients (bénéficiaires réels, membres de la famille des personnes politiquement exposées, etc.)344
  - A. Droit à l'information344
  - B. Droit d'accès344
  - C. Limitation des droits et recours345
  - II Le respect des droits des professionnels - personnes physiques - du secteur financier345
  - A. Droit d'accès346
  - B. Publication de sanctions346
  - C. Whistleblowing347
  - Conclusion 347
  - Chapitre 3 La protection des données fiscales dans l'assistance administrative internationale
  - Lionel Noguera
  - Introduction 349
  - A. La rencontre de deux mondes349
  - B. Formes et instruments de l'échange d'informations en matière fiscale351
  - C. L'échange d'informations, traitement de masse352
  - I Portée de l'exception de l'article 13 de la directive 95/46/CE354
  - A. Intérêts protégés354
  - B. Application au traitement de données fiscales en général356
  - C. Cas particulier de l'échange d'informations harmonisé361
  - II Problématiques annexes363
  - A. Loyauté du traitement et source des données collectées363
  - B. Communication à des pays tiers364
  - Nouveau défi de mise en conformité («compliance») pour les responsables du traitement : vers une responsabilité accrue
  - Chapitre 1 The role of national data protection authorities in the light of the proposed General Data Protection Regulation
  - Tine A. Larsen
  - Chapitre 2 Companies' liability regarding new technologies
  - Gérard Lommel
  - I A Paradigm Shift: From a Reactive to a Proactive Attitude towards Data Protection rules373
  - II Building on existing principles and strengthening data protection rules in view of the technological developments374
  - A. Enlarged territorial scope of EU legal framework374
  - B. Increased emphasis on transparency375
  - C. Strengthened individual rights so as to cope with the new online reality375
  - D. Rules applicable to Profiling375
  - E. Increased security obligations and personal data breach notification376
  - F. Data Protection by Design377
  - G. Data Protection Impact Assessment377
  - H. Data Protection Officer378
  - III Which attitude towards compliance: Data Protection - Friend or Foe?378
  - Chapitre 3 Le nouveau rôle des autorités de contrôle
  - Sophie Nerbonne
  - Introduction 379
  - I Une régulation par l'accompagnement des professionnels illustrée par les «packs de conformité»383
  - A. Cette appellation, un tant soit peu commerciale, il faut bien le reconnaître, recouvre tout à la fois une méthode de travail et un nouveau mode de régulation pour la CNIL383
  - B. Ces référentiels ont donc un double objectif383
  - C. Les trois premiers packs adoptés correspondent aux trois hypothèses du recours à la conformité385
  - D. La création de «clubs conformité» destinés à faire vivre les «packs de conformité»387
  - E. Les deux packs envisagés pour 2015388
  - II Installer les correspondants Informatique et Libertés au coeur de la gouvernance des données en en faisant les acteurs incontournables de la conformité et valoriser les outils de la conformité que sont les labels et les BCR389
  - A. Un nouveau métier en cours de définition : le correspondant Informatique et Libertés (CIL), pilote de la sécurité juridique et technique du patrimoine informationnel au sein des organismes publics ou privés389
  - B. «Le label CNIL comme outil de conformité» : un indicateur de confiance390
  - C. Les Binding Corporate Rules (BCR) et les Règles contraignantes d'entreprise (RCE) francophones : les prémices des programmes de management de la vie privée391
  - Chapitre 4 Challenges for compliance with the rights of data subjects: the case of a hypothetical complaint related to the exercise of the right of access
  - Maria Veronica Perez Asinari
  - Introduction 395
  - I What does the EDPS do to protect the rights of data subjects?396
  - II EDPS Guidelines on the rights of individuals with regard to the processing of personal data396
  - III A hypothetical example of a complaint397
  - Concluding remarks 400
  - La protection des données en pratique
  - Chapitre 1 Les grands changements liés à la réglementation sur la protection des données personnelles et ses implications pratiques pour les entreprises et les professionnels
  - Georgia Skouma et Laura Léonard
  - I Le cadre juridique européen403
  - La directive 95/46/CE403
  - La future réglementation européenne : son application404
  - Quel(s) impact(s) sur les entreprises ?406
  - A. Quelles conséquences sur les relations entre l'entreprise et le titulaire de données ?406
  - 1. Le consentement407
  - 2. Droit d'accès du titulaire des données407
  - a. Droit à l'oubli numérique et à l'effacement408
  - b. Droit d'opposition409
  - c. Profilage410
  - B. La mise en place de procédures internes et les obligations incombant au responsable du traitement411
  - 1. Protection des données dès la conception et protection des données par défaut412
  - 2. Élection d'un représentant pour les responsables de traitement établis en dehors de l'Union européenne413
  - 3. Obligation de documentation413
  - 4. Sécurité des traitements414
  - 5. Les obligations du responsable du traitement en cas de violation de données à caractère personnel414
  - 6. Analyse d'impact relative à la protection des données415
  - 7. Désignation du délégué à la protection des données415
  - 8. Certification416
  - 9. Notification à l'autorité en charge de la protection de la vie privée416
  - C. Mise en application des règles légales417
  - 1. Sanctions administratives417
  - Conclusion intermédiaire 417
  - II Les programmes «Vie privée» : défis, options et avantages418
  - A. Les défis de la conformité aux règles en matière de protection des données418
  - 1. Le contexte pluridimensionnel de la protection des données personnelles418
  - B. Les facteurs incitant à la mise en conformité420
  - C. Les sanctions en cas de non-conformité422
  - D. Les programmes de protection des données personnelles424
  - Raison d'être et concept424
  - E. Quels avantages pour l'entreprise ?425
  - Bibliographie 426
  - Chapitre 2 Peering into the Future of Privacy
  - François Lhemery et Marie-Charlotte Roques-Bonnet
  - Introduction 429
  - I Moving from the computing age to the digital ubiquity430
  - A. An EU legal framework out of touch with the digital boom431
  - B. A digital environment that revolutionizes data uses431
  - II From privacy concerns to building trust in a ubiquitous digital society433
  - A. Putting the user in control of their digital life433
  - B. Taking a step beyond legal compliance by assessing proportionality435
  - C. Turning by-default accountability into trust by providing full transparency to users436
  - III Towards a new legal paradigm437
  - A. Moving from the "notice and consent" model to the "User Control Model"437
  - B. Legitimate interest: an effective legal ground for data processing conditioned by accountability and full transparency438
  - Conclusions: Beyond data protection law compliance, being trusted by individuals controlling their ubiquitous digital identity 439
  - Conclusions
  - Peter Hustinx
  - Some reflections at the end 443
Origine de la notice:
- FR-751131015