La protection des données personnelles
Les principales clés de décryptage du RGP
5e Édition
Guillaume Desgens-Pasanau
LexisNexis
Avant-proposIX
Le RGPD survivra-t-il à la crise sanitaire ?IX
SommaireXV
Chapitre 1 : Qu'est-ce que la protection des données à caractère personnel ?1
Section 1 : De la loi « Informatique et libertés » (1978) au RGPD (2018) : 40 ans d'histoire
1
§ 1. - L'affaire SAFARI, le numéro Carmille et l'adoption de la loi du 6 janvier 19781
§ 2. - La directive européenne du 24 octobre 1995 et la loi du 6 août 20043
§ 3. - La réforme européenne et le RGPD4
§ 4. - La loi pour une République numérique du 7 octobre 201612
§ 5. - La nouvelle loi du 20 juin 2018 « sur la protection des données personnelles »12
§ 6. - La proposition de règlement européen ePrivacy13
§ 7. - La proposition de règlement européen Data Governance Act15
Section 2 : Les concepts-clés du RGPD
15
§ 1. - Qu'est-ce qu'une donnée à caractère personnel ?16
§ 2. - À l'heure de l'Internet, comment mettre en ouvre le principe de loi applicable ?18
§ 3. - Notions de responsable de traitement et de sous-traitant22
Section 3 : Les nouveaux enjeux liés à la protection des données
27
§ 1. - La mondialisation et les paradis de données27
§ 2. - La « vague technologique » et les algorithmes29
§ 3. - La « vague sécuritaire »31
§ 4. - Réseaux sociaux et « exposition de soi » sur Internet32
§ 5. - L'uberisation de la protection des données, ou le triomphe de la privacy34
§ 6. - La crise sanitaire36
§ 8 - Tracking sur Internet et monétisation des données personnelles38
Chapitre 2 : Grille de lecture des obligations et droits consacrés dans le RGPD39
Section 1 : L'obligation de documenter sa conformité (Accountability)
40
§ 1. - Pour le responsable de traitement40
A. - La désignation d'un délégué à la protection des données (DPD)40
B. - Le registre des activités de traitement41
C. - La réalisation d'études d'impact (PIA ou EIVP)45
D. - La prise en compte du principe de privacy by design52
E. - La rédaction de procédures et de clausiers54
F. - Les opérations de formation ou de sensibilisation au RGPD55
G. - La réalisation d'opérations d'audit56
§ 2. - Pour le sous-traitant58
Section 2 : Obligation d'assurer une collecte loyale, licite et transparente des données
61
Section 3 : Obligation de respecter le principe de proportionnalité et de minimisation
63
Section 4 : Obligation de déterminer une base légale
68
Section 5 : Obligation de déterminer une durée de conservation des données
70
Section 6 : Obligation d'assurer la sécurité et la confidentialité des données
75
§ 1. - Éléments liminaires d'analyse75
§ 2. - Définition77
§ 3. - Mise en ouvre d'une politique de sécurité78
§ 4. - Sous-traitance informatique82
§ 5. - Notion de tiers autorisés83
§ 6. - Notification de violations de données personnelles (failles de sécurité)84
§ 7. - Opportunité de mise en ouvre d'une charte informatique88
Section 7 : Obligation d'encadrer les transferts de données en dehors de l'union européenne
90
Section 8 : Interdiction de principe de collecter certaines catégories particulières de données
98
§ 1. - Interdiction de collecter des « données sensibles »98
§ 2. - Interdiction de collecter des données d'infraction101
§ 3. - Restrictions à la collecte du numéro de sécurité sociale (NIR)103
Section 9 : Maintien résiduel de formalités préalables à accomplir auprès de la CNIL
107
Section 10 : Les droits des personnes fichées
108
§ 1. - La question du consentement préalable109
§ 2. - Obligation d'informer la personne concernée111
§ 3. - Obligation de respecter les droits d'accès, de rectification et de portabilité des données de la personne concernée114
§ 4. - Obligation de respecter les droits d'effacement, d'opposition et de limitation des données relatives à la personne concernée117
§ 5. - Modalités d'exercice des droits119
§ 6. - Limitations apportées à l'exercice des droits122
§ 7. - Les droits de l'internaute concernant les dispositifs de traçage sur Internet (cookies et autres traçeurs)124
§ 8. - Le droit au déréférencement137
Section 11 : Synthèse - Check-list « RGPD »
143
Chapitre 3 : Le risque de non-conformité145
Section 1 : Le risque réputationnel
146
Section 2 : Les pouvoirs de contrôle et de sanction de la CNIL
146
§ 1. - Le service des plaintes de la CNIL146
§ 2. - Les contrôles de la CNIL147
§ 3. - Les sanctions de la CNIL154
§ 4. - Autres prérogatives de la CNIL en matière contentieuse161
Section 3 : Le risque de contentieux judiciaire
162
§ 1. - Au niveau national162
A. - Juridictions pénales162
B. - Juridictions civiles et prud'homales165
C. - Juridictions administratives167
§ 2. - Au niveau européen168
Chapitre 4 : Le délégué à la protection des données (DPD)171
Section 1 : Désignation du DPD
173
§ 1. - Cas de désignation obligatoire du DPD173
§ 2. - Cas de désignation facultative du DPD174
§ 3. - Précisions concernant le périmètre de désignation du DPD175
Section 2 : Les dispositions statutaires relatives au DPD
178
§ 1. - Les qualifications requises du DPD178
§ 2. - Devoir d'assistance du responsable de traitement ou du sous-traitant182
§ 3. - Les conflits d'intérêts182
§ 4. - La responsabilité du DPD187
§ 5. - Absence de secret professionnel189
§ 6. - Positionnement hiérarchique et principe d'indépendance dans l'exercice des missions du DPD190
Section 3 : Les missions du DPD
194
§ 1. - Description des missions du DPD formalisées dans le RGPD194
§ 2. - Les missions du DPD sur le plan opérationnel196
§ 3. - Le registre des activités de traitement198
§ 4. - Absence d'obligation de dénonciation auprès de la CNIL198
§ 5. - Droit ou devoir d'alerte du DPD vis-à-vis du responsable de traitement ?200
§ 6. - Relations du DPD vis-à-vis des instances représentatives du personnel (IRP)201
Chapitre 5 : La CNIL et les autres acteurs de la régulation203
Section 1 : LA CNIL
203
§ 1. - Composition de la CNIL203
§ 2. - Missions de la CNIL204
§ 3. - L'impérative nécessité pour la CNIL d'engager sa mue et de renforcer à l'avenir sa production de « référentiels »206
§ 4. - Certification et codes de conduite209
Section 2 : Le comité européen de la protection des données (CEPD)
210
Section 3 : Le contrôleur européen de la protection des données
213
Section 4 : Les associations professionnelles
214
§ 1. - L'Association française des correspondants à la protection des données à caractère personnel (AFCDP)214
§ 2. - L'International Association of Privacy Professionnals (IAPP)214
Section 5 : Les associations représentant les intérêts des personnes fichées et les actions de groupe
215
Chapitre 6 : Les grands enjeux « informatique et libertés »217
Section 1 : Sur le lieu de travail
217
§ 1. - La géolocalisation des salariés221
§ 2. - La « cybersurveillance »225
§ 3. - Les dispositifs de contrôle d'accès biométrique229
§ 4. - La vidéosurveillance238
§ 5. - Les opérations de recrutement242
§ 6. - Les traitements de gestion des ressources humaines245
§ 7. - La mesure de la diversité253
§ 8. - Les alertes professionnelles (whistleblowing)254
§ 9. - La téléphonie257
§ 10. - Bring Your Own Device260
Section 2 : La gestion clients/prospects
261
§ 1. - La prospection commerciale261
§ 2. - Le profilage des clients et la « segmentation comportementale »266
§ 3. - Les décisions individuelles automatisées269
§ 4. - Les « listes noires » et la lutte contre la fraude270
§ 5. - La collecte de données relatives à des mineurs272
Section 3 : Sur internet
273
§ 1. - Le droit à l'oubli sur Internet273
§ 2. - Les objets connectés275
§ 3. - La conservation du numéro de carte bancaire par les cybermarchands277
Section 4 : La santé à l'heure des nouvelles technologies
279
Section 5 : Les fichiers mis en ouvre par les associations
295
Section 6 : Les collectivités locales
296
Section 7 : Open data et réutilisation des données publiques
301
Section 8 : La pseudonymisation et l'anonymisation de données
304
Section 9 : Les nouveaux enjeux liés à l'intelligence artificielle (IA)
307
Chapitre 7 : La protection des données au niveau international311
Section 1 : Les conventions internationales relatives à la protection des données
311
Section 2 : La protection des données ailleurs dans le monde
313
§ 1. - La protection des données aux États-Unis314
§ 2. - La protection des données dans la zone Asie-Pacifique : les lignes directrices de l'APEC315
§ 3. - En Afrique316
Sommaire des annexes327
Annexes329
Index alphabétique359