Informatique et Libertés
Enjeux, risques, solutions et outils de gestion
Lamy
Sommaire9
Introduction11
Partie I Cadre réglementaire
Chapitre 01 Sources internationales et européennes17
Chapitre 02 La réglementation française31
Section I Notions clés34
Sous-section 1 Données à caractère personnel34
Sous-section 2 Traitement de données à caractère personnel36
¤ Certains fichiers manuels contenant des « données sensibles »36
¤ Les fichiers d'infraction37
Sous-section 3 Responsable de traitement37
Sous-section 4 Sous-traitant38
Sous-section 5 Quelques exemples39
Section II La CNIL et les régulateurs sectoriels42
Sous-section 1 La CNIL42
Sous-section 2 La coopération avec les autres régulateurs44
Section III Données sensibles, numéro de sécurité sociale et données d'infraction45
Sous-section 1 Données sensibles45
¤ Définition des « données sensibles »45
¤ Le traitement des « données sensibles » : principe d'interdiction45
Sous-section 2 Numéro de sécurité sociale46
Sous-section 3 Données d'infraction47
Sous-section 4 Exemple de décision de la CNIL : autorisation unique n° AU-01748
Section IV Légitimité du traitement/proportionnalité52
Sous-section 1 La légitimité du traitement52
Sous-section 2 La proportionnalité du traitement53
Section V Les formalités déclaratives54
Sous-section 1 Régime de déclaration54
¤ Déclaration ordinaire56
¤ Déclaration simplifiée57
¤ Dispenses59
Sous-section 2 Régime d'autorisation61
¤ Régime normal d'autorisation61
¤ Autorisations uniques62
¤ Autorisations relatives au domaine de la santé64
Recherches dans le domaine de la santé (chapitre IX)66
Évaluations et/ou analyses des pratiques ou activités de soins et de prévention (chapitre X)67
¤ Autorisations relatives aux transferts de données à caractère personnel réalisés en dehors de l'UE68
Sous-section 3 Demande d'avis68
Sous-section 4 Les impacts de la désignation d'un correspondant informatique et libertés (CIL) sur les formalités déclaratives69
Sous-section 5 La liste des traitements (article 31 de la loi « Informatique et Libertés »)71
Section VI Transparence et information72
Sous-section 1 Information des personnes dont les données à caractère personnel sont collectées72
¤ Principe72
¤ Exceptions prévues par l'article 32 de la loi « Informatique et Libertés »73
¤ Modalités pratiques de l'information74
Sous-section 2 Certains cas particuliers74
¤ Cas particulier : les « cookies »74
¤ Cas particulier de la prospection commerciale non sollicitée76
Sous-section 3 Respect des droits accordés par la loi « Informatique et Libertés » aux personnes dont les données à caractère personnel sont collectées77
¤ Le droit d'accès77
¤ Le droit de rectification78
¤ Le droit d'opposition79
Section VII Confidentialité et sécurité79
Section VIII Durée de rétention83
Section IX Encadrement des transferts en dehors de l'Union européenne86
Sous-section 1 Les transferts vers les pays offrant un niveau de protection adéquat ou suffisant87
Sous-section 2 Le Safe Harbor ou « sphère de sécurité » (États-Unis)87
Sous-section 3 Les transferts vers les pays tiers88
¤ Mise en place de clauses contractuelles ou de règles internes d'entreprise (ou « Binding Corporate Rules » - BCR)88
¤ Les exceptions prévues par la loi « Informatique et Libertés »90
Section X Quelques recommandations opérationnelles à l'attention des responsables de traitement91
Partie II Risques et conséquences en cas de non-conformité
Chapitre 01 Les sanctions97
Section I Le volet pénal97
Sous-section 1 Présentation97
¤ Collecte déloyale de données personnelles97
¤ Détournement de finalité97
¤ Non-respect du droit à l'oubli98
¤ Faille de sécurité98
¤ Collecte irrégulière de données sensibles98
¤ Collecte irrégulière du numéro de sécurité sociale99
¤ Absence de déclaration à la CNIL99
¤ Absence d'encadrement des transferts de données hors UE99
¤ Entrave à l'action de la CNIL99
¤ Non-respect des droits des personnes100
Sous-section 2 Retour d'expérience et jurisprudence100
Section II Le volet administratif104
Sous-section 1 Présentation104
Sous-section 2 Décisions de sanction administrative prononcées par la CNIL106
Chapitre 02 Retour d'expérience sur les contrôles et les poursuites engagées par la CNIL109
Section I Les contrôles sur place de la CNIL109
¤ Les pouvoirs de contrôle de la CNIL109
¤ Dans quels cas un contrôle sur place est-il réalisé ?111
¤ Information du Procureur de la République115
¤ Information de l'organisme contrôlé115
¤ Droit d'opposition de l'organisme contrôlé116
¤ Opposabilité du secret professionnel117
¤ Procès-verbal118
¤ Suites données à une mission de contrôle120
Section II Les sanctions administratives prononcées par la CNIL121
¤ La formation restreinte121
¤ Déroulement de la procédure contentieuse ordinaire122
¤ Déroulement de la procédure d'urgence126
¤ Procédure contradictoire127
¤ Publicité des décisions128
¤ Recours juridictionnel à l'encontre d'une décision de sanction de la CNIL129
Chapitre 03 Les dispositions sectorielles concernant les données personnelles131
Section I Données de santé132
Section II Données bancaires133
Section III Données « ressources humaines »134
Section IV Données issues du secteur des communications électroniques135
Chapitre 04 Le droit commun et les effets collatéraux des non-conformités137
Section I Le droit de la responsabilité civile137
Section II L'impact d'une non-conformité en droit de la preuve138
Partie III La gestion de la conformité : outils et bonnes pratiques
Chapitre 01 Les outils prévus par le droit positif143
Section I Les obligations déclaratives143
Section II Le correspondant informatique et libertés144
Section III Les règles internes ou Binding Corporate Rules (BCR)148
Section IV Les outils de labellisation et les codes de conduite152
Sous-section 1 La labellisation152
¤ La procédure de création d'un référentiel154
¤ La procédure d'octroi de label155
¤ Procédures de vérification et de retrait du label156
Sous-section 2 Les codes de conduite158
Chapitre 02 Les outils à venir et mis en oeuvre dans le cadre des bonnes pratiques161
Section I Les outils de protection des données dès la conception et la protection des données par défaut : les « Privacy enhancing technologies » et le « Privacy by design »162
Section II Les études d'impact ou « Privacy Impact Assesment »163
Section III Le délégué à la protection des données167
Section IV Les codes de conduite170
Section V Les mécanismes de certification171
Section VI Le principe d'« accountability »173
Section VII Les procédures d'audit175
Section VIII Les notifications des failles de sécurité178
Sous-section 1 Notification à l'autorité de contrôle des données178
Sous-section 2 Notification à la personne concernée179
Partie IV La valeur ajoutée pour l'entreprise
Chapitre 01 Dans sa communication et ses relations avec les parties prenantes183
Section I Relations avec les clients183
Section II Relations avec le personnel185
Section III Relations avec les régulateurs185
Chapitre 02 Dans la gestion de ses process187
Section I Lutte contre la fraude187
Section II Marketing190
Section III Sécurité du patrimoine informationnel192
Annexes195
Bibliographie sélective281
Index283