Protection des données personnelles
Francis Lefebvre
Chapitre 1
Encadrement des traitements de données à caractère personnel13
¤ Section I
Les textes consacrant le principe de protection des données personnelles13
I. Au niveau supranational13
A Charte des droits fondamentaux de l'Union européenne13
B Traité sur le fonctionnement de l'Union européenne14
II. Au niveau national15
¤ Section II
Les textes mettant en oeuvre la protection des données personnelles15
I. RGPD15
II. Loi Informatique et libertés18
III. Réglementation « e-Privacy »21
IV. Lignes directrices du G2922
Chapitre 2
Principes généraux25
¤ Section I
Principe général de responsabilité (« accountability »)25
I. Principe de responsabilité25
A Contenu du principe26
B Maintien exceptionnel du régime de l'autorisation26
II. Principes de protection des données dès la conception et par défaut29
A Protection des données dès la conception29
B Protection des données par défaut30
C Tableau récapitulatif31
D Champ d'application des principes31
¤ Section II
Principes liés à la collecte des données32
I. Limitation des finalités32
A Finalités déterminées, explicites et légitimes33
B Prohibition des traitements ultérieurs incompatibles avec les finalités36
C Exception37
II. Minimisation, exactitude, limitation de la conservation38
A Minimisation des données38
B Exactitude des données40
C Limitation de la conservation des données41
Section III
Principes relatifs au traitement43
A Licéité, loyauté, transparence43
B Intégrité et confidentialité46
Chapitre 3
Licéité des traitements49
Section I
Cas général49
I. Consentement de la personne concernée49
A Consentement donné librement50
B Consentement spécifique54
C Consentement éclairé54
D Manifestation de volonté univoque56
II. Exécution d'un contrat ou de mesures précontractuelles57
A Exécution d'un contrat57
B Exécution de mesures précontractuelles59
III. Respect d'une obligation légale60
IV. Sauvegarde d'intérêts vitaux61
V. Exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement62
VI. Intérêts légitimes du responsable de traitement ou d'un tiers63
A Intérêt légitime64
B Critère de mise en balance66
Section II
Cas particuliers68
I. Traitements des données d'un mineur68
A Champ d'application69
B Traitements liés à l'offre directe de service de la société de l'information69
C Traitements non liés à l'offre directe de services de la société de l'information70
D Tableau récapitulatif71
II. Traitements de données relevant de catégories particulières71
A Données sensibles71
B Données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes79
C Numéro de sécurité sociale80
D Autres cas particuliers81
Chapitre 4
Régime des traitements - Cadre général87
¤ Section I
Obligations des responsables de traitements87
I. Désignation d'un délégué à la protection des données87
A Désignation88
B Fonction95
C Missions96
II. Amoindrir les risques liés aux traitements98
A Sécurité98
B Analyse d'impact et consultation préalable de la Cnil103
C Transfert de données vers des pays tiers à l'UE ou des organisations internationales110
III. Renforcer le lien de confiance entre le responsable et la personne concernée114
A Transparence114
B Notification à la Cnil et communication à la personne concernée d'une violation de données personnelles118
IV. Documenter la conformité à la réglementation121
A Tenue d'un registre des activités de traitement121
B Possible recours à des codes de conduite et mécanismes de certification124
C Désignation d'un représentant du responsable125
¤ Section II
Spécificités en cas de pluralité d'acteurs126
I. Qualification127
A Identification du traitement en cause127
B Identification du responsable de traitement127
C Qualification du responsable et qualification de ses partenaires128
II. Obligations des responsables conjoints du traitement132
A Accord132
B Droit des personnes concernées133
III. Recours par le responsable du traitement à un ou plusieurs sous-traitants133
A Obligations du responsable relatives à la désignation133
B Obligations du sous-traitant et de la personne qui agit sous l'autorité de ce dernier137
¤ Section III
Droits des personnes concernées137
I. Cas général137
A Droit d'accès138
B Droit de rectification144
C Droit à l'effacement (« droit à l'oubli »)145
D Droit à la limitation du traitement148
E Droit à la portabilité des données150
F Droit d'opposition154
G Droit de donner des directives sur ses données après sa mort157
II. Cas spécifique des traitements automatisés donnant lieu à décision individuelle158
A Droit de ne pas faire l'objet d'une décision fondée sur un traitement automatisé produisant des effets juridiques à son égard158
B Droit d'obtenir une intervention humaine, la possibilité d'exprimer son point de vue et de contester la décision160
III. Limitations aux droits des personnes161
Chapitre 5
Traitements spécifiques163
¤ Section I
Communications électroniques163
I. Principes164
A Champ d'application de la réglementation164
B Confidentialité des communications165
II. Utilisation des données de communication par les fournisseurs166
A Définition et utilisation des données de trafic166
B Utilisation des données de contenus167
C Géolocalisation167
D Restriction de l'identification des lignes168
III. Autres utilisations des données liées à l'équipement170
A Accès à l'équipement à des fins de stockage ou de collecte170
B Traitement des données émises par l'équipement173
C Annuaires173
IV. Marketing direct173
A Définition173
B Communication électronique non sollicitée à des fins de prospection directe174
C Autres communications à des fins de prospection directe175
V. Limites de la protection176
A Principe176
B Annulation de la directive 2006/24177
C Invocation de l'obligation de communication des données devant les juridictions civiles178
D Possible évolution du droit positif179
¤ Section II
Traitement des données sensibles en France180
I. Principe d'interdiction de traitement180
II. Exceptions181
A Exceptions prévues par le RGPD181
B Exceptions prévues par la loi Informatique et libertés181
III. Autres règles en matière de données génétiques, biométriques et de santé186
A Données génétiques et biométriques nécessaires à l'identification186
B Données de santé187
IV. Autres réglementations applicables aux données de santé196
A Secret médical197
B Systèmes d'information des professionnels198
C Hébergeurs tiers200
D Logiciel de traitement des données et qualification de dispositif médical205
¤ Section III
Traitement des données d'infractions206
I. Traitements relevant de la directive 2016/680207
A Conditions spécifiques207
B Obligations spécifiques208
C Modalités d'exercice des droits209
II. Traitements hors champ de la directive 2016/680210
A Traitements dans le cadre d'une action judiciaire210
B Traitements hors cadre d'une action judiciaire211
¤ Section IV
Traitement du numéro de sécurité sociale212
A Répertoire national d'identification des personnes physiques213
B NIR213
¤ Section V
Traitement des données bancaires215
I. Traitement des données par les établissements bancaires215
A Systèmes d'information des établissements bancaires215
B Position de la Cnil au regard des traitements les plus courants217
C Traitements spécifiques227
II. Traitement des données bancaires par d'autres entités : cas de la vente à distance230
Chapitre 6
Contrôle du respect de la réglementation233
¤ Section I
La Cnil, acteur du contrôle233
I. Composition et formations233
II. Missions et pouvoirs236
A Missions236
B Pouvoirs237
III. Coopération et assistance243
¤ Section II
Voies de recours et sanctions246
I. Voies de recours246
A Droit d'introduire une réclamation auprès d'une autorité de contrôle246
B Droit à un recours juridictionnel effectif contre une autorité de contrôle247
C Droit à un recours juridictionnel effectif contre un responsable de traitement ou un sous-traitant248
D Représentation des personnes concernées248
II. Sanctions250
A Sanctions civiles250
B Sanctions administratives250
C Sanctions pénales252
Annexes
Annexe I
Table de concordance257
Annexe II
Lexique261
Annexe III
Proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques265
Sommaire analytique