RGPD et droit des données personnelles
5e édition
Fabrice Mattatia
Éditions Eyrolles
Introdution
1
Chapitre 1
Les grands principes7
Vie privée : une notion récente et imprécise
8
De la vie privée aux données personnelles
10
Historique de la loi Informatique et Libertés
10
Un texte évolutif10
Des principes persistants11
Un objectif moral12
Les textes européens
13
La directive de 1995 (abrogée en 2018)14
Règles concernant les données
14
Quels droits pour la personne concernée ?
15
Contrôle et responsabilité
17
La directive e-privacy de 2002, modifiée en 2006 (téléphone, Internet)18
La directive de 2009 (« Paquet Télécom »)20
Le règlement de 201321
La directive de 2016 (police-justice)21
Transposition des directives dans le droit français22
Nécessité d'une évolution22
Le règlement de 2016 (RGPD)23
Chapitre 2
Le cadre juridique applicable en France25
Le RGPD
26
Le choix du vecteur
26
Synthèse26
Contenu du règlement
26
Permanences et innovations
36
Mise en ouvre du règlement
37
La loi Informatique et Libertés
39
Options nationales du RGPD39
Majorité numérique
39
Numéro de sécurité sociale
40
Données de santé
40
Sécurité publique, défense, sûreté de l'Etat
41
Données sensibles
41
Données génétiques ou biométriques
41
Journalisme et liberté d'expression
41
Action de groupe
42
Transposition de la directive 2016/680 sur les traitements de données pénales42
Formalités
43
Obligations des responsables
43
Droits des personnes concernées
44
Transferts hors de l'Union
44
Dispositions nationales45
Testament numérique
45
Formalités applicables aux traitements de sûreté de l'État et de défense
46
Formalités applicables à l'outre-mer
46
Décret d'application46
Phase de transition47
Traitements antérieurs au RGPD
47
Aide méthodologique
48
Contrôles
48
Le Code pénal
49
Chapitre 3
Applicabilité et principaux droits51
Applicabilité du cadre juridique
51
Définitions51
Champ d'application56
Types de traitements concernés
56
Champ territorial du RCPD
57
Champ territorial de la loi Informatique et Libertés
59
Droits de la personne concernée
62
Droits issus du RGPD62
Consentement des mineurs
62
Droit à l'information
63
Droit d'accès aux données
63
Droit de rectification
64
Droit d'effacement
64
Droit d'opposition
65
Liberté d'expression
67
Droit au déréférencement
67
Droit de ne pas faire l'objet d'une décision automatisée
70
Droit à la limitation du traitement
70
Dispositions communes
71
Droit à la portabilité des données personnelles fournies
71
Action de groupe
71
Droits issus d'autres textes européens72
Cookies
72
Traitements concernant les infractions, enquêtes, poursuites et sanctions pénales
73
Droits issus de la loi nationale73
Droits des héritiers
74
Chapitre 4
Obligations permanentes77
Dispositions générales
77
Principe de responsabilité (accountability)77
Principes concernant les données78
Licéité du traitement79
Cas du consentement
80
Cas de l'intérêt légitime
82
Conséquences du choix de la base de licéité
84
Obligations concernant les données
85
Interdiction de traitement des données « sensibles »85
Dérogations
86
Réutilisation des données87
Big data
87
Recherche et statistiques
88
Obligation de sécurisation89
Mesures de sécurité.
89
Réparation des préjudices91
Répartition des responsabilités
91
Actions de groupe
92
Obligations organisationnelles
92
Sous-traitant92
Responsabilité du respect des obligations
93
Responsabilité des dommages causés à des tiers
94
Obligations concernant les traitements
94
Tenue du registre94
Cas particulier des PME-TPE
95
Formalités subsistantes96
Chapitre 5
Obligations particulières97
Désignation d'un délégué à la protection des données
98
Les anciens Correspondants Informatique et Libertés (CIL)98
Généralités sur le délégué99
Cas de désignation obligatoire100
Délégué du sous-traitant102
Mutualisation et externalisation102
Poste du délégué103
Indépendance et conflits d'intérêts104
Jurisprudence104
Absence de désignation d'un délégué
105
Conflit d'intérêt
105
Qualification
105
Responsabilité du délégué.
105
Analyse d'impact et consultation de l'autorité de contrôle
106
Conduite de l'analyse106
Nécessité de l'analyse
106
Critères de lancement de l'analyse
107
Contenu de l'analyse
110
Responsabilité
111
Processus itératif
112
Mutualisation et renouvellement de l'analyse
113
Consultation préalable obligatoire de l'autorité de contrôle113
Détermination de la nécessité
113
Contenu
114
Notification des violations de sécurité
115
Seuils
116
Risque élevé116
Grande échelle117
Exportation hors de l'Union européenne
118
Exigence d'un niveau de protection suffisant118
Harmonisation de la protection des données
118
Supports juridiques
119
Dérogations
120
Transferts ou divulgations non autorisés par le droit de l'Union
121
Cas particulier des États-Unis121
Safe Harbor (2000-2015)
121
Privacy Shield (2016-2020)
122
Impact des décisions de la CJUE sur les autres instruments
122
Chapitre 6
La Commission nationale de l'informatique et des libertés (CINIL)125
Bilan
126
Formalités
127
Consultation de la CNIL en cas de risque élevé127
Demandes d'autorisation127
Exportation de données
127
Données de santé
128
Actes règlementaires après avis de la CNIL pour certains traitements publics
128
Formalités hors CNIL129
Données concernant des militaires
129
Labellisation et packs de conformité
129
Règles européennes129
Codes de conduite
129
Certification
129
Labels CNIL130
Packs de conformité CNIL130
Contrôles
130
Droit d'opposition à un contrôle sur place et garanties131
Étendue du contrôle sur place132
Pouvoir de sanction de la CNIL
132
Un pouvoir en augmentation continue132
Mesures prévues par la loi
133
Un pouvoir qui fait débat
134
Un pouvoir encadré
135
L'entrave à l'action de la CNIL
136
Bilan des sanctions137
Coordination européenne des CNIL
138
G29139
Comité européen de la protection des données (CEPD)139
Notion de chef de file139
Cohérence des CNIL140
Chapitre 7
Vie privée en ligne, réseaux sociaux et identité numérique143
E-réputation et vie privée sur Internet
144
L'exposition sur les réseaux sociaux144
Des conséquences parfois douloureuses145
Les données divulguées à l'insu de la personne concernée
148
La collecte de données par les sites web
150
Le recours au Code civil150
Le recours au Code pénal pour protéger la vie privée151
Le recours à la loi sur la presse153
Le droit à la vie privée au bureau
153
Le droit d'accès de l'employeur aux fichiers et aux correspondances
154
Comment intituler les éléments personnels au bureau ?
156
L'accès de l'employeur aux éléments personnels
156
Identité numérique et anonymat
157
Le droit à l'anonymat157
L'usurpation d'identité159
Le droit général
159
Chapitre 8
Autres textes concernant les données personnelles163
Obligations particulières de certains acteurs
164
Les opérateurs de télécoms164
Notification des violations de données
165
Les prestataires sur Internet165
Conservation des données de connexion
166
Responsabilité de l'hébergeur
168
Prospection commerciale
170
La lutte contre la cybercriminalité
171
Le spam171
Moyens d'action des opérateurs et FAI
172
Moyens d'action des internautes
172
Moyens d'action des personnes morales victimes de phishing
173
Le piratage informatique (l'atteinte aux systèmes de traitement automatisé de données)174
Accès ou maintien frauduleux dans un STAD
175
Entrave au fonctionnement d'un STAD
176
Modification et extraction frauduleuses des données d'un STAD
177
Le vol de données177
L'article 311-1 du Code pénal
178
Les autres pistes d'incrimination
179
La gestion de certaines données
180
Le droit d'accès et de réutilisation des documents administratifs180
Les principes
180
Le cas des données personnelles
181
Les archives publiques
183
La protection des bases de données185
Le cas général
185
Le cas des données publiques
186
Les téléservices des collectivités locales186
L'hébergement des données de santé187
Traitements concernés
187
Ancienne procédure d'agrément (2002-2018)
187
Procédure de certification (2018)
188
Utilisation du NIR comme identifiant de santé
189
Vidéoprotection189
Données concernant les militaires189
Mesure d'audience publicitaire190
Chapitre 9
Que risquez-vous devant un tribunal ?191
Non-respect des formalités préalables
192
Définition de l'infraction192
Infractions visées193
Prescription193
Négligence194
Jurisprudence194
Statut légal du traitement non déclaré195
Non-respect de l'obligation de sécurisation
195
Définition de l'infraction195
Infractions visées196
Jurisprudence197
Non-respect de l'obligation de notification des violations de sécurité
198
Collecte frauduleuse, déloyale ou illicite de données personnelles
199
Définition de l'infraction199
Jurisprudence199
Traitement de données personnelles malgré l'opposition de la personne concernée
200
Règles générales200
Des jurisprudences plus sévères201
Non-respect de l'interdiction de traiter les données sensibles
203
Infractions prévues au Code pénal204
Jurisprudence205
Non-respect des règles pour les traitements de recherche dans le domaine de la santé
206
Non-respect de la limitation de durée de conservation des données
207
Un principe fondamental207
Des exceptions dans des cas bien précis208
Détournement de finalité
208
Définition de l'infraction208
Jurisprudence209
Divulgation d'informations susceptibles de porter atteinte à la considération ou à l'intimité de la vie privée
210
Le respect de la vie privée210
Jurisprudence211
Transfert non autorisé de données hors de l'Union européenne
212
Définition de l'infraction212
Les contraventions pour non-respect des droits d'information, d'accès, de rectification et d'effacement
213
Non-respect de l'obligation d'information214
Non-respect du droit d'accès et de communication214
Non-respect du droit de rectification, de mise à jour et d'effacement214
Responsabilité des personnes morales et récidive215
Jurisprudence215
Limites de l'approche pénale
216
Des sanctions rares et peu élevées
216
Des peines inadaptées
216
Un manque de motivation
217
Un phénomène mondial
217
Chapitre 10
Les sanctions de la CNIL219
Importance de l'attitude du responsable de traitement
220
Arrêt de la procédure après la mise en demeure
220
Comparaison de décisions sanctionnant des manquements similaires221
Sanction pécuniaire en cas de mauvaise foi
221
Sanction pécuniaire en cas de coopération insuffisante
221
Exemplarité de l'avertissement public
222
Enseignements à tirer
223
Non-respect des obligations
224
Formalités : recours à une norme simplifiée inadaptée, données excessives
224
Droit d'accès
224
Conservation de numéros de cartes bancaires ou de cartes d'identité
224
Manquement à l'obligation de sécurisation des données
225
Collectes de données sur Internet
227
Information complète
227
Responsabilité cm donneur d'ordre par rapport au sous-traitant
227
Première sanction sous le régime du RGPD : transparence, licéité et validité du consentement
230
Cookies
231
Non-respect des interdictions
232
Envoi d'un avertissement232
Détournement de finalité.
232
Sanctions similaires aux tribunaux232
Spam
232
Des sanctions parfois plus lourdes que celles des tribunaux233
Traitement des données sensibles
233
Transfert de données hors de l'Union européenne
234
Sanctions les plus sévères235
Manquements multiples menant à une sanction pécuniaire
235
Manquements multiples menant à une sanction pécuniaire et à une injonction 237 Manquements multiples menant à une sanction pécuniaire et à une transmission du dossier au procureur de la République
239
Manquements multiples menant à un avertissement, une mise en demeure et une transmission du dossier au procureur de la République
240
Conclusion241
Dualité CNIL-tribunaux
241
La CNIL est-elle un tribunal ?242
Possibilité d'une double saisine242
Exemples de poursuites simultanées
243
Coopération des juridictions244
Pourquoi les sanctions de la CNIL sont-elles plus lourdes ?245
Les sanctions sont-elles dissuasives ?
246
Pédagogie de la CNIL et prévention247
Plan d'action pratique249
Organisation de la conformité
250
État des lieux initial250
Désignation d'un pilote251
Désignation éventuelle d'un délégué à la protection des données251
Détermination du responsable de traitement252
Mise en place du registre et analyse
252
Rédaction du registre d'un responsable de traitement252
Rédaction du registre d'un sous-traitant253
Communicabilité254
Mesures suite à l'analyse du registre254
Obligations sectorielles
254
Transfert de données hors de l'Union européenne
254
Nécessité de formalités préalables
255
Nécessité d'une analyse d'impact
255
Droits des personnes
256
Bases de licéité256
Mentions d'information256
Exercice des droits des personnes256
Mesures de sécurité
257
Obligation257
Mesures à adopter258
Procédures en cas de contrôle sur place de la CNIL ou de violation de sécurité
259
Contrôle sur place de la CNIL259
Pouvoir de contrôle
259
Déroulement du contrôle sur place
259
Violation de données260
Violation entraînant un risque pour les droits et libertés des personnes
260
Violation entraînant un risque élevé pour les droits et libertés des personnes
260
Gestion des sous-traitants
261
Formalisation et documentation
262
Bibliographie
263
Index
269