RGPD et droit des données personnelles

Auteur(s) :

Mattatia, Fabrice Découvrir l'auteur

Résumé

Le point sur le droit applicable en France aux traitements des données personnelles, résultant principalement du règlement européen et de la nouvelle loi informatique et libertés. Un exposé méthodique des textes applicables et des exemples commentés de jurisprudences les plus récentes. ©Electre 2021

Éditeur(s)
- Editions Eyrolles
Date
- DL 2021
Notes
- RGPD = Règlement général sur la protection des données
Langues
- Français
Description matérielle
- 1 vol. (XII-271 p.) : couv. ill. en coul. ; 23 cm
Sujet(s)
Lieu
- France
ISBN
- 978-2-416-00307-3
Indice
- 350.8 Libertés publiques
Quatrième de couverture
- RGPD et droit des données personnelles
  5^e édition
  1978 : adoption de la loi Informatique et Libertés. 2018 : avec l'entrée en application du règlement général sur la protection des données et de la nouvelle loi Informatique et Libertés, le cadre juridique des données personnelles est renouvelé de fond en comble. Nouvelles notions, nouvelles obligations, sanctions alourdies, les acteurs publics et privés doivent rénover leur gouvernance pour diminuer leur exposition au risque. Une bonne protection des données personnelles représente plus qu'un avantage concurrentiel, notamment en termes d'image de marque ; c'est désormais un must. Voici une présentation complète sur les droits des individus concernant leurs données personnelles, sur les obligations des organisations et des entreprises, sur la mise en oeuvre pratique de ces obligations, et sur les sanctions encourues en cas de manquement.
  La nouvelle édition de cet ouvrage fait le point sur le droit applicable en France aux traitements des données personnelles, suite aux bouleversements récents du cadre juridique (RGPD, loi Informatique et Libertés, Code des relations entre le public et l'administration, nouvelles procédures concernant les données en matière de santé, etc.). Elle intègre également les retours d'expérience qui ont fait suite à la mise en oeuvre concrète de ces textes : comment s'organiser d'une part pour mettre l'existant en conformité, et d'autre part pour gérer les futurs projets de traitements de données, quelles procédures internes sont à mettre en place, quelle documentation faut-il prévoir ? Les points qui, dans la pratique, suscitent le plus de questions, font l'objet de développements particuliers. Cet ouvrage analyse aussi les jurisprudences récentes les plus marquantes et les recommandations des autorités (cookies, recours à des prestataires de droit étatsunien...).
  Il intéressera aussi bien les juristes en quête d'un ouvrage de synthèse ou les informaticiens préparant un nouveau développement, que les directeurs informatiques et les dirigeants d'entreprises ou d'administrations désireux de connaître leurs obligations légales. Ils y trouveront les réponses aux questions concrètes qu'ils peuvent se poser : quelles sont leurs obligations avant de traiter des données émanant de leurs employés ou de leurs clients ? Comment déterminer la base de licéité d'un traitement et quelles en sont les conséquences sur les droits des personnes concernées ? Y a-t-il des données dont le traitement est interdit ou encadré ? Peut-on envoyer des données personnelles hors d'Europe, et notamment aux États-Unis ? Comment réagir en cas de contrôle de la CNIL ou de vol de données par des pirates ? Quelles sanctions risquent-ils en négligeant leurs obligations ?
  À qui s'adresse ce livre ?
  
  À toute organisation publique ou privée qui gère un site sur le Web, une application mobile ou des fichiers, et qui récolte, entre autres, des données clients
  
  Aux développeurs, agences web, prestataires informatiques et SSII
  
  Aux responsables du traitement des données personnelles, services métier, services marketing, DRH, DSI, DPO, RSSI
  
  Aux dirigeants d'organisations, pour connaître leurs obligations légales et leur risque pénal ou administratif
  
  Aux étudiants en informatique et en communication
  
  Aux juristes à la recherche d'un ouvrage de référence sur ce sujet
Tables des matières
- - RGPD et droit des données personnelles
  - 5e édition
  - Fabrice Mattatia
  - Éditions Eyrolles
  - Introdution 1
  - Chapitre 1
  - Les grands principes7
  - Vie privée : une notion récente et imprécise 8
  - De la vie privée aux données personnelles 10
  - Historique de la loi Informatique et Libertés 10
  - Un texte évolutif10
  - Des principes persistants11
  - Un objectif moral12
  - Les textes européens 13
  - La directive de 1995 (abrogée en 2018)14
  - Règles concernant les données 14
  - Quels droits pour la personne concernée ? 15
  - Contrôle et responsabilité 17
  - La directive e-privacy de 2002, modifiée en 2006 (téléphone, Internet)18
  - La directive de 2009 (« Paquet Télécom »)20
  - Le règlement de 201321
  - La directive de 2016 (police-justice)21
  - Transposition des directives dans le droit français22
  - Nécessité d'une évolution22
  - Le règlement de 2016 (RGPD)23
  - Chapitre 2
  - Le cadre juridique applicable en France25
  - Le RGPD 26
  - Le choix du vecteur 26
  - Synthèse26
  - Contenu du règlement 26
  - Permanences et innovations 36
  - Mise en ouvre du règlement 37
  - La loi Informatique et Libertés 39
  - Options nationales du RGPD39
  - Majorité numérique 39
  - Numéro de sécurité sociale 40
  - Données de santé 40
  - Sécurité publique, défense, sûreté de l'Etat 41
  - Données sensibles 41
  - Données génétiques ou biométriques 41
  - Journalisme et liberté d'expression 41
  - Action de groupe 42
  - Transposition de la directive 2016/680 sur les traitements de données pénales42
  - Formalités 43
  - Obligations des responsables 43
  - Droits des personnes concernées 44
  - Transferts hors de l'Union 44
  - Dispositions nationales45
  - Testament numérique 45
  - Formalités applicables aux traitements de sûreté de l'État et de défense 46
  - Formalités applicables à l'outre-mer 46
  - Décret d'application46
  - Phase de transition47
  - Traitements antérieurs au RGPD 47
  - Aide méthodologique 48
  - Contrôles 48
  - Le Code pénal 49
  - Chapitre 3
  - Applicabilité et principaux droits51
  - Applicabilité du cadre juridique 51
  - Définitions51
  - Champ d'application56
  - Types de traitements concernés 56
  - Champ territorial du RCPD 57
  - Champ territorial de la loi Informatique et Libertés 59
  - Droits de la personne concernée 62
  - Droits issus du RGPD62
  - Consentement des mineurs 62
  - Droit à l'information 63
  - Droit d'accès aux données 63
  - Droit de rectification 64
  - Droit d'effacement 64
  - Droit d'opposition 65
  - Liberté d'expression 67
  - Droit au déréférencement 67
  - Droit de ne pas faire l'objet d'une décision automatisée 70
  - Droit à la limitation du traitement 70
  - Dispositions communes 71
  - Droit à la portabilité des données personnelles fournies 71
  - Action de groupe 71
  - Droits issus d'autres textes européens72
  - Cookies 72
  - Traitements concernant les infractions, enquêtes, poursuites et sanctions pénales 73
  - Droits issus de la loi nationale73
  - Droits des héritiers 74
  - Chapitre 4
  - Obligations permanentes77
  - Dispositions générales 77
  - Principe de responsabilité (accountability)77
  - Principes concernant les données78
  - Licéité du traitement79
  - Cas du consentement 80
  - Cas de l'intérêt légitime 82
  - Conséquences du choix de la base de licéité 84
  - Obligations concernant les données 85
  - Interdiction de traitement des données « sensibles »85
  - Dérogations 86
  - Réutilisation des données87
  - Big data 87
  - Recherche et statistiques 88
  - Obligation de sécurisation89
  - Mesures de sécurité. 89
  - Réparation des préjudices91
  - Répartition des responsabilités 91
  - Actions de groupe 92
  - Obligations organisationnelles 92
  - Sous-traitant92
  - Responsabilité du respect des obligations 93
  - Responsabilité des dommages causés à des tiers 94
  - Obligations concernant les traitements 94
  - Tenue du registre94
  - Cas particulier des PME-TPE 95
  - Formalités subsistantes96
  - Chapitre 5
  - Obligations particulières97
  - Désignation d'un délégué à la protection des données 98
  - Les anciens Correspondants Informatique et Libertés (CIL)98
  - Généralités sur le délégué99
  - Cas de désignation obligatoire100
  - Délégué du sous-traitant102
  - Mutualisation et externalisation102
  - Poste du délégué103
  - Indépendance et conflits d'intérêts104
  - Jurisprudence104
  - Absence de désignation d'un délégué 105
  - Conflit d'intérêt 105
  - Qualification 105
  - Responsabilité du délégué. 105
  - Analyse d'impact et consultation de l'autorité de contrôle 106
  - Conduite de l'analyse106
  - Nécessité de l'analyse 106
  - Critères de lancement de l'analyse 107
  - Contenu de l'analyse 110
  - Responsabilité 111
  - Processus itératif 112
  - Mutualisation et renouvellement de l'analyse 113
  - Consultation préalable obligatoire de l'autorité de contrôle113
  - Détermination de la nécessité 113
  - Contenu 114
  - Notification des violations de sécurité 115
  - Seuils 116
  - Risque élevé116
  - Grande échelle117
  - Exportation hors de l'Union européenne 118
  - Exigence d'un niveau de protection suffisant118
  - Harmonisation de la protection des données 118
  - Supports juridiques 119
  - Dérogations 120
  - Transferts ou divulgations non autorisés par le droit de l'Union 121
  - Cas particulier des États-Unis121
  - Safe Harbor (2000-2015) 121
  - Privacy Shield (2016-2020) 122
  - Impact des décisions de la CJUE sur les autres instruments 122
  - Chapitre 6
  - La Commission nationale de l'informatique et des libertés (CINIL)125
  - Bilan 126
  - Formalités 127
  - Consultation de la CNIL en cas de risque élevé127
  - Demandes d'autorisation127
  - Exportation de données 127
  - Données de santé 128
  - Actes règlementaires après avis de la CNIL pour certains traitements publics 128
  - Formalités hors CNIL129
  - Données concernant des militaires 129
  - Labellisation et packs de conformité 129
  - Règles européennes129
  - Codes de conduite 129
  - Certification 129
  - Labels CNIL130
  - Packs de conformité CNIL130
  - Contrôles 130
  - Droit d'opposition à un contrôle sur place et garanties131
  - Étendue du contrôle sur place132
  - Pouvoir de sanction de la CNIL 132
  - Un pouvoir en augmentation continue132
  - Mesures prévues par la loi 133
  - Un pouvoir qui fait débat 134
  - Un pouvoir encadré 135
  - L'entrave à l'action de la CNIL 136
  - Bilan des sanctions137
  - Coordination européenne des CNIL 138
  - G29139
  - Comité européen de la protection des données (CEPD)139
  - Notion de chef de file139
  - Cohérence des CNIL140
  - Chapitre 7
  - Vie privée en ligne, réseaux sociaux et identité numérique143
  - E-réputation et vie privée sur Internet 144
  - L'exposition sur les réseaux sociaux144
  - Des conséquences parfois douloureuses145
  - Les données divulguées à l'insu de la personne concernée 148
  - La collecte de données par les sites web 150
  - Le recours au Code civil150
  - Le recours au Code pénal pour protéger la vie privée151
  - Le recours à la loi sur la presse153
  - Le droit à la vie privée au bureau 153
  - Le droit d'accès de l'employeur aux fichiers et aux correspondances 154
  - Comment intituler les éléments personnels au bureau ? 156
  - L'accès de l'employeur aux éléments personnels 156
  - Identité numérique et anonymat 157
  - Le droit à l'anonymat157
  - L'usurpation d'identité159
  - Le droit général 159
  - Chapitre 8
  - Autres textes concernant les données personnelles163
  - Obligations particulières de certains acteurs 164
  - Les opérateurs de télécoms164
  - Notification des violations de données 165
  - Les prestataires sur Internet165
  - Conservation des données de connexion 166
  - Responsabilité de l'hébergeur 168
  - Prospection commerciale 170
  - La lutte contre la cybercriminalité 171
  - Le spam171
  - Moyens d'action des opérateurs et FAI 172
  - Moyens d'action des internautes 172
  - Moyens d'action des personnes morales victimes de phishing 173
  - Le piratage informatique (l'atteinte aux systèmes de traitement automatisé de données)174
  - Accès ou maintien frauduleux dans un STAD 175
  - Entrave au fonctionnement d'un STAD 176
  - Modification et extraction frauduleuses des données d'un STAD 177
  - Le vol de données177
  - L'article 311-1 du Code pénal 178
  - Les autres pistes d'incrimination 179
  - La gestion de certaines données 180
  - Le droit d'accès et de réutilisation des documents administratifs180
  - Les principes 180
  - Le cas des données personnelles 181
  - Les archives publiques 183
  - La protection des bases de données185
  - Le cas général 185
  - Le cas des données publiques 186
  - Les téléservices des collectivités locales186
  - L'hébergement des données de santé187
  - Traitements concernés 187
  - Ancienne procédure d'agrément (2002-2018) 187
  - Procédure de certification (2018) 188
  - Utilisation du NIR comme identifiant de santé 189
  - Vidéoprotection189
  - Données concernant les militaires189
  - Mesure d'audience publicitaire190
  - Chapitre 9
  - Que risquez-vous devant un tribunal ?191
  - Non-respect des formalités préalables 192
  - Définition de l'infraction192
  - Infractions visées193
  - Prescription193
  - Négligence194
  - Jurisprudence194
  - Statut légal du traitement non déclaré195
  - Non-respect de l'obligation de sécurisation 195
  - Définition de l'infraction195
  - Infractions visées196
  - Jurisprudence197
  - Non-respect de l'obligation de notification des violations de sécurité 198
  - Collecte frauduleuse, déloyale ou illicite de données personnelles 199
  - Définition de l'infraction199
  - Jurisprudence199
  - Traitement de données personnelles malgré l'opposition de la personne concernée 200
  - Règles générales200
  - Des jurisprudences plus sévères201
  - Non-respect de l'interdiction de traiter les données sensibles 203
  - Infractions prévues au Code pénal204
  - Jurisprudence205
  - Non-respect des règles pour les traitements de recherche dans le domaine de la santé 206
  - Non-respect de la limitation de durée de conservation des données 207
  - Un principe fondamental207
  - Des exceptions dans des cas bien précis208
  - Détournement de finalité 208
  - Définition de l'infraction208
  - Jurisprudence209
  - Divulgation d'informations susceptibles de porter atteinte à la considération ou à l'intimité de la vie privée 210
  - Le respect de la vie privée210
  - Jurisprudence211
  - Transfert non autorisé de données hors de l'Union européenne 212
  - Définition de l'infraction212
  - Les contraventions pour non-respect des droits d'information, d'accès, de rectification et d'effacement 213
  - Non-respect de l'obligation d'information214
  - Non-respect du droit d'accès et de communication214
  - Non-respect du droit de rectification, de mise à jour et d'effacement214
  - Responsabilité des personnes morales et récidive215
  - Jurisprudence215
  - Limites de l'approche pénale 216
  - Des sanctions rares et peu élevées 216
  - Des peines inadaptées 216
  - Un manque de motivation 217
  - Un phénomène mondial 217
  - Chapitre 10
  - Les sanctions de la CNIL219
  - Importance de l'attitude du responsable de traitement 220
  - Arrêt de la procédure après la mise en demeure 220
  - Comparaison de décisions sanctionnant des manquements similaires221
  - Sanction pécuniaire en cas de mauvaise foi 221
  - Sanction pécuniaire en cas de coopération insuffisante 221
  - Exemplarité de l'avertissement public 222
  - Enseignements à tirer 223
  - Non-respect des obligations 224
  - Formalités : recours à une norme simplifiée inadaptée, données excessives 224
  - Droit d'accès 224
  - Conservation de numéros de cartes bancaires ou de cartes d'identité 224
  - Manquement à l'obligation de sécurisation des données 225
  - Collectes de données sur Internet 227
  - Information complète 227
  - Responsabilité cm donneur d'ordre par rapport au sous-traitant 227
  - Première sanction sous le régime du RGPD : transparence, licéité et validité du consentement 230
  - Cookies 231
  - Non-respect des interdictions 232
  - Envoi d'un avertissement232
  - Détournement de finalité. 232
  - Sanctions similaires aux tribunaux232
  - Spam 232
  - Des sanctions parfois plus lourdes que celles des tribunaux233
  - Traitement des données sensibles 233
  - Transfert de données hors de l'Union européenne 234
  - Sanctions les plus sévères235
  - Manquements multiples menant à une sanction pécuniaire 235
  - Manquements multiples menant à une sanction pécuniaire et à une injonction 237 Manquements multiples menant à une sanction pécuniaire et à une transmission du dossier au procureur de la République 239
  - Manquements multiples menant à un avertissement, une mise en demeure et une transmission du dossier au procureur de la République 240
  - Conclusion241
  - Dualité CNIL-tribunaux 241
  - La CNIL est-elle un tribunal ?242
  - Possibilité d'une double saisine242
  - Exemples de poursuites simultanées 243
  - Coopération des juridictions244
  - Pourquoi les sanctions de la CNIL sont-elles plus lourdes ?245
  - Les sanctions sont-elles dissuasives ? 246
  - Pédagogie de la CNIL et prévention247
  - Plan d'action pratique249
  - Organisation de la conformité 250
  - État des lieux initial250
  - Désignation d'un pilote251
  - Désignation éventuelle d'un délégué à la protection des données251
  - Détermination du responsable de traitement252
  - Mise en place du registre et analyse 252
  - Rédaction du registre d'un responsable de traitement252
  - Rédaction du registre d'un sous-traitant253
  - Communicabilité254
  - Mesures suite à l'analyse du registre254
  - Obligations sectorielles 254
  - Transfert de données hors de l'Union européenne 254
  - Nécessité de formalités préalables 255
  - Nécessité d'une analyse d'impact 255
  - Droits des personnes 256
  - Bases de licéité256
  - Mentions d'information256
  - Exercice des droits des personnes256
  - Mesures de sécurité 257
  - Obligation257
  - Mesures à adopter258
  - Procédures en cas de contrôle sur place de la CNIL ou de violation de sécurité 259
  - Contrôle sur place de la CNIL259
  - Pouvoir de contrôle 259
  - Déroulement du contrôle sur place 259
  - Violation de données260
  - Violation entraînant un risque pour les droits et libertés des personnes 260
  - Violation entraînant un risque élevé pour les droits et libertés des personnes 260
  - Gestion des sous-traitants 261
  - Formalisation et documentation 262
  - Bibliographie 263
  - Index 269
Origine de la notice:
- Abes ;
- Electre