Droit des données à caractère personnel
Thibault Douville
LGDJ
Liste des principales abréviations
11
Introduction
17
Section 1. Les sources19
§ 1. Les grandes sources20
A. Les sources internationales20
B. Les sources européennes21
1. Le droit du Conseil de l'Europe
21
2. Le droit de l'Union européenne
28
C. Le droit interne36
1. De la loi du 6 janvier 1978 à la loi pour une République numérique du 7 octobre 2016
36
2. L'adaptation du droit interne au RGPD et la transposition de la directive (UE) 2016/680
38
§ 2. Les petites sources44
Section 2. Les caractères46
§ 1. La transversalité46
§ 2. La neutralité technique47
§ 3. Les finalités49
A. La protection des personnes concernées par un traitement de données à caractère personnel49
1. L'affirmation du droit à la protection des données à caractère personnel
50
2. Le fondement du droit à la protection dès données à caractère personnel
53
3. La relativité du droit à la protection des données à caractère personnel
54
4. La nature du droit à la protection des données à caractère personnel
55
B. La circulation des données à caractère personnel60
1. Les conditions de la libre circulation ;
60
2. La circulation contrôlée vers un pays tiers ou une organisation internationale
61
Section 3. Le droit comparé62
Section 4. Les enjeux70
§ 1. L'enjeu économique70
§ 2. Les enjeux politiques72
§ 3. Les enjeux techniques75
A. Le Big data75
B. L'intelligence artificielle76
C. L'Internet des objets81
D. La blockchain84
Section 5. Plan85
Première partie L'objet89
Chapitre 1 La notion de traitement de données à caractère personnel
91
Section 1. Un traitement91
§ 1. L'objet du traitement de données92
§ 2. La forme du traitement de données95
Section 2. ... de données à caractère personnel98
§ 1. Les critères101
A. L'indifférence à l'objet de l'information101
B. L'indifférence à la nature de l'information103
C. L'indifférence au support de l'information103
D. L'indifférence à la date de l'information103
E. L'indifférence à la véracité ou à l'exactitude de l'information104
F. L'indifférence à la confidentialité de l'information104
G. L'indifférence à l'origine de l'information105
§ 2. Les catégories particulières de données à caractère personnel105
A. Les données sensibles107
B. Les données concernant les infractions et les condamnations pénales114
Section 3. ... se rapportant à116
Section 4. ... une personne physique117
§ 1. L'exclusion des personnes morales118
§ 2. Une personne physique vivante119
A. Le régime supplétif en l'absence de directives concernant les données à caractère personnel121
B. Les directives concernant les données à caractère personnel124
C. Le régime propre aux prestataires de services de communication au public en ligne127
D. Le traitement des données du défunt dans le domaine de la santé127
§ 3. ... identifiée ou identifiable128
A. La personne physique identifiée128
B. La personne physique identifiable129
1. Le critère
129
2. Les limites
131
C. Les personnes physiques non identifiables : l'anonymisation133
Chapitre 2 Le champ d'application
137
Section 1. Le champ d'application matériel137
§ 1. Les frontières137
§ 2. Les exclusions142
Section 2. Le champ d'application territorial144
§ 1. Le champ d'application territorial du RGPD144
A. L'établissement du responsable du traitement ou du sous-traitant145
1. Un responsable du traitement ou un sous-traitant
146
2. L'établissement d'un responsable du traitement ou d'un sous-traitant situé sur le territoire de l'Union
147
3. Un traitement de données à caractère personnel effectué dans le cadre des activités de l'établissement d'un responsable du traitement ou d'un sous-traitant
150
B. Le ciblage des personnes concernées se trouvant dans l'Union152
1. Les conditions
153
2. Les effets
158
C. L'application du droit d'un État membre en dehors de l'Union159
§ 2. Le champ d'application territorial de la loi du 6 janvier 1978159
A. Règle générale : la localisation sur le territoire français de l'établissement du responsable du traitement et du sous-traitant dans le cadre des activités duquel le traitement de données est effectué161
B. Règle spéciale : le critère spécifique de la résidence des personnes concernées sur le territoire français pour les dispositions d'adaptation du RGPD161
Deuxième partie Les règles générales163
Titre 1 La mise en ouvre des traitements de données à caractère personnel165
Chapitre 1 Les conditions du traitement des données
167
Section 1. Les principes relatifs aux traitements de données à caractère personnel169
§ 1. La licéité du traitement169
A. L'interdiction de traiter des données à caractère personnel169
B. La base juridique du traitement de données à caractère personnel170
1. Le consentement au traitement
173
2. L'exécution d'un contrat
192
3. L'obligation légale
196
4. L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
199
5. La sauvegarde des intérêts vitaux
203
6. L'intérêt légitime du responsable du traitement ou d'un tiers
204
C. Les conditions du traitement de catégories particulières de données209
1. Les données sensibles
209
2. Les données concernant les infractions et les condamnations pénales
215
§ 2. La finalité du traitement216
À. La limitation des finalités217
1. La détermination des finalités
217
2. L'explicitation des finalités
220
3. La légitimité des finalités
220
B. Le traitement ultérieur des données221
1. La définition
222
2. Les conditions
223
3. Le régime du traitement ultérieur des données
229
§ 3. La loyauté du traitement231
A. Là transparence du traitement de données à caractère personnel231
B. Les modalités du traitement de données à caractère personnel234
Section 2. Les principes relatifs amidonnées234
§ 1. La minimisation des données235
§ 2. La qualité des données237
§ 3. La limitation de la conservation des données238
§ 4. La sécurité et la confidentialité des données à caractère personnel241
Chapitre 2 Les acteurs du traitement des données
245
Section 1. Le responsable du traitement246
§ 1. La personne physique ou morale, l'autorité publique, le service ou un autre organisme247
§ 2. ... qui [...] détermine247
§ 3. ... les finalités [...] du traitement249
§ 4. ... et les moyens du traitement249
§ 5. ... seule ou conjointement250
A. La définition de la responsabilité conjointe de traitement250
B. Le régime de la responsabilité conjointe de traitement253
Section 2. Le sous-traitant255
§ 1. La définition de la sous-traitance255
§ 2. Le régime de la sous-traitance256
A. Nature de la sous-traitance257
B. Le choix du sous-traitant258
C. Le droit spécial du contrat entre le responsable du traitement et le sous-traitant258
D. La sous-traitance de données à caractère personnel en cascade261
Section 3. Le destinataire des données à caractère personnel263
Chapitre 3 Le principe de responsabilité
265
Section 1. Les contours267
§ 1. La définition267
§ 2. Les expressions270
A. La protection des données dès la conception270
1. La définition
271
2. La déclinaison à travers la protection des données par défaut
274
B. L'exigence de sécurité des données275
1. La prévention des risques de violations de données à caractère personnel
275
2. La notification des violations de données à caractère personnel
279
Section 2. Les instruments :284
§ 1. Les instruments concourant à assurer la conformité284
A. Le délégué à la protection des données à caractère personnel284
1. La désignation
286
2. Les missions
295
3. La responsabilité du délégué
298
B. Le registre des activités de traitement298
1. Le champ d'application
299
2. La présentation
300
3. Les fonctions
301
C. L'analyse d'impact302
1. Le domaine
302
2. La réalisation de l'analyse d'impact
311
3. La consultation préalable
314
§ 2. Les instruments démontrant la conformité :317
A. Les codes de conduite approuvés317
B. La certification, les labels et marques320
Chapitre 4 La circulation des données
325
Section 1. La dimension spatiale325
§ 1. La libre circulation des données dans l'Union326
A. Le Comité européen de la protection des données328
1. La nature
329
2. Les missions
331
B. Le régime de coopération et de cohérence334
1. La coopération entre les autorités de contrôle des États membres
334
2. Le contrôle de la cohérence de l'application du droit de l'Union
346
§ 2. La circulation conditionnée des données vers un pays tiers ou une organisation internationale348
A. La notion de transfert de données à caractère personnel349
B. Les conditions du transfert de données à caractère personnel353
1. Le niveau de protection adéquat constaté : la décision d'adéquation
354
2. Le niveau de protection adéquat recherché : les autres instruments pour le transfert des données
364
3. Les dérogations pour des situations particulières
374
4. Les transferts non autorisés par le droit de l'Union
377
Section 2. La dimension personnelle378
§ 1. L'intermédiation en matière de données379
A. Les services d'intermédiation en matière de données380
B. L'altruisme en matière de données385
§ 2. La maîtrise des personnes concernées sur leurs données388
A. De lege lata : un droit limité à la portabilité des données388
B. De lege ferenda : un droit général à la portabilité des données des produits connectés394
Titre 2 Le contrôle des traitements de données à caractère personnel399
Chapitre 1 Les droits des personnes concernées
401
Section 1. La présentation des droits reconnus aux personnes concernées404
§ 1. Le droit d'être informé404
A. Le domaine405
B. L'époque407
C. Le contenu408
§ 2. Le droit d'accès411
§ 3. Le droit à la rectification417
§ 4. Les droits d'opposition418
A. L'opposition à un traitement de données418
1. L'opposition conditionnée
418
2. L'opposition discrétionnaire
420
B. Le droit d'opposition à la prise de décisions individuelles exclusivement automatisée420
1. Le droit de l'Union
423
2. Le droit interne
430
§ 5. Le droit à l'effacement des données435
A. Le régime436
B. L'application au déréférencement442
§ 6. Le droit à la limitation du traitement451
Section 2. Le régime des droits reconnus aux personnes concernées453
§ 1. La limitation des droits453
§ 2. L'exercice des droits456
Chapitre 2 La commission nationale de l'informatique et des libertés
463
Section 1. Le statut464
§ 1. Une autorité administrative indépendante464
§ 2. Une autorité administrative indépendante disposant d'un pouvoir de sanction467
Section 2. L'organisation468
§ 1. La composition468
A. Le collège468
1. Les membres
469
2. Le président et les vice-présidents
470
3. Le bureau
472
B. Le commissaire du gouvernement473
C. Les agents473
D. Le fonctionnement474
1. La formation plénière
474
2. La formation restreinte
475
§ 2. Les fonctions475
A. La compétence476
1. Compétence matérielle
476
2. Compétence territoriale
477
B. Les missions483
1. Le pouvoir réglementaire
484
2. La mission d'information et de conseil
485
3.. La mission relative à la conformité des traitements
487
4. Le pouvoir d'agir en justice
503
5. L'exigence de coopération
504
Chapitre 3 Le contentieux des données à caractère personnel
507
Section 1. Le contentieux du droit des données à caractère personnel507
§ 1. Le régime spécial de responsabilité civile507
A. Le droit substantiel508
1. Les conditions
508
2. Les effets
513
3. L'exonération
514
B. Le droit processuel515
1. L'action collective en représentation des personnes concernées
516
2. L'action collective sans représentation des personnes concernées
517
§ 2. La responsabilité pénale du responsable du traitement ou du sous-traitant521
A. La méconnaissance des règles générales applicables aux traitements de données522
1. Les principes applicables aux traitements de données
522
2. Le principe de responsabilité
523
B. La sanction pénale du traitement illicite des catégories particulières de données525
C. La méconnaissance des exigences relatives au transfert de données vers un pays tiers ou une organisation internationale526
D. La méconnaissance des droits de personnes concernées527
E. La protection pénale de l'action de la CNIL528
1. Le délit d'entrave
528
2. La méconnaissance d'une mesure correctrice adoptée par la formation restreinte de la CNIL
529
§ 3. Le contentieux des décisions de la CNIL529
Section 2 L'incidence du droit des données à caractère personnel sur le contentieux530
§ 1. Le contentieux contractuel530
A. Les contrats du droit de la protection des données à caractère personnel531
B. La prise en compte du droit de la protection des données à caractère personnel par le contrat533
1. Les contrats impliquant un traitement de données à caractère personnel
533
2. Les contrats portant sur des données à caractère personnel
535
3. La fourniture de données à caractère personnel par la personne concernée
536
§ 2. Le droit de la preuve539
Troisième partie Les règles particulières545
Chapitre 1 Les traitements de données relevant du RGPP
547
Section 1. La conciliation du droit à la protection des données à caractère personnel avec d'autres droits et libertés548
§ 1. La liberté d'expression et d'information548
A. La prise en compte par le RGPD548
B. La conciliation par le droit interne551
§ 2. Le droit d'accès aux documents administratifs552
A. La communication des documents administratifs553
B. La diffusion des documents administratifs554
C. La réutilisation des documents administratifs communiqués ou publiés556
Section 2. La déclinaison de la protection des données à certains types de traitement557
§ 1. Le renforcement de la protection557
A. Le numéro d'identification nationale557
1. Définition du numéro d'inscription au répertoire national d'identification des personnes physiques
558
2. Conditions du traitement du numéro d'inscription au répertoire national d'identification des personnes physiques
559
B. Les traitements des données de santé562
1. Le régime du traitement des données dans le domaine de la santé
563
2. L'ouverture des données de santé
570
C. Le traitement des données dans les relations de travail576
1. Les dispositions adoptées
580
2. Les référentiels et les guides de la CNIL
582
D. Les traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques586
1. En droit de l'Union
586
2. En droit interne
589
§ 2. L'adaptation sectorielle de la protection : la protection des données à caractère personnel dans le secteur des communications électroniques591
A. La confidentialité des communications électroniques593
1. Les métadonnées
594
2. Les traceurs
610
B. La sécurité du traitement619
Chapitre 2 Les traitements de données ne relevant pas du RGPP
621
Section 1. Les traitements de données en matière de police-justice622
§ 1. Le champ d'application du régime des traitements de données en matière pénale623
A. La finalité du traitement624
B. La qualité du responsable du traitement628
C. La licéité du traitement630
1. Les obligations du responsable du traitement
636
2. Les droits des personnes concernées
641
§ 2. Les transferts de données vers un pays tiers ou une organisation internationale645
Section 2. Les traitements intéressant la sûreté de l'État et la défense647
§ 1. Les droits de la personne concernée648
§ 2. Les obligations du responsable du traitement et du sous-traitant650
Bibliographie générale
653
Index
657