Droit de la donnée
Matthieu Bourgeois
LexisNexis
RemerciementsVII
Liste des abréviationsIX
PréfaceXIII
Propos liminairesXVII
Introduction générale1
Première partie
Les règles spéciales applicables à la protection des données à caractère personnel
Chapitre 1 : Le cadre de la protection9
Section 1 : Les textes9
Sous-section 1 : La loi informatique et libertés du 6 janvier 1978 (« Lil »)10
Sous-section 2 : La convention 108 du conseil de l'Europe signée le 28 janvier 1981 (« Convention 108 »)12
Sous-section 3 : La directive n° 95/46 du 24 octobre 1995 (« Directive n° 95/46 »)12
Sous-section 4 : Le règlement général sur la protection des données n° 2016/679 du 27 avril 2016 (« RGPD »)13
Section 2 : Les organes15
Sous-section 1 : L'autorité de contrôle nationale15
§ 1. - La Commission nationale de l'informatique et des libertés (« CNIL »)16
A. - Composition16
1° Collégialité16
2° Irrévocabilité17
3° Incompatibilités17
4° Organisation administrative18
B. - Fonctionnement19
1° Budget19
2° Règlement intérieur20
3° Modalités de formation et de réunion20
a) Formation plénière
20
b) Bureau
21
c) Formation restreinte
21
4° Délibérations21
5° Secret professionnel22
C. - Missions22
1° Information23
2° Consultation23
a) Consultation par les pouvoirs publics
23
b) Consultation par le secteur privé
24
3° Régulation24
a) Recommandation
24
b) Décision
24
§ 2. - L'instauration du mécanisme d'autorité de contrôle « chef de file » (nouveauté RGPD)25
A. - La compétence de l'autorité chef de file26
1° La compétence de principe26
2° L'exception : la compétence résiduelle de l'autorité de contrôle nationale dans certains cas27
B. - La coopération de l'autorité chef de file avec les autres autorités de contrôle nationales27
Sous-section 2 : Le comité européen de la protection des données30
§ 1. - Composition et fonctionnement31
A. - Composition31
B. Fonctionnement31
§ 2. - Missions31
A. - Missions générales32
B. - Mission spéciale : le contrôle de la cohérence32
Chapitre 2 : L'objet de la protection35
Section 1 : Le champ d'application matériel35
Section-section 1 : Les opérations soumises au régime légal35
§ 1. - La notion de « donnée(s) à caractère personnel »35
§ 2. - La notion de « traitement »37
§ 3. - La notion de « fichier »38
Sous-section 2 : Les personnes soumises au régime légal39
§ 1. - La « personne concernée »40
§ 2. - Le « responsable de traitement » (« RT »)40
A. - Définition40
B. - Méthode d'identification41
1° L'avis n° 1/2010 adopté par le G29 le 16 février 201041
a) La préférence pour les organismes
41
b) Le rôle décisionnel joué dans la définition des finalités prime sur celui joué dans la définition des moyens
42
c) L'identification de l'entité ayant joué un rôle décisionnel : l'appréciation factuelle
42
1) Le cas d'une compétence explicite de la loi42
2) Le cas d'une compétence découlant d'une pratique répandue43
3) Les circonstances factuelles43
2° La synthèse des réponses à la consultation publique sur le cloud computing publiée par la CNIL le 25 juin 201243
C. - Le « responsable conjoint » de traitement (« RCT ») (nouveauté RGPD)44
1° Notion44
2° Régime45
§ 3. - Le « sous-traitant » (« ST »)45
§ 4. - Les « tiers »47
§ 5. - Les « destinataires »47
Section 2 : Le champ d'application territorial49
Sous-section 1 : Le critère du lieu d'établissement de l'acteur du traitement49
Sous-section 2 : Le critère de l'activité dirigée51
§ 1. - Le lieu de situation des moyens de traitement (LIL)51
§ 2. - Le lieu du public cible (nouveauté RGPD)52
A. - Notion52
B. - L'obligation de désigner un représentant dans l'Union européenne53
Chapitre 3 : Le régime de la protection55
Section 1 : Les conditions de licéité d'un traitement55
Sous-section 1 : Les conditions de fond56
§ 1. - Une licite : des finalités déterminées et légitimes56
A. - Détermination57
B. - Légitimité58
1° Traitement nécessaire à la sauvegarde de la vie de la personne concernée60
2° Traitement nécessaire à l'exécution d'une obligation légale60
3° Traitement nécessaire à l'exécution d'une « mission » de service ou d'intérêt public61
4° Traitement nécessaire à l'exécution d'obligation contractuelle souscrite envers la personne concernée, ou de mesures précontractuelles prises à la demande de celle-ci61
a) L'exécution d'un contrat
61
b) L'exécution de mesures précontractuelles
62
5° L'intérêt légitime62
a) Notion
62
1) L'intérêt du responsable du traitement ou d'un tiers63
2) Les intérêts de la personne concernée63
3) Mise en balance64
alpha) Appréciation au regard de la source de l'intérêt légitime
64
beta) Appréciation au regard de l'incidence sur les personnes concernées
64
yota) Les garanties supplémentaires
65
b) Application par la CNIL et la jurisprudence
65
6° Le consentement66
a) Règles générales
66
1) Caractère univoque66
2) Caractère libre68
alpha) Dossiers médicaux électroniques
68
beta) Les scanners corporels
68
3) Le caractère spécifique71
4) Le caractère éclairé71
5) Le caractère précaire72
b) Règles spéciales
73
1) Le consentement en cas de traitement à des fins prospection commerciale par voie électronique73
2) Consentement des mineurs74
C. - Compatibilité en cas de traitement ultérieur75
1° L'exigence de compatibilité75
a) Les conditions de la compatibilité
76
1) L'analyse « formelle » préalable76
2) Le test « substantiel » en cinq étapes76
a) Degré de proximité
76
bêta) Contexte de la collecte initiale
77
gamma) Nature des données collectées
78
delta) Conséquences du traitement ultérieur sur les personnes
78
epsilon) Les garanties appropriées
78
b) Les effets de la compatibilité
79
2° Les traitements ultérieurs non soumis à l'exigence de compatibilité79
§ 2. - Un objet proportionné : des données nécessaires à la poursuite des finalités79
A. - Règles générales applicables à tous les traitements80
1° Minimisation80
a) Minimisation des données traitées
80
b) Minimisation des destinataires
81
2° Limitation dans le temps82
a) La fixation du point de départ
82
b) La fixation de la durée
83
1) Les durées résultant de dispositions législatives ou réglementaires84
2) Les durées résultant des délibérations de la CNIL85
c) Les dérogations prévues pour certains traitements particuliers
86
1) Les dérogations liées à la recherche, à la conservation de la mémoire ou à la liberté d'expression87
2) Les autres dérogations88
B. - Règles spéciales applicables à certains traitements89
1° Les règles spéciales liées à la nature de certaines données traitées89
a) Les traitements de données « sensibles »
89
1) Notion89
alpha) Les données révélant l'origine (raciale ou ethnique)
90
bêta) Les données révélant les opinions (politiques, philosophiques ou religieuses)
91
gamma) Les données révélant l'appartenance syndicale
91
delta) Les données relatives à la santé
92
epsilon) Les données relatives à la vie sexuelle
94
dzeta) Les données d'identification forte (nouveauté RGPD)
94
2) Régime96
alpha) Les traitements fondés sur le consentement exprès de la personne concernée
96
bêta) Les traitements relatifs à la santé
97
gamma) Les traitements réalisés par des associations ou organismes à but non lucratif
98
delta) Les traitements portant sur des données rendues publiques par la personne concernée
99
epsilon) Les traitements de données nécessaires à la constatation, l'exercice ou la défense d'un droit
99
dzeta) Les traitements de données à des fins statistiques
100
êta) Les traitements portant sur des données anonymisées
100
thêta) Les traitements autorisés ou justifiés par l'intérêt public
101
iota) Les traitements nécessaires pour des motifs d'intérêt public en matière sociale (nouveauté RGPD)
101
b) Les traitements de données relatives à des infractions et condamnations
102
2° Les règles spéciales liées à la nature de certains traitements103
a) Les traitements soumis à analyse d'impact (nouveauté RGPD)
103
1) Les traitements concernés104
2) La réalisation d'une analyse d'impact107
alpha) Le contenu de l'analyse d'impact
107
bêta) Les consultations requises lors de l'analyse d'impact
108
3) La consultation postérieure de l'autorité de contrôle à l'analyse d'impact109
alpha) Les analyses d'impact soumises à consultation obligatoire
109
bêta) Le contenu du dossier de demande de consultation
109
gamma) La procédure
109
delta) L'avis
109
b) Les traitements de profilage à des fins de prise de décision110
1) La notion de « profilage »110
2) Le régime110
alpha) Les règles issues de la LIL
111
bêta) Le régime issu du RGPD
112
Sous-section 2 : La condition de forme : procéder aux démarches préalables113
§ 1. - Déclaration auprès de la CNIL115
A. - Le régime de droit commun : la déclaration normale115
1° Principe115
2° Modalités116
3° Le cas spécifique de la vidéosurveillance et de la vidéoprotection116
B. - Le régime allégé : la déclaration simplifiée118
1° Notion118
2° Modalités118
C. - Le régime d'exception : la dispense119
1° Les dispenses prévues par la loi119
2° Les dispenses pour les traitements visés par une délibération de la CNIL120
3° La dispense applicable en cas de désignation d'un CIL120
a) Intérêt de la désignation d'un CIL
120
b) Missions du CIL
121
c) Profil
121
d) Choix d'un CIL interne ou externe
122
e) Modalités de désignation
122
f) Indépendance
122
g) Décharge du CIL
123
h) Responsabilité du CIL
123
§ 2. - Consultation de la CNIL123
A. - Les traitements d'intérêt public, soumis à demande d'avis124
1° Les traitements de souveraineté124
a) Les traitements concernés
124
b) Le régime
124
1) Le principe : la publication de l'acte réglementaire124
2) L'exception : la dispense de publication125
2° Les traitements publics biométriques ou impliquant le NIR125
a) Les traitements concernés
126
b) Le régime
127
B. - Les traitements soumis à consultation après analyse d'impact (nouveauté RGPD)128
§ 3. - Autorisation de la CNIL128
A. - Le régime général128
1° Les catégories de traitements concernés128
a) Les traitements de données sensibles mis en oeuvre à des fins de statistiques publiques, ou anonymisées à bref délai, ou justifiés par l'intérêt public
129
b) Les traitements automatisés de données génétiques
129
c) Les traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté
130
d) Les traitements automatisés excluant d'un droit
131
e) Les traitements automatisés interconnectant les fichiers poursuivant des finalités ou intérêts publics différents
132
f) Les traitements portant sur le NIR
133
g) Les traitements automatisés comportant des appréciations sur les difficultés sociales des personnes
134
h) Les traitements biométriques automatisés mis en oeuvre aux fins de contrôler l'identité des personnes
134
i) Les traitements de souveraineté impliquant le NIR
135
2° La procédure applicable aux demandes d'autorisation135
a) Le régime de droit commun
135
b) Le régime spécifique de l'autorisation unique
135
B. - Le régime spécial applicable à certains traitements mis en oeuvre dans le domaine de la santé136
1° Les traitements concernés136
2° Le régime136
a) Le dépôt préalable du dossier
136
b) L'avis des comités spécialisés
137
c) L'autorisation de la CNIL
137
d) Le régime simplifié en présence d'une méthodologie de référence
138
3° Des sanctions administratives spécifiques138
Section 2 : les effets d'un traitement138
Sous-section 1 : les obligations à la charge des acteurs du traitement139
§ 1. - Les obligations à la charge du responsable de traitement139
A. - Informer les personnes concernées : les règles générales139
1° L'obligation d'information en cas de collecte directe139
a) Les règles de droit commun
139
1) La règle140
alpha) Le contenu de l'information prévu par la LIL
140
bêta) Le renforcement de l'information prévu par le RGPD
142
2) Les exceptions143
alpha) Les traitements pour lesquels la personne concernée est déjà informée
143
bêta) Les traitements aux fins de journalisme ou d'expression littéraire et artistique
144
gamma) Les traitements ayant pour finalité la lutte contre les infractions pénales
144
delta) Les traitements de données appelées à être anonymisées à bref délai
144
b) Les règles spéciales applicables aux cookies et autres traceurs
145
1) Les notions clés146
2) Le régime149
alpha) L'exigence d'information spécifique et de consentement préalable
150
bêta) Les cookies exemptés
153
2° L'obligation d'information en cas de collecte indirecte154
a) La règle
155
1) Le contenu de l'information155
2) Les délais pour délivrer l'information155
b) Les exceptions
156
B. - Informer les personnes concernées : les règles spécifiques aux traitements poursuivant des finalités de recherche médicale157
1° Le champ d'application158
2° Le régime158
a) Les informations à fournir
158
b) Les modalités
159
1) Le cas général159
2) Le cas particulier des traitements de données « non directement identifiantes recueillies à titre obligatoire » et destinées à l'État, aux collectivités territoriales ou aux organismes de sécurité sociale160
c) Les destinataires
160
d) Les dérogations
160
3° Des sanctions spécifiques161
§ 2. - Les obligations à la charge du sous-traitant161
A. - L'obligation de vigilance162
1° Respecter les instructions du responsable de traitement162
2° Encadrer le recours à des intervenants (nouveauté RGPD)163
B. - L'obligation d'information164
1° Nature de l'obligation d'information164
2° Contenu de l'obligation d'information165
a) L'obligation de renseignement (nouveauté partielle RGPD)
165
b) L'obligation de mise en garde (nouveauté partielle RGPD)
165
c) L'obligation de conseil
166
C. - L'obligation d'assistance (nouveauté RGPD)166
D. - L'obligation de gestion des données en fin de contrat (nouveauté RGPD)167
§ 3. - Les obligations communes à la charge du responsable de traitement et du sous-traitant168
A. - Assurer la sécurité des données168
1° L'obligation de mise en oeuvre de mesures appropriées168
2° L'obligation de notification en cas de violation de données (nouveauté RGPD)170
a) L'obligation pesant sur les fournisseurs de services de communications électroniques
170
1) Champ d'application170
2) Contenu de l'obligation170
alpha) L'obligation de notification
171
beta) L'obligation de documentation
172
3) Les modalités pratiques de mise en oeuvre172
4) Sanctions173
b) L'extension de l'obligation de notification aux responsables de traitement et aux sous-traitants (nouveauté RGPD)
173
1) La règle173
2) L'exception174
3) Le pouvoir d'appréciation de l'autorité de contrôle174
B. - Encadrer le transfert de données vers des pays tiers174
1° Le principe d'interdiction174
a) La notion de transfert, selon la CNIL
174
b) L'imperfection de la définition
175
1) Toute mise en ligne de données constitue-t-elle un transfert ?175
2) Les critères pratiques pour définir ce qu'est un transfert177
2° Les dérogations177
a) Les transferts vers un État désigné par décision d'adéquation
177
1) Le cas général177
2) Le cas particulier des États-Unis179
alpha) Le dispositif initial Safe Harbor (2000-2015)
179
beta) Le nouveau dispositif Privacy Shield (12 juill. 2016)
180
b) Les transferts s'appuyant sur un instrument juridique approprié
181
1) Le régime issu de la LIL181
alpha) Les clauses contractuelles types
182
beta) Les règles d'entreprise contraignantes
183
2) Le nouveau régime prévu par le RGPD183
alpha) Les garanties dispensées d'autorisation
183
beta) les garanties soumises à autorisation
184
c) Les transferts bénéficiant d'une exception
184
1) Les transferts fondés sur le consentement explicite185
2) Les transferts nécessaires à l'exécution de certaines opérations186
alpha) Les transferts nécessaires à la sauvegarde de la vie humaine
186
bêta) Les transferts nécessaires à la sauvegarde de l'intérêt public
186
gamma) Les transferts nécessaires à l'exercice d'un droit en justice
187
delta) Les transferts ayant lieu au départ d'un registre public
187
epsilon) Les transferts nécessaires à l'exécution d'un contrat entre le responsable de traitement et la personne concernée, ou à des mesures précontractuelles prises à la demande de celle-ci
188
dzeta) Les transferts nécessaires à la conclusion ou l'exécution d'un contrat, conclu entre le responsable de traitement et un tiers, dans l'intérêt de la personne concernée
189
êta) Les transferts justifiés par des intérêts légitimes impérieux du responsable de traitement
189
C. - Formaliser un contrat écrit entre acteurs d'un même traitement (nouveauté RGPD)190
1° Le formalisme imposé dans les relations entre responsable de traitement et sous-traitant191
a) La règle
191
1) Un contrat écrit191
2) Les clauses obligatoires191
b) La sanction
192
2° Le formalisme et la transparence imposés dans les relations entre responsables conjoints de traitement193
a) Le contrat liant les responsables conjoints de traitement
193
b) L'obligation de transparence vis-à-vis des personnes concernées
193
D. - Tenir un registre des traitements (nouveauté RGPD)194
1° Le champ d'application194
2° Le contenu du registre195
a) Le registre du responsable du traitement
195
b) Le registre du sous-traitant
196
E. - Désigner un délégué à la protection des données (nouveauté RGPD)197
1° Le champ d'application197
a) Secteur public
198
b) Secteur privé
198
1) L'activité de base198
2) Des traitements à grande échelle198
3) Un suivi régulier et systématique des personnes199
2° Le régime200
a) Le choix d'un DPO
200
1) L'externalisation possible de la fonction200
2) La mutualisation au sein d'un groupe200
3) Les qualités requises201
4) La désignation et la révocation du DPO201
alpha) Une désignation notifiée et publiée
201
bêta) Le silence du texte sur les conditions de révocation
201
b) Le statut du DPO
202
1) Indépendance202
2) Prohibition des conflits d'intérêts202
3) Immunité relative203
c) Les missions du DPO
204
1) Les missions assignées par le RGPD204
alpha) Un référent sur la conformité
204
bêta) Un rôle particulier en matière d'analyse d'impact
205
2) La possibilité d'investir le DPO d'autres missions205
Sous-section 2 : Les droits des personnes concernées par un traitement205
§ 1 - Les règles communes aux demandes d'exercice de tous les droits des personnes206
A. - Les règles issues de la LIL et du décret n° 2005-1309206
1° Les modalités d'exercice des droits206
2° Le délai de réponse207
B. - Les modifications apportées par le RGPD207
1° Sur la forme : l'exigence d'intelligibilité et de sécurité207
2° Sur le fond : le raccourcissement du délai de réponse et le principe de gratuité207
§ 2. - Le droit d'accès208
A. - Les bénéficiaires208
B. - Les catégories d'informations exigibles209
1° Les informations exigées par la LIL209
2° Les informations complémentaires exigées par le RGPD210
C. - Les modalités d'accès210
1° Les règles générales211
a) Le principe de gratuité
211
b) Les motifs possibles de refus
211
1) Les demandes manifestement abusives, infondées ou excessives211
2) Les traitements à des fins statistiques, de recherche scientifique ou historique, et excluant tout risque d'atteinte à la vie privée212
3) Les demandes portant atteinte « aux droits et libertés d'autrui »212
2° Les règles spéciales213
a) L'exercice du droit d'accès direct
213
b) L'exercice du droit d'accès indirect
213
1) Les traitements concernés213
2) Le régime214
alpha) Le cas des traitements publics intéressant la sécurité, la lutte contre les infractions ou l'imposition
214
bêta) Le cas des traitements portant sur des données de santé
215
D. - L'action juridictionnelle préventive contre les risques de disparition ou de dissimulation217
§ 3. - Le droit à la portabilité (nouveauté RGPD)217
A. - Les conditions de la demande218
1° Les traitements concernés218
2° Les données concernées219
a) Des données « concernant » le demandeur
219
b) Des données « fournies » par le demandeur
219
c) Des données ne portant « pas atteinte aux droits et libertés de tiers »
220
1) Les données à caractère personnel de tiers220
2) Les données couvertes par un droit de propriété intellectuelle ou un secret221
B. - Les modalités de la réponse221
1° Le format222
2° La sécurité222
§ 4. - Le droit à rectification224
A. - Champ d'application224
1° L'inexactitude des données225
2° La caractère lacunaire des données225
B. - Régime225
1° La demande225
2° La réponse226
a) L'obligation de rectifier
226
b) L'obligation de notifier aux destinataires
226
§ 5. - Le droit à l'effacement227
A. - Le champ d'application227
1° Les cas d'ouverture227
a) La reconnaissance jurisprudentielle
228
b) La consécration par le législateur français
231
c) La consécration définitive par le législateur communautaire
231
1) « Les données (...) ne sont plus nécessaires » à la poursuite des finalités232
2) Retrait du consentement (qui constituait le fondement juridique du traitement)232
3) Exercice du droit d'opposition reconnu valable232
4) Traitement illicite232
5) Respect d'une obligation légale232
6) Données collectées en ligne auprès de mineurs233
2° Les traitements exclus233
B. - Les effets234
1° L'obligation d'effacer234
2° L'obligation d'informer les destinataires235
a) La notification simple
235
b) La notification doublée d'une demande d'effacement
236
§ 6. - Le droit d'opposition236
A. - Les traitements concernés237
B. - Le régime238
1° L'information spécifique238
a) L'information à la première communication
328
b) La faculté d'exercice lors de la collecte pour les traitements poursuivant une finalité de prospection
238
2° Les modalités d'exercice238
a) Le cas général
239
b) Les cas spéciaux
240
1) Les traitements à des fins de prospection240
2) Les traitements à des fins de recherche médicale241
3° Les effets241
a) Une cessation du traitement
241
b) Un effacement des données
241
c) Une notification aux destinataires des données
241
§ 7. - Le droit à la limitation (nouveauté RGPD)242
A. - Les cas d'ouverture242
B. - Les effets243
§ 8. - Le droit de contrôle post mortem244
A. - Le régime conventionnel245
1° Validité des directives245
2° Effets des directives246
a) Des directives générales ou particulières
246
b) L'objet des directives
247
B. - Le régime légal247
Section 3 : Les sanctions248
Sous-section 1 : La responsabilité pénale249
§ 1. - Les peines pouvant être prononcées par le juge répressif250
A. - Les faits incriminés250
1° Traitement clandestin250
2° Poursuite d'un traitement interdit ou déchu250
3° Accès illicite à un traitement relatif à des militaires251
4° Traitement en violation d'une norme simplifiée ou de dispense251
5° Traitement illicite du NIR252
6° Défaut de sécurité253
7° Défaut de notification en cas de violation de données253
8° Collecte frauduleuse, déloyale ou illicite253
9° Traitement en dépit d'une opposition254
10° Conservation illicite de données sensibles254
11° Traitement de données aux fins de recherche médicale, au mépris des droits des personnes255
12° Traitement excédant les périodes prescrites dans les formalités préalables255
13° Détournement de finalité256
14° Divulgation illicite de données portant atteinte à la personne256
15° Transfert non autorisé de données en dehors de l'Union européenne257
16° Entrave à l'action de la CNIL258
17° Défaut d'information des personnes concernées258
18° Refus injustifié d'une demande d'accès259
19° Refus injustifié d'une demande de rectification ou d'effacement259
B. - Le caractère intentionnel259
C. - Répression260
1° Les délits260
2° Les contraventions260
§ 2. - Les pleines pouvant être prononcées par la CNIL261
A. - Le cas général261
1° La mise en demeure préalable261
2° Les sanctions261
B. - Les cas particuliers262
1° En cas de violation des droits et des libertés262
2° En cas d'atteinte grave et immédiate aux droits et libertés262
§ 3. - Les nouveautés apportées par le RGPD262
A. - Un renforcement de l'amende263
1° Un alourdissement des montants263
2° L'instauration d'une liste de critères d'appréciation264
3° La règle de non-cumul264
B. - La création de nouvelles sanctions265
Sous-section 2 : La responsabilité civile266
§ 1. - Le régime issu de la LIL266
§ 2. - Les nouveautés issues du RGPD266
A. - La nouveauté apparente : la responsabilité directe du sous-traitant266
B. - La nouveauté substantielle : la responsabilité solidaire des acteurs d'un même traitement267
Section 4 : Les outils de la conformité269
Sous-section 1 : Les outils prévus par la LIL269
Sous-section 2 : Les outils prévus par le RGPD269
§ 1. - Les codes de conduite270
A. - La création d'un code : une initiative laissée à des groupements270
1° La procédure d'élaboration270
2° Le contenu d'un code271
B. - L'approbation du code : une prérogative de l'autorité de contrôle271
C. - Le contrôle de l'application du code : une prérogative réservée à des organismes agréés272
1° Les critères pour obtenir l'agrément272
2° La procédure d'agrément272
§ 2. - Les certifications272
A. - La délivrance d'une certification272
1° Qui délivre une certification ?273
a) Une autorité
273
b) Un organisme de certification (préalablement agréé)
273
1) Les critères d'agrément273
2) La procédure d'agrément273
3) La durée de validité de l'agrément273
2° La procédure de délivrance274
B. - Les effets d'une certification274
Seconde partie
Les règles applicables à toutes les données
Chapitre 1 : La collecte et l'utilisation des données277
Section 1 : Les droits277
Sous-section 1 : Données et droit de la concurrence277
§ 1. - La donnée comme source de pouvoir de marché278
A. - Big Data et pouvoir de marché278
1° L'avantage concurrentiel conféré par les données279
2° L'exploitation des données et l'apparition de marchés multifaces280
3° Le pouvoir de marché conféré par les données sur les marchés « connexes »281
a) Les critères de la connexité
281
b) La connexité résultant de produits ou services à usage multiple
282
c) Les données numériques : un facteur de connexité
283
B. - Le rôle joué par les données dans l'analyse concurrentielle285
1° Le recours initial à la théorie des infrastructures essentielles285
2° L'abandon progressif de cette théorie et la reconnaissance du rôle intrinsèque des données dans l'analyse concurrentielle287
§ 2. - Les comportements anticoncurrentiels liés aux données288
A. - Fusions et acquisitions (contrôle des concentrations)288
1° Les décisions ne décelant aucun risque pur la concurrence289
a) L'existence de concurrents crédibles
289
b) Le caractère non essentiel des données en cause
289
c) La dynamique de marché
290
2° Les décisions décelant un risque pour la concurrence291
B. - Pratiques d'éviction291
1° Les comportements unilatéraux291
a) Le refus d'accès à des données
291
b) L'accès discriminatoire à des données
292
c) L'utilisation de données pour impacter un marché connexe
293
2° Les pratiques concertées : la question de la réduction d'incertitudes via le traitement massif d'informations de marché294
C. - Les sanctions et les causes d'exonération294
§ 3. - Prospective : vers un marché de la donnée ?295
A. - La donnée délimitant un marché de produits296
1° Substituabilité de la demande296
2° Substituabilité de l'offre298
B. - La donnée délimitant un marché géographique298
Sous-section 2 : Données et informations du secteur public299
§ 1. - L'accès aux documents administratifs300
A. - Le droit d'obtenir communication sur demande301
1.° Champ d'application301
a) Les documents administratifs concernés
301
1) La forme301
alpha) Un document qui existe
301
bêta) Un document définitif
302
2) Le fond302
b) Les documents administratifs exclus
303
1) Les documents ayant déjà fait l'objet d'une diffusion publique303
2) Les documents frappés d'incommunicabilité304
alpha) Les cas d'incommunicabilité absolue
304
bêta) Les cas d'incommunicabilité relative
305
c) Les documents juridictionnels306
2° Le régime306
a) Les modalités d'exercice du droit d'accès
306
b) Le refus en cas de demande abusive
307
B. - L'obligation de diffusion spontanée à la charge des administrations307
1° Les catégories de données concernées308
2° Les modalités de diffusion310
a) La diffusion de données à caractère personnel
310
b) Les données de référence
311
§ 2. - La réutilisation des informations publiques311
A. - Le champ d'application du droit à réutilisation311
1° La notion d'« informations publiques »311
2° La notion de « réutilisation »312
B. - Le régime313
1° Les obligations du réutilisateur313
a) Les aspects patrimoniaux
313
1) Le principe de gratuité et ses exceptions314
2) L'encadrement des exclusivités314
b) Les aspects extrapatrimoniaux
315
2° Les obligations de l'administration316
Section 2 : Les devoirs316
Sous-section 1 : Le respect des droits privatifs316
§ 1. - Les droits de propriété industrielle317
A. - Les marques317
1° Référencement payant318
2° Référencement gratuit320
3° Tentative de synthèse commune au référencement payant et gratuit321
B. - Les autres droits de propriété industrielle322
§ 2. - Les droits de propriété littéraire et artistique324
A. - Le droit d'auteur et les droits voisins324
1° Acte(s) échappant aux prérogatives de l'auteur : la question des hyperliens326
2° Acte(s) bénéficiant d'une exception légale : la question de la copie provisoire328
3° Les licences Creative Commons : vers la donnée en open source ?329
B. - Le droit sui generis333
1° Les conditions de la protection333
2° Le régime de protection334
C. - La question de la « fouille électronique de documents »336
1° Notion et problématique juridique336
a) Notion
336
b) La problématique juridique
337
c) Les arguments des partisans du libre usage
337
d) Les arguments des partisans d'un usage soumis au monopole
338
e) Le silence des débats parlementaires sur cette problématique
338
2° L'exception issue de la loi n° 2016-1321 « pour une République numérique »338
a) Le nouveau texte
338
b) Son application pratique
339
§ 3. - Les autres droits privatifs340
A. - La protection administrative des données issues des dossiers d'AMM341
B. - La protection de l'image des biens342
§ 4. - Le parasitisme : une forme de métapropriété343
Sous-section 2 : Le respect des restrictions contractuelles347
§ 1. - Les restrictions invalides347
A. - La règle de l'article L. 342-3-1 du Code de la propriété intellectuelle347
B. - L'invalidité des clauses déséquilibrées (contrat d'adhésion)349
§ 2. - Les restrictions inopposables350
Sous-section 3 : Le respect des secrets350
§ 1. - Les secrets protégés350
A. - Le secret attaché à la qualité du dépositaire : le secret professionnel351
1° Le secret médical351
a) L'obligation de secret attachée aux professionnels de santé
352
1) Les sources et les fondements du secret médical352
2) Le champ d'application du secret médical353
alfa) Les personnes tenues au secret
353
bêta) Les informations couvertes par le secret médical
354
3) L'atteinte au secret médical : une infraction élargie355
4) Les dérogations au secret médical356
b) Le régime spécifique applicable à l'hébergement des données de santé : le corollaire du secret médical
358
1) L'extra-commercialité des données de santé359
2) L'obligation de recourir à un hébergeur agréé, en cas d'hébergement externalisé359
2° Le secret professionnel des avocats360
3° Le secret bancaire362
4° Le secret des journalistes sur leurs source365
5° Les secrets judiciaires366
a) Le secret de l'enquête et de l'instruction
366
b) Le secret du délibéré
367
6° Les autres dépositaires d'un secret professionnel367
B. - Le secret attaché à la valeur de certaines données : les secrets économiques368
1° Les secrets de fabrique368
a) Élément matériel
368
b) Élément intentionnel
370
c) Les sanctions
370
2° Le secret des affaires370
a) L'absence de définition et de régime propre à l'heure actuelle
370
b) La directive n° 2016/943 du 8 juin 2016 sur la protection des secrets d'affaires
371
1) Champ d'application371
2) Régime373
C. - Le secret attaché au mode de communication des données : le secret des correspondances374
1° Éléments constitutifs374
a) Condition préalable : une correspondance personnelle
374
1) Notion374
2) Application dans les relations entre employeurs et salariés377
b) L'élément matériel de l'infraction
379
c) Élément intentionnel
380
2° Sanction381
§ 2. - La violation des secrets professionnels381
A. - Les atteintes commises par les dépositaires381
1° L'élément légal de l'infraction381
2° L'élément matériel de l'infraction : une révélation383
3° L'élément moral384
B. - Les atteintes commises par des tiers384
1° La complicité384
a) Éléments constitutifs
385
1) Un fait principal punissable385
2) L'élément matériel385
3) L'élément moral385
b) Sanction
385
2° Le recel386
a) Condition préalable : une chose provenant d'une infraction d'origine
386
b) L'élément matériel
388
c) L'élément moral
388
Chapitre 2 : La protection des données389
Section 1 : Identifier la menace390
Sous-section 1 : L'observation de la pratique390
§ 1. - Les cyberattaques intentionnelles390
§ 2. - Les défaillances non intentionnelles395
Sous-section 2 : Éléments théoriques et concepts397
§ 1. - Les valeurs à protéger398
§ 2. - Les événements redoutés398
§ 3. - La menace398
A. - La source du risque399
1° La source humaine399
2° la source naturelle399
B. - Le support exposé399
1° Les éléments techniques399
2° Les personnes impliquées399
§ 4. - Le niveau de risque399
A. - La gravité400
1° Les facteurs intrinsèques400
2° Les facteurs extrinsèques400
B. - La vraisemblance400
1° La vulnérabilité des supports400
2° L'aptitude des sources de risque401
Section 2 : Répondre à la menace401
Sous-section 1 : La réponse avant l'atteinte402
§ 1. - Les mesures organisationnelles et techniques402
§ 2. - Les mesures juridiques403
§ 2. - Les mesures juridiques403
A. - La mise en place d'une politique contractuelle de sécurité403
1° À l'égard des collaborateurs403
2° À l'égard des clients et des fournisseurs406
3° À l'égard des prestataires et sous-traitants407
a) Clause « confidentialité »
407
b) Clause « sécurité »
408
c) Clause « audit »
408
d) Clause « restitution/ destruction des données en fin de prestation »
408
B. - Le transfert de certains risques cyber via le mécanisme de l'assurance409
1° L'apparition de polices dédiées à l'assurance du risque cyber410
a) Les polices couvrant les frais de reconstitution des données
410
1) Les événements garantis410
2) Les frais garantis410
b) Les polices couvrant les coûts de notifications imposées en cas de violation de données à caractère personnel
410
1) Les événements garantis410
2) Les frais garantis411
2° Le caractère assurable de certains risques cyber411
a) L'assurabilité de certaines conséquences civiles d'actes délictueux
411
b) L'inassurabilité des conséquences pénales d'un acte délictueux
412
c) La question de l'assurabilité des cyberrançons
413
Sous-section 2 : La réponse après l'atteinte414
§ 1. - Les moyens judiciaires visant à faire cesser l'atteinte414
A. - Les atteintes concernées par les mesures de cessation414
B. - La procédure d'urgence aux fins de cessation de diffusion416
C. - Illustrations jurisprudentielles417
§ 2 - Les moyens judiciaires visant à faire sanctionner les responsables417
A. - L'identification des responsables de l'atteinte418
1° L'identification matérielle de l'auteur418
2° L'identification juridique du responsable419
B. - Les textes sanctionnant les atteintes aux données420
1° Les infractions pénales420
a) Les textes de droit commun
420
1) Les atteintes aux biens420
alpha) L'atteinte à la propriété intellectuelle
420
bêta) Le hameçonnage (en anglais phishing)
421
gamma) L'extraction ou la diffusion de données
421
delta) L'abus de confiance et le vol
422
epsilon) L'extorsion et le chantage
425
2) Les atteintes aux personnes427
alpha) Les atteintes aux données à caractère personnel, ainsi qu'à celles couvertes par un secret
427
bêta) L'usurpation d'identité ou d'identification numérique
427
b) Les textes spécifiques : les atteintes aux systèmes de traitement automatisé de données (« STAD »)
428
1) Condition préalable : la présence d'un « système de traitement automatisé des données » (STAD)428
2) Un élément matériel429
3) Un élément intentionnel431
c) La question du concours de qualification
431
2° La responsabilité civile432
Annexes
Annexe 1 : Autorisations uniques437
Annexe 2 : Dispenses449
Annexe 3 : Normes simplifiées455
Annexe 4 : Règlement général sur la protection des données n° 2016/679461
Index alphabétique517