Giters

medihebfaiza / rgpd

Cours sur le droit des données à caractère personnel et le RGPD en markdown

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

1. Introduction

1.1 Définitions

1.1.1 Donnée à caractère personnel

Une donnée qui permet d'identifier directement ou indirectement une personne physique notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

1.1.2 Traitement de donnéees personnelles

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

1.1.3 Responsable du traitement

Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

1.1.4 Profilage

Evaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

1.1.5 Consentement

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

1.1.6 Données biométriques

Les DCP résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

1.2 Le droit des DP d’un système juridique à l’autre

Les normes juridiques

  • Droit international
  • Droit européen
  • Droit français
  • Droits anglo-saxons

Droit français

  • Protection de l’intimité de la vie privée par l’article 9 du C. civ. et par art. L. 226-1 à 226-7 C. pén.
  • Protection des DP : Loi 78-17 du 6 janvier 1978 et art. L. 226-16 à 226-24 C. pén.

Droits anglo-saxons

  • Si la vie privée est un droit attaché à la personnalité qui vise à garantir les libertés politiques...
  • La privacy a une origine plus marchande
  • Conséquence : le free speech prime par principe sur la vie privée
  • En Europe, c’est l’inverse, La vie privée prime (théoriquement) par principe sur les autres enjeux

1.3 Savoir d'ou on vient pour avoir ou on va

Histoire du droit des DCP en 80s.

De l’antiquité aux 70’s

  • Protection de la vie privée
  • Des Traitements (Tts) de données à caractère personnel (DCP) anciens
  • Des ruptures technologiques et sociologiques

Vie privée et droit des DCP

  • VP : Loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens
  • Dispositif curatif : La réparation d’une atteinte à la vie privée (contrôle a posteriori)
  • DCP : Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
  • Traditonnellement : contrôle a priori

1.4 Le droit des DCP, une valse à trois temps

1er temps de la valse : l’informatisation de la société

  • 70’s : informatisation de la société
  • Loi du 1978 = réaction aux fichiers SAFARI, GAMIN... ⇒ menace étatique
  • Se retrouve dans les procédures de contrôle
  • Création de la Commission Nationale de l’Informatique et des Libertés - CNIL
  • Fichiers publics ⇒ Autorisation
  • Fichiers privés ⇒ Déclaration

2nd temps de la valse : L’émergence des réseaux

  • 90’s : Démocratisation des réseaux de communication électronique
  • Directive cadre 95/46/CE
  • Directives sectorielles : communications électroniques, données de connexion...
  • D’un contrôle organique (public/privé) on passe à un contrôle en fonction de la dangerosité

⇒ Autorisation si le traitement est dangereux sinon, simple déclaration

3ème temps de la valse : RGPD - Mégadonnée, IoT et algorithmique

  • 2010’s : RGPD : Mégadonnée, IoT et alogrithmie ⇒
  • Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
  • Déclaration et autorisation disparaissent (sauf art. 26 et 27 de la loi).
  • Déclaration → Registre des Activités de Traitement (RAT)
  • Autorisation → Etude d’impact sur la protection des données ? de la vie privée ?
  • RGPD consacre l’auto-contrôle
  • Inversion de la logique du droit des DCP
  • Contrôle a priori 7−→ contrôle a posteriori
  • La CNIL perd ses pouvoirs de contrôle a priori... mais voit ses pouvoirs de contrôle a posteriori renforcés
  • La protection de la vie privée → Réparation d’une atteinte → protection d’une personne
  • Initialement droit des DCP → On attend pas que le dommage survienne → Protection d’un modèle de société
  • RGPD → Contrôle a posteriori → Protection du consommateur dans un contexte de marchandisation des DCP

⇒ Changement paradigmatique

  • RGPD = Plus grande souplesse
  • Mais aussi perte de sécurité juridique tant pour les personnes concernées que pour les responsables de Tts Ex. Exceptions peu claires (RAT et ets de - de 250 salariés, EIVP / PIA...
  • Ventilation des responsabilités en cas de pluralité de responsables (R)
  • Ventilation des responsabilités entre le R et le sous-traitant (ST) ⇒ Augmentation du contentieux : 3 767 plaintes auprès de la CNIL (+ 64%)

Page suivante →

Auteur

Julien Le Clainche - Avocat - Docteur en droit

About

Cours sur le droit des données à caractère personnel et le RGPD en markdown