frama.link/gdprbookclub
Objectifs // Champ d’application matériel // Champ d’application territorial //Définitions // Grands principes de la protection des données. Existaient dans la directive de 95 (95/46) // Conditions applicables au consentement //Données particulières pour la protection de l’enfance//Données sensibles.
Ce qui ne sera pas vu ce soir : responsabilité, transfert hors UE, droits utilisateurs, sanction.
Le SGAE a repéré 55 points qui demanderont des transcriptions en droit interne, articles qui laissent une marge aux Etat membres, alors qu’en théorie, le règlement est d’application directe.
Ils n’ont pas abouti à un texte totalement harmonisé au niveau européen, ce qui était l’ambition initiale.
La directive de 1995 n’avait pas vraiment de fondement au niveau des traités, sujet un peu éloigné, d’où un traitement sous l’angle de la libre circulation des données (approche de marché). Seuil minimal permettant de faire circuler des données. Avec le traité de Lisbonne, la place des droits fondamentaux est consacrée en 2009, ce qui permet de traiter de ces questions. Le considérant 12 fait référence claire à l’article 16 :
L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation des données à caractère personnel.
La charte des droits fondamentaux (article 8) consacre le droit à la protection.
"Tout personne" : pas uniquement les citoyens de l'UE. Les règles ne sont pas liées à des conditions de citoyenneté et de résidence.Inclut un touriste qui serait sur le territoire de l'UE. –> volonté d'inclusion large.
Inversement, Aux US, la protection est accordée pour un type de données, avec un type de secteurs d'activité et certains acteurs de ce secteurs : conditions cumulatives exclusives.
Personnes physiques (PP) versus personnes morales (PM) - entreprises, associations - : le règlement ne s'applique qu'à l'égard des PP.
Orientation = ambivalence entre la logique de marché et la protection des données. Libre circulation de principe mais protection. V. Redding affirme que pour un marché numérique fort, il faut qu'il ait une spécificité - par rapport au marché US et cie… - la vie privée est cette spécificité.
Conçu pour "servir l'humanité". Emancipation de la protection des données personnelles par rapport à la protection de la vie privée, c'est une différence par rapport à la philosophie de 95. Toute donnée relative à l'individu sera protégée, même si elle n'apparaît pas directement en lien avec l'intimité.
Le droit n'est pas absolu : il est mis en balance avec des intérêts légitimes (sécurité publique, concurrence)
Pourquoi créer ces règles = augmentation considérable de la circulation des données entre les pays –> besoin de coopération et d'encadrement "solide et plus cohérent".
Le considérant 6 est dans la même optique. Logique de marché : il faut de la confiance dans l'économie numérique pour que le marché fonctionne, d'où l'acceptation par les libéraux de certaines protections. Idée de confiance est déjà dans la convention 108 : sans confiance, plus de service.
Uniformisation par rapport à l'échelle européenne qui est un niveau pertinent pour éviter le dumping en la matière.
"Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant" (cons 7) = une influence du droit US.
Que signifie ce contrôle : droit de regard, maîtrise ?
La sécurité juridique et pratique doit être renforcée (inclusion d'une préoccupation pour les questions pratiques).
Le règlement prévoit dans certains cas la possibilité de préciser ou limiter les règles prévues. Le principe n'est pas le mieux disant.
Critique du système de 95 : fragmentation dans la législation et la mise en oeuvre (autorités de protection, leurs moyens - ex : critiques sur la CNIL irlandaise - ) –> pas de confiance suffisante du public. D'où la nécessité de ce règlement.
Besoin de cohérence et d'homogénéité. "Niveau cohérent et élevé". Mais possibilité pour les Etats de maintenir une différence et de faire une législation sectorielle spécifique, notamment pour les données sensibles.
Sans préciser dans quel sens peuvent aller ces marges de manoeuvre, cela sera précisé au cas par cas (ou pas dans certains cas qui ont trait à la liberté d'expression)
Les invidus ont des droits vis à vis de ces données, les responsables de traitement ont des obligations.
Le fondemement du texte (cons 1 et 12) est l'article 16.
Tient compte de la taille des entreprises - certaines obligations ne s'appliqueront pas pour les entreprises de moins de 250 employés. Cela porte sur les registres des traitements qui sont fait : obligation de tenir les registres a priori.
–> comment est déterminé le nombre d'employé (sur le sol de l'UE ? hors UE ?)
Le terme utilisé est "organisation" ce qui est plus large que l'entreprise commerciale.
Est ce que ce seuil est pertinent alors que bcq de sociétés ont commencé beaucoup plus bas ? D'où vient de seuil (élevé par rapport aux seuils du droit du travail français)
–> article 1, point 3 :
"La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel."
L'idée d'absence de limitation est liée à l'objectif d'un marché unique. La circulation n'est pas entravée car règles uniformisées.
Règles technologiquement neutres.
Exclusion aux secteurs de la sécurité nationale.
Débat sur l'application vis à vis des entreprises US : la limite à la protection ne s'exporte pas.
sur l'accès aux données produites par les institutions européennes elles-mêmes.
exclusions des règles sur la protection des données.
Une PP qui fait un traitement à des fins domestique (ex : système de domotique, tenue du carnet d'adresse, échange de correspondance)
Texte spécifique pour les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales –> relèvent de la directive (UE) 2016/680 du Parlement européen et du Conseil.
s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires –> les Etats peuvent gérer cela de manière autonome.
Les traitements sur les condamnations sont particuliers.
directive sur le commerce électronique. Comment la protection générale s'applique par rapport à ce texte sectoriel ? Le règlement s'applique
Application territoriale - inclut les sous-traitants sur le territoire de l'UE.
"Responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union."
Avec internet, le champ d'application territorial est remis en cause/questionné. Les gens qui accèdent à internet depuis son territoire, les services qui se dirigent vers un territoire ?
Définition la plus large possible : pas de compromis fait avec les droits étrangers.
Exercice effectif et réelle d'une activité : critère d'activité + de stabilité. Peu importe que ce soit une filiale.
Etablissement dans l'UE –> application du droit de l'UE. Quid des entreprise qui ont une activité ciale sur le territoire de l'UE ?
"lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non" –> le règlement s'applique. Ex : si FB n'avait pas de filiale en Irlande, cela s'appliquerait quand même.
Comment le déterminer ? "Clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union."
Accessibilité du site internet, utilisation d'une langue européenne : ne suffit pas en tant que tel.
Ce qui détermine = monnaie d'usage, selon la méthode du faisceau d'indices (le juge n'a pas besoin de prouver qu'il y a une activité en europe, c'est au responsable de traitement de pprouver qu'il n'a pas d'activité ) pour déterminer la compétence.
"lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union" –> la définition de comportement est large pour un champ d'application large.
Si des règles de droit international public disent que c'est applicable, c'est applicable (ex : inclut les ambassades)
«données à caractère personnel" : élément se rapportant à une PP identifiée ou identifiable.
Identification directe ou indirecte.
ex d'identifiant : "tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".
Même définition que la directive de 95. En france, dans la loi de 78, référence aux données nominatives puis avec la loi de transposition, données à caractère personnelle (plus large et englobant)
–> qu'est ce qui rend identifiable ? Moyens raisonnablement susceptibles d'être utilisés
En france, le mot "raisonnablement" n'avait pas été repris lors de la transposition de la directive. Donc raisonnablement est un recul en terme de protection. (le terme "raisonnablement" est dans le cons 26) - coût de l'identification - temps nécessaire.
Intègre à la fois ce qui se passe à la création du traitement mais aussi ce qui se passe dans le futur et qui détermine si c'est identifiable.
"pseudonymisation" (point 5) : pas identifiable directement (éléments extérieurs à la base de données) –> données personnelles.
Si données anonymes, le règlement ne s'applique pas - mais si qqun désanonymise, c'est la responsabilité du responsable de traitement et qu'il l'a fait raisonnablement.
Y compris données anonymes traitements à des fins de recherche ou statistique : volonté de réaffirmer leur exclusion.
Pas applicable aux personnes décédées.
PSYCHANALYSE COLLECTIVE. LES MEMBRES DU BOOKCLUB ONT UN PROBLEME "RAISONNABLEMENT IDENTIFIABLE" AVEC LA MORT.
Conditions de pseudonymisation - avoir des données séparées. Les conditions applicables aux données pseudonymisées ont un régime un peu spécial - marges de manoeuve (allègement des obligations dans la documentation en prouvant que la donnée est pseudonymisée)
Les traces permettent d'identifier les personnes. Ex : Adresses IP, cookies.
étiquettes d'identification par radiofréquence = ex, le pacemaker, le pass navigo.
Le considérant ne tranche pas le débat si ce sont ou non des données personnelles.
Autorités publiques ont des données perso (fiscales par exemple) mais intérêt général justifie qu'il y ait des règles différentes.
Définition : manifestation de volonté, libre, spécifique, éclairée et univoque + par une déclaration ou par un acte positif clair
–> grand changement par rapport à 95 : exclusion du consentement implicite (silence, case cochée par défaut) = inverse du consentement cookies qui existe aujourd'hui.
Données génétiques, ADN - définition de l'article 4.
Définition des données de santé. Données sensibles.
Sous traitants - établissement principal - groupe d'entreprises.
Protection spécifique –> droits supplémentaires accordés aux enfants en terme de droit à l'oubli.
et pendant ce temps-là…
Lié au considérant 39
La définition du "traitement" des données personnelles est extrêmement large. Le simple fait d'ouvrir un fichier contenant des données personnelles est un traitement est a pour conséquence que le Rgpd s'applique.
Le rôle du responsable du traitement est important danns le sens où il doit garantir et pouvoir démontrer qu'il est en coformmité pour respecter la protection de données. On attend du gestionnaire qu'il mettent en oeuvre des moyens raisonnables pour garantir la sécurité.
(Voir guide du sous-traitant)
Le RGPD défend (sans l'expliciter) le principe qu'on ne peut pas payer un service avec ses données.
Considérant 57
Le responsable doit donner accès aux données de manière aisément accessible. Elles peuvent être données par orale à condition que l'identité soit garanties.
Rappel définitions
et pendant ce temps-là…
Lié au considérant 58
Droits de la personne dont les données ont été traitées.
Le texte doit être aisément compréhensible, même par des enfants.
Les informations doivent être fournies par écrit : besoin de rapporter la preuve. Possible par oral mais conditions particulières qui s'appliquent.
Le responsable de traitement doit répondre à une demande dans les meilleurs délais
Collecte directe (ou pas) des données auprès de la personne concernée.
Ex : utilisateur veut créer un compte sur Youtube, Google doit fournir l'identité et les coordonnées du responsable du traitement (personne morale ou physique), les coordonnées du DPD s'il y en a un
Droit d'accès aux données et aux finalités du traitement
"En résumé c'est compliqué et pas clair." – Suzanne Vergnolle
Lié au considérant 67
En gros la personne a droit à ce que le traitement soit limité dans certains cas. Peu d'applications concrètes en fait.
Une entreprise travaille avec d'autres entreprises partenaires, avec lesquelles elle échange des données.
ex: faille de sécurité, 72h pour le notifier à la CNIL
Honestly, the best thing to do if you don’t have a high percentage of EU users/customers is to simply block EU IPs. First it was the completely useless cookie notifications, now it’s GDPR, and nobody knows what the next thing will be - we only know that there will be a next thing (there always is), and that it too will be costly and burdensome to comply with. Unless you derive a significant percentage of your revenue from EU users, it just isn’t worth it to try to keep up with the increasingly demanding whims of a heavy-handed European government.
Discussion sur l'exclusion des juridictions du 1a). Le regime dérogatoire peut s'expliquer par la nature des activités (on ne veut pas supprimer la mention d'une condamnation)
Quel écart à la réalité ?
Les DPO sont parfois à l'informatique. Dans ses fonctions de DPO est indépendant.
Le DPO doit dire de faire mais n'est pas responsable du fait que cela ait été fait ou non. Il s'agit de ne pas responsabiliser le DPO en lieu et place de l'entreprise et du responsable du traitement.
Partie la moins palpilante selon les considérations de certaines ou certaines
Le responsable de la prise de note a beaucoup trop décroché pour faire une prise de note