GDPR Book Club

​​​​frama.link/gdprbookclub

2017-11-27 Première session du cercle

>>> Extrait du texte discuté <<<

Intro

Objectifs // Champ d’application matériel // Champ d’application territorial //Définitions // Grands principes de la protection des données. Existaient dans la directive de 95 (95/46) // Conditions applicables au consentement //Données particulières pour la protection de l’enfance//Données sensibles.

Ce qui ne sera pas vu ce soir : responsabilité, transfert hors UE, droits utilisateurs, sanction.

Le SGAE a repéré 55 points qui demanderont des transcriptions en droit interne, articles qui laissent une marge aux Etat membres, alors qu’en théorie, le règlement est d’application directe.
Ils n’ont pas abouti à un texte totalement harmonisé au niveau européen, ce qui était l’ambition initiale.

La directive de 1995 n’avait pas vraiment de fondement au niveau des traités, sujet un peu éloigné, d’où un traitement sous l’angle de la libre circulation des données (approche de marché). Seuil minimal permettant de faire circuler des données. Avec le traité de Lisbonne, la place des droits fondamentaux est consacrée en 2009, ce qui permet de traiter de ces questions. Le considérant 12 fait référence claire à l’article 16 :

L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation des données à caractère personnel.

La charte des droits fondamentaux (article 8) consacre le droit à la protection.

On attaque les considérants, 1 à 13 relatifs à l'article 1 du règlement (Objet et objectifs)

Premier considérant paragraphe 1, 2 et 3.

"Tout personne" : pas uniquement les citoyens de l'UE. Les règles ne sont pas liées à des conditions de citoyenneté et de résidence.Inclut un touriste qui serait sur le territoire de l'UE. –> volonté d'inclusion large.
Inversement, Aux US, la protection est accordée pour un type de données, avec un type de secteurs d'activité et certains acteurs de ce secteurs : conditions cumulatives exclusives.

Personnes physiques (PP) versus personnes morales (PM) - entreprises, associations - : le règlement ne s'applique qu'à l'égard des PP.

Orientation = ambivalence entre la logique de marché et la protection des données. Libre circulation de principe mais protection. V. Redding affirme que pour un marché numérique fort, il faut qu'il ait une spécificité - par rapport au marché US et cie… - la vie privée est cette spécificité.

Considérant 4

Conçu pour "servir l'humanité". Emancipation de la protection des données personnelles par rapport à la protection de la vie privée, c'est une différence par rapport à la philosophie de 95. Toute donnée relative à l'individu sera protégée, même si elle n'apparaît pas directement en lien avec l'intimité.

Le droit n'est pas absolu : il est mis en balance avec des intérêts légitimes (sécurité publique, concurrence)

Considérant 5

Pourquoi créer ces règles = augmentation considérable de la circulation des données entre les pays –> besoin de coopération et d'encadrement "solide et plus cohérent".
Le considérant 6 est dans la même optique. Logique de marché : il faut de la confiance dans l'économie numérique pour que le marché fonctionne, d'où l'acceptation par les libéraux de certaines protections. Idée de confiance est déjà dans la convention 108 : sans confiance, plus de service.

Uniformisation par rapport à l'échelle européenne qui est un niveau pertinent pour éviter le dumping en la matière.

"Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant" (cons 7) = une influence du droit US.
Que signifie ce contrôle : droit de regard, maîtrise ?
La sécurité juridique et pratique doit être renforcée (inclusion d'une préoccupation pour les questions pratiques).

Considérant 8

Le règlement prévoit dans certains cas la possibilité de préciser ou limiter les règles prévues. Le principe n'est pas le mieux disant.

Critique du système de 95 : fragmentation dans la législation et la mise en oeuvre (autorités de protection, leurs moyens - ex : critiques sur la CNIL irlandaise - ) –> pas de confiance suffisante du public. D'où la nécessité de ce règlement.

Considérant 10

Besoin de cohérence et d'homogénéité. "Niveau cohérent et élevé". Mais possibilité pour les Etats de maintenir une différence et de faire une législation sectorielle spécifique, notamment pour les données sensibles.
Sans préciser dans quel sens peuvent aller ces marges de manoeuvre, cela sera précisé au cas par cas (ou pas dans certains cas qui ont trait à la liberté d'expression)

Considérant 11

Les invidus ont des droits vis à vis de ces données, les responsables de traitement ont des obligations.

Le fondemement du texte (cons 1 et 12) est l'article 16.

Considérant 13

Tient compte de la taille des entreprises - certaines obligations ne s'appliqueront pas pour les entreprises de moins de 250 employés. Cela porte sur les registres des traitements qui sont fait : obligation de tenir les registres a priori.
–> comment est déterminé le nombre d'employé (sur le sol de l'UE ? hors UE ?)
Le terme utilisé est "organisation" ce qui est plus large que l'entreprise commerciale.
Est ce que ce seuil est pertinent alors que bcq de sociétés ont commencé beaucoup plus bas ? D'où vient de seuil (élevé par rapport aux seuils du droit du travail français)

–> article 1, point 3 :
"La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel."
L'idée d'absence de limitation est liée à l'objectif d'un marché unique. La circulation n'est pas entravée car règles uniformisées.

Considérants 14-21, relatifs à l'article 2 du règlement (Champ d'application matériel)

Considérant 14

• "Indépendamment de leur nationalité ou de leur lieu de résidence". Ex : un touriste non européen en Europe, mais aussi des personnes situées hors UE qui achètent sur internet à partir du moment ou l'entreprise se situe dans l'UE.
• Exclusion des personnes morales (PM) –> éviter que la protection des intérêts industriels se fasse sur cette base. Il y a déjà eu des tentatives sur la protection du domicile par exemple : des entreprises invoquent ça en justice.

Considérant 15

Règles technologiquement neutres.

Considérant 16

Exclusion aux secteurs de la sécurité nationale.
Débat sur l'application vis à vis des entreprises US : la limite à la protection ne s'exporte pas.

Considérant 17

sur l'accès aux données produites par les institutions européennes elles-mêmes.

Cons 18

exclusions des règles sur la protection des données.
Une PP qui fait un traitement à des fins domestique (ex : système de domotique, tenue du carnet d'adresse, échange de correspondance)

Cons 19

Texte spécifique pour les traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales –> relèvent de la directive (UE) 2016/680 du Parlement européen et du Conseil.

Cons 20

s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires –> les Etats peuvent gérer cela de manière autonome.
Les traitements sur les condamnations sont particuliers.

Cons 21

directive sur le commerce électronique. Comment la protection générale s'applique par rapport à ce texte sectoriel ? Le règlement s'applique

Considérants 22-25, relatifs à l'article 3 du règlement (Champ d'application territorial)

Cons 22 - article 3

Application territoriale - inclut les sous-traitants sur le territoire de l'UE.
"Responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union."
Avec internet, le champ d'application territorial est remis en cause/questionné. Les gens qui accèdent à internet depuis son territoire, les services qui se dirigent vers un territoire ?
Définition la plus large possible : pas de compromis fait avec les droits étrangers.
Exercice effectif et réelle d'une activité : critère d'activité + de stabilité. Peu importe que ce soit une filiale.

Cons 23

Etablissement dans l'UE –> application du droit de l'UE. Quid des entreprise qui ont une activité ciale sur le territoire de l'UE ?
"lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non" –> le règlement s'applique. Ex : si FB n'avait pas de filiale en Irlande, cela s'appliquerait quand même.
Comment le déterminer ? "Clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union."
Accessibilité du site internet, utilisation d'une langue européenne : ne suffit pas en tant que tel.
Ce qui détermine = monnaie d'usage, selon la méthode du faisceau d'indices (le juge n'a pas besoin de prouver qu'il y a une activité en europe, c'est au responsable de traitement de pprouver qu'il n'a pas d'activité ) pour déterminer la compétence.

Cons 24

"lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union" –> la définition de comportement est large pour un champ d'application large.

Cons 25

Si des règles de droit international public disent que c'est applicable, c'est applicable (ex : inclut les ambassades)

DEFINITIONS - à partir du considérant 26.

Article 4.

«données à caractère personnel" : élément se rapportant à une PP identifiée ou identifiable.
Identification directe ou indirecte.
ex d'identifiant : "tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".
Même définition que la directive de 95. En france, dans la loi de 78, référence aux données nominatives puis avec la loi de transposition, données à caractère personnelle (plus large et englobant)
–> qu'est ce qui rend identifiable ? Moyens raisonnablement susceptibles d'être utilisés
En france, le mot "raisonnablement" n'avait pas été repris lors de la transposition de la directive. Donc raisonnablement est un recul en terme de protection. (le terme "raisonnablement" est dans le cons 26) - coût de l'identification - temps nécessaire.
Intègre à la fois ce qui se passe à la création du traitement mais aussi ce qui se passe dans le futur et qui détermine si c'est identifiable.

"pseudonymisation" (point 5) : pas identifiable directement (éléments extérieurs à la base de données) –> données personnelles.

Si données anonymes, le règlement ne s'applique pas - mais si qqun désanonymise, c'est la responsabilité du responsable de traitement et qu'il l'a fait raisonnablement.
Y compris données anonymes traitements à des fins de recherche ou statistique : volonté de réaffirmer leur exclusion.

Cons 27

Pas applicable aux personnes décédées.
PSYCHANALYSE COLLECTIVE. LES MEMBRES DU BOOKCLUB ONT UN PROBLEME "RAISONNABLEMENT IDENTIFIABLE" AVEC LA MORT.

Cons 29

Conditions de pseudonymisation - avoir des données séparées. Les conditions applicables aux données pseudonymisées ont un régime un peu spécial - marges de manoeuve (allègement des obligations dans la documentation en prouvant que la donnée est pseudonymisée)

Cons 30

Les traces permettent d'identifier les personnes. Ex : Adresses IP, cookies.
étiquettes d'identification par radiofréquence = ex, le pacemaker, le pass navigo.
Le considérant ne tranche pas le débat si ce sont ou non des données personnelles.

Cons 31

Autorités publiques ont des données perso (fiscales par exemple) mais intérêt général justifie qu'il y ait des règles différentes.

LE CONSENTEMENT

Définition : manifestation de volonté, libre, spécifique, éclairée et univoque + par une déclaration ou par un acte positif clair
–> grand changement par rapport à 95 : exclusion du consentement implicite (silence, case cochée par défaut) = inverse du consentement cookies qui existe aujourd'hui.

DONNEES SENSIBLES

Données génétiques, ADN - définition de l'article 4.

Cons 35

Définition des données de santé. Données sensibles.

Sous traitants - établissement principal - groupe d'entreprises.

PROTECTION DES ENFANTS

Protection spécifique –> droits supplémentaires accordés aux enfants en terme de droit à l'oubli.

2017-12-18 Deuxième session du cercle

>>> Extrait du texte discuté <<<

Chapitre 2 (principes) : Article 5

Lié au considérant 39

La définition du "traitement" des données personnelles est extrêmement large. Le simple fait d'ouvrir un fichier contenant des données personnelles est un traitement est a pour conséquence que le Rgpd s'applique.
Le rôle du responsable du traitement est important danns le sens où il doit garantir et pouvoir démontrer qu'il est en coformmité pour respecter la protection de données. On attend du gestionnaire qu'il mettent en oeuvre des moyens raisonnables pour garantir la sécurité.
(Voir guide du sous-traitant)

Article 6

1. Condition de la licéité des traitements :

• consentement
• contrat (cf. considération 44)
• obligation légale (cons. 45)
• sauvegarde des intérêts vitaux
• intérêt légitime (cf considérant 47, 49)
• mission d'intérêt publique (recensement ?)

4. Lorsque la collecte des données est effectuée dans d'autres finalité que la collecte initiale. Son utilisation finale doit être justifiée par la raison de collecte initiale. #PrivacyByDesign.
   Elle doivent compte d'au moins quatre éléments :

• Existence éventuelle d'un lien entre la collecte initiale et l'usage final.
• Le contexte
• De la nature de données
• Des conséquences possible de la collecte
• De l'éxistence de garanties.

Article 7

Considérants 42 et 43

1. Charge de la preuve
   Si vous êtes responsable de traitement vous devez prouver que vous avez obtenu le consentement.
2. Principe des clauses abusives
   Une clause abusive est considérée comme inconséquente
3. Le consentement peut être retiré à tout moment.
   "Il est aussi simple de retirer que de donner son consentement."

Le RGPD défend (sans l'expliciter) le principe qu'on ne peut pas payer un service avec ses données.

Article 8

1. Consentement licite à partir de 16 ans. Les États membres peuvent prévoir par la loi un âge inférieur mais pas en-dessous de 13 ans.

Article 9

Article 10

Article 11

Considérant 57

Article 12

Le responsable doit donner accès aux données de manière aisément accessible. Elles peuvent être données par orale à condition que l'identité soit garanties.

Article 13

2018-01-08 Troisième session du cercle de discussion

>>> Extrait du texte discuté <<<

Chapitre 3 (Droits de la personne concernée)

Article 12

Lié au considérant 58

Droits de la personne dont les données ont été traitées.

Le texte doit être aisément compréhensible, même par des enfants.
Les informations doivent être fournies par écrit : besoin de rapporter la preuve. Possible par oral mais conditions particulières qui s'appliquent.
Le responsable de traitement doit répondre à une demande dans les meilleurs délais

Articles 13 et 14

Collecte directe (ou pas) des données auprès de la personne concernée.
Ex : utilisateur veut créer un compte sur Youtube, Google doit fournir l'identité et les coordonnées du responsable du traitement (personne morale ou physique), les coordonnées du DPD s'il y en a un

Article 15

Droit d'accès aux données et aux finalités du traitement

2017-01-30 Quatrième session du cercle

>>> Extrait du texte discuté <<<

Article 17 : Droit à l'oubli

"En résumé c'est compliqué et pas clair." – Suzanne Vergnolle

Article 18 : Droit à la limitation du traitement

Lié au considérant 67

En gros la personne a droit à ce que le traitement soit limité dans certains cas. Peu d'applications concrètes en fait.

Article 19 : Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement

Une entreprise travaille avec d'autres entreprises partenaires, avec lesquelles elle échange des données.

2018-02-19 Cinquième session du cercle

>>> Extrait du texte discuté <<<

Article 24 : Responsabilité des responsables de traitement

Considérants 74, 75

Article 25 : Principes du Privacy by design et privacy by default

2018-03-26 6ème session du cercle

Article 30: Registre de traitements

• Obligatoire pour entreprises de plus de 250 employés ou traitements non-occassionels/risque aux libertés/..
• Exemple CNIL

Article 31: Obligation de coopération avec l'autorité de contrôle (CNIL)

Article 32: Sécurité des données

• Chiffrement/Pseudo-anonymisation des données personnelles

Article 33: Notifier une violation de données personnelles

ex: faille de sécurité, 72h pour le notifier à la CNIL

Article 34

Article 35

2018-04-09 7ème session du cercle

Article 36 : Consultation préalable

• le paragraphe 4 définit l'encadrement est mal écrit mais le considérant 96 aide à sa compréhension

Section 4 : Délégué à la protection des données

Article 37 Désignation du délégué à la protection des données

• Discussion sur l'exclusion des juridictions du 1a). Le regime dérogatoire peut s'expliquer par la nature des activités (on ne veut pas supprimer la mention d'une condamnation)

• Quel écart à la réalité ?

Les DPO sont parfois à l'informatique. Dans ses fonctions de DPO est indépendant.

Article 38 Fonction du délégué à la protection des données

Le DPO doit dire de faire mais n'est pas responsable du fait que cela ait été fait ou non. Il s'agit de ne pas responsabiliser le DPO en lieu et place de l'entreprise et du responsable du traitement.

Article 38 Fonction du délégué à la protection des données

Section 5 : Code de conduite et certification

Partie la moins palpilante selon les considérations de certaines ou certaines

Article 40, 41 et 42

Le responsable de la prise de note a beaucoup trop décroché pour faire une prise de note