Droit du numérique

...

A l’examen : cyber-surveillance : principe de transparence et de proportionnalité.

La charte informatique gère : les mots de passes, modem, wifi, utilisation d’internet, intranet, et ne pas faire n’importe quoi avec son poste informatique, l’utilisation des réseaux sociaux personnels et professionnels, messagerie, téléchargement, anti-vuris, mobilité ...

Elle a la même valeur qu’un règlement intérieur en matière de sanction, mais pour être opposable il faut qu’elle soit adoptée dans les formes et procédures nécessaires.

---------------------------------------------------------------

Protection des données personnelles

« L’or noir » selon la directrice du CNIL.

Loi informatique et liberté du 6 janvier 1978 et directive communautaire 95/46/CE, directive du Parlement et du Conseil du 24 octobre 1995 relative à la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données : imprimer.

La directive a été transposée par la loi du 6 aout 2004.

Décret du 25 mars 2007 et fin aout 2011 : obligation du consentement des personnes pour les cookies.

Règlement européen en cours d’adoption pour l’abrogation de la directive de 95. Il faudra harmoniser le droit européen des données personnelles et les sanctions financières. Cela devrait réduire les couts. De plus, cela amène une certaine sécurité juridique.

La loi informatique et liberté ça régit les traitements automatisés et non automatisés des données personnelles. Les fichiers automatisés de donnés doivent faire l’objet de formalité auprès de la CNIL. Mais cette loi doit-être respectée que le fichier soit automatisé ou pas.

Est-ce que c’est une donnée personnelle ? La donnée personnelle doit correspondre à une personne physique et non à une personne morale tel une entreprise. Article 2 : une donnée personnelle c’est toute information relative à une personne physique identifiée ou qui peut-être identifiée directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

- Une donnée personnelle c’est une donnée qui permet d’identifier une personne ou de la rendre identifiable.

Les noms et prénoms ne suffisent pas à identifier une personne. Il faut que ce soit accompagné d’une adresse, d’une date de naissance pour que ce soit une donnée personnelle. Un numéro de téléphone, le numéro de sécu sont des données personnelles.

Les données de santé sont dites données personnelles sensibles, donc elles sont plus protégées.

Pour éviter que l’on applique la loi au Big Data il faut que les données soient anonymisés de façon à ce que l’on ne puisse pas retrouver la personne.

Qu’est un traitement de donnée personnelle ?

Article 2 : « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Qu’est ce qu’un fichier à caractère personnel ?

Article 2 : « Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ».

Quelle est la personne concernée ?

Article 2 : « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

Qui est le responsable de traitement ? Le responsable de traitement c’est celui qui décide du traitement et qui détermine le traitement (article 3). Le sous-traitant c’est celui qui agit au nom et pour le compte du responsable de traitement il n’a pas d’autonomie dans la détermination des finalités du traitement (Article 35), il agit sous l’autorité du responsable de traitement et sur instruction du responsable de traitement. Le sous-traitant est soumis à une obligation de garantir la sécurité et la confidentialité des données qui lui sont confiées.

Qui sont les destinataires des données ? C’est celui qui reçoit la communication des données ; ce ne sont pas : le responsable de donnée, le sous-traitant, les personnes en raison de leur fonction qui sont chargés de gérer les donner.

Quel est le champ d’application de la loi ?

La loi s’applique quand le responsable de traitement est situé sur le territoire français. Quand le responsable de traitement n’est pas situé en France ni dans l’espace économique européen mais que le responsable de traitement recours à des moyens de traitement qui sont situés en France la loi s’applique alors (article 5).

Un ordinateur est considéré comme un moyen de traitement, de ce fait pour Facebook par exemple on applique la loi française.

Quand le responsable de traitement est situé dans l’espace économique européen la CNIL préfère que la société préfère la loi française en plus de la directive européenne.

Quelles sont les finalités de traitement ?

Pour pouvoir collecter des données il faut une bonne raison.

Article 6 : « 1° Les données sont collectées et traitées de manière loyale et licite.

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Les données ne doivent pas être conservées pendant une durée qui n’excède