Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide juridique du numérique
  3. Protection des données personnelles
Extrait - Guide juridique du numérique Contrats, propriété intellectuelle, données personnelles, e-commerce...
Extraits du livre
Guide juridique du numérique Contrats, propriété intellectuelle, données personnelles, e-commerce...
2 avis
Revenir à la page d'achat du livre

Protection des données personnelles

Les principes de la loi Informatique et Libertés et du RGPD

La loi Informatique et Libertés (LIL) du 6 janvier 1978 est la première loi dans le domaine de la protection des données personnelles. Cette loi est adoptée en réaction à un projet gouvernemental qui avait pour but de connecter l’ensemble des fichiers informatiques administratifs (projet SAFARI) afin de protéger les potentielles dérives de « fichage ».

La LIL crée également la Commission nationale de l’informatique et des libertés (CNIL) chargée de veiller au respect des règles introduites par la loi puis aujourd’hui les règles posées par le règlement général sur la protection des données personnelles (RGPD).

En effet, le RGPD a été adopté le 27 avril 2016 et est applicable à l’ensemble des États membres de l’Union européenne depuis le 25 mai 2018.

Le RGPD a eu vocation à moderniser et harmoniser le droit applicable dans le domaine des données personnelles.

L’environnement numérique est marqué par de grands développements qui nécessitent de garantir la protection des données personnelles des individus tout en assurant la liberté de circulation des données dans l’Union européenne indispensable pour soutenir l’activité des entreprises et le développement du marché européen.

1. Les données personnelles

Une donnée personnelle est définie comme « toute information relative à une personne physique identifiée...

Les principales règles applicables aux données personnelles

1. Les règles relatives à la collecte

a. Les finalités du traitement

Lors de l’enregistrement des données personnelles, il est nécessaire que le responsable de traitement détermine les finalités de ce traitement.

L’article 5-1 b) du RGPD précise d’ailleurs que les données personnelles doivent être collectées pour des finalités « explicites et légitimes ».

La jurisprudence a eu l’occasion de se prononcer pour qualifier une finalité de légitime.

Exemple

La jurisprudence a pu considérer qu’il était légitime de collecter et exploiter de manière automatisée, à titre expérimental, des contenus accessibles publiquement sur Internet de certains opérateurs de plateformes pour lutter contre les infractions en matière fiscale et douanière (Conseil constitutionnel, décision n°2019-796 DC du 27 décembre 2019 à propos de la loi de finances pour 2020).

Le non-respect des finalités déterminées est sanctionné au titre d’un détournement de finalité déterminé sur le fondement de l’article L. 226-21 du Code pénal et puni de 5 ans d’emprisonnement et de 300 000 euros d’amende.

b. La qualité des données (principes de minimisation, d’exactitude et de mise à jour)

Les données collectées par les opérateurs doivent respecter certains principes.

Le principe de proportionnalité et de minimisation

Les données collectées doivent être utiles aux finalités déterminées. Le RGPD précise qu’elles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation) » (article 5-1 c) du RGPD).

Le Conseil d’État, la Cour de cassation et la CNIL ont eu l’occasion de nombreuses fois de se prononcer pour préciser...

La mise en conformité avec les règles de protection des données personnelles

1. Privacy by design et Privacy by default

Privacy by design

Désormais, la considération de la protection des données personnelles doit être prise en compte dès la conception d’un produit ou d’un service qui serait amené à collecter, traiter ou utiliser des données.

Le « design » d’un produit ou service doit prendre en compte cette nouvelle exigence.

Privacy by default

Ce principe constitue le corollaire du principe du Privacy by design. Il est nécessaire que le plus haut niveau de protection des données soit mis en place et appliqué par défaut.

L’utilisateur n’aura pas besoin d’intervenir pour que les mesures les plus protectrices de ses données soient mises en place.

Tout développement de site, application ou service en ligne doit dorénavant prévoir ces deux mesures.

2. Le concept d’Accountability

L’Accountability est une nouvelle logique de régulation de la protection des données personnelles qui fait participer l’organisme de traitement à la conformité de ses comportements.

En effet, le responsable de traitement est responsable et créancier d’une obligation de « rendre des comptes », c’est-à-dire qu’il doit respecter les règles du RGPD et doit le montrer.

L’article 24 du RGPD énonce un certain nombre de mesures que le responsable de traitement peut mettre en œuvre, notamment mettre en avant les risques et la gravité des traitements pour les droits et libertés des personnes concernées, prévoir des mesures techniques et organisationnelles pour la protection des données et plus généralement mettre en place les « garanties nécessaires afin de répondre aux exigences du règlement (RGPD) ».

3. Les formalités de déclaration

a. Le registre des activités de traitement

Comme vu précédemment, l’organisme doit mettre en place un registre des activités de traitement.

En pratique, il existe un registre pour le traitement des données personnelles dont l’organisme est responsable et un registre pour les données dont...

Les droits des personnes concernées

1. Le droit d’accès et de droit de communication

Le droit d’accès est le droit pour toute personne d’avoir accès à ses données personnelles, notamment le droit à la délivrance de certaines informations la concernant.

Par exemple, la finalité du traitement de ses données, la catégorie de données personnelles concernées ou encore le destinataire de ces données.

Chacun des individus bénéficie de ce droit d’accès. Il suffit de justifier son identité, en aucun cas les personnes concernées n’ont à justifier leurs demandes.

2. Le droit de rectification

Le droit de rectification correspond au droit de demander à ce que les données personnelles inexactes, incorrectes ou incomplètes soient corrigées.

3. Le droit d’opposition

Le droit d’opposition permet à l’individu de s’opposer au traitement de ses données personnelles pour des raisons tenant à sa situation particulière.

A contrario, le responsable de traitement peut démontrer qu’il est nécessaire de traiter ces données pour des raisons légitimes et impérieuses ou dont le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice.

4. Le droit à la portabilité...