UXDE dot Net Wordpress Themes

Posts Selected From the Category "Protection des données à caractère personnel"

Compte-rendu de la conférence (thème 2) du « Cycle de petits déjeuners RGPD » organisé par Gide Loyrette Nouel

Le cabinet d’avocats Gide Loyrette Nouel nous a reçu le mercredi 7 février 2018 à son bureau parisien dans le cadre du « Cycle de petits déjeuners RGPD ». Ce cycle de conférence est organisé notamment à destination des professionnels pour qu’ils puissent appréhender l’entrée en application du Règlement Général sur la Protection des Données (RGPD) au 25 mai 2018.

Plusieurs conférences sont organisées portant sur différents thèmes abordés autour d’un petit déjeuner. La conférence du 7 février portait sur le thème « La sous-traitance du traitement de données personnelles » et était animée par Maître Thierry Dor, avocat associé et Maître Aurélie Pacaud, avocat collaborateur.

Nous vous présenterons donc dans cet article notre compte-rendu de conférence rédigé par les étudiants du Master II Droit du Multimédia et de l’Informatique.

La notion de sous-traitants est abordée à l’article 28 du RGPD. Cette notion est née avec la Directive n°95/46 du 24 octobre 1995 afin d’éviter que le recours à des sous-traitants soit synonyme d’affaiblissement de la protection des données à caractère personnel.

Aujourd’hui, il était impératif de modifier le régime applicable aux sous-traitants afin de garantir aux personnes une protection des données adéquate. Le RGPD fait en effet émerger un nouveau régime du sous-traitant qui sera étudié dans ce compte-rendu.

Il convient de souligner dès lors les premiers obstacles à la mise en oeuvre de ce nouveau régime. Les sous-traitants sont souvent des acteurs majeurs du marché de la donnée et dispose souvent d’un poids plus important dans les négociations contractuelles avec le responsable de traitement. Ils devront quoiqu’il en soit se mettre en conformité au RGPD.
Les intervenants mettent également en garde les participants sur la notion de « co-responsable de traitement » (article 26 RGPD). Cette qualité suppose une détermination conjointe des finalités et des moyens de traitement, et correspond donc à très peu d’hypothèses.

Qualification de la qualité de sous-traitant

Afin de qualifier la qualité de sous-traitant, il convient donc de se référer à un faisceau d’indices : quel est le niveau d’instruction, le niveau de contrôle, de transparence et d’expertise de l’acteur en question ?

Obligations du sous-traitant

Ses obligations sont principalement contenues à l’article 28 RGPD.
Audit et code de conduite : le sous-traitant doit notamment effectuer un/des audit(s) sur le traitement des données à caractère personnel et établir un code de conduite. Il est également recommandé d’obtenir un certification CNIL de conformité (normes qui n’est pas encore mise en place mais prévu par les articles 40 et 42 du RGPD).

Clause contractuelle de sous-traitance : obligation de conclure un contrat relatif au traitement de données à caractère personnel, la rédaction de ces clauses est fortement régulée par le RGPD (article 28). Ces clauses étant particulièrement longues, il est recommandé de recourir à des annexes.

Elle doit par exemple contenir des mentions relatives à :

  • l’obligation d’information quant au transfert de données personnel (information du responsable de traitement)
  • l’obligation de confidentialité qui nécessite par exemple l’établissement d’une Charte salariés sur le traitement des données à caractère personnel
  • les conditions de recrutement d’un autre sous-traitant
  • l’obligation de sécurité (article 35 RGPD)
  • l’obligation de donner suite aux demandes des personnes dont les données sont traitées
  • l’obligation de respecter l’exercice des droits des personnes (demande de suppression, portabilité des données).
  • l’obligation de collaboration sur la réalisation d‘audits : il est recommandé pour les sous-traitants d’avoir pré-établi la documentation pour réaliser l’audit, les conditions de l’audit peuvent être négociées entre le responsable de traitement et le sous-traitant

Obligation du sous-traitant : le sous-traitant doit :

  • tenir un registre (article 30-2 RGPD)
  • désigner un DPO dans les conditions requises de l’article 37 RGPD
  • informer le responsable de traitement en cas de violation du RGPD dans le cadre du traitement de données

Responsabilité du sous-traitant

Le sous-traitant, et c’est une nouveauté du RGPD, sera solidairement responsable avec le responsable de traitement en cas de violation du RGPD par le traitement (article 82 RGPD). Il peut donc être soumis aux mêmes sanctions prévues par le RGPD : 4M€ ou 10% du chiffre d’affaire de sanction administrative.

Recommandations et remarques

Les intervenants ont alerté les participants sur les risques de re-qualification de la qualité de sous-traitant, il convient alors de qualifier justement, dès l’origine, la qualité de l’acteur en cause afin de lui appliquer le régime adapté. Ainsi, un sous-traitant dans le cadre de son activité sera toujours responsable de traitement des données de ses salariés. Il conviendra alors d’établir les règles relatives à ces deux régimes au sein d’une même structure.

Les sous-traitants doivent également être au fait des autres réglementations en vigueur qui peuvent leur être opposées : en matière de données de santé ou données bancaires par exemple.

En matière contractuelle, les contrats devront être naturellement mis à jour par avenants. Enfin, il est recommandé aux acteurs des traitements de données personnelles d’utiliser les certifications alternatives en attendant le certificat de la CNIL.

Cette conférence fut l’occasion d’approfondir les connaissances des étudiants quant à la mise en oeuvre du régime applicable au sous-traitant de données personnelles. Elle a également permis aux étudiants de la promotion 2018 de rencontrer les professionnels du milieu et d’envisager une approche plus pratique du RGPD.

Les étudiants de la promotion 2018 du Master II DMI remercient ainsi chaleureusement Maître Thierry DOR, Maître Aurélie PACAUD et l’équipe TMT du cabinet d’avocats Gide Loyrette Nouel de les avoir accueilli dans le cadre de ce cycle de conférences RGPD.

Vous pouvez suivre les différentes actualités de la promotion 2018 sur sa page Facebook, son Twitter et n’hésitez pas à ajouter le Master II DMI sur LinkedIn.

Julie B.

L’essor des drones face au droit français

Parrot_AR.Drone_2.0_-_indoor_hull

Le récent survol de 7 centrales nucléaires françaises par des drones a mis en exergue les risques d’une utilisation non contrôlée de ces engins qui connaissent un essor fulgurant ces dernières années, ce qui nous permet de rappeler la nécessite d’avoir un cadre juridique adapté à ces nouvelles pratiques.

Mais avant tout : qu’est-ce qu’est un drone ?

Une origine militaire

Un drone, aussi appelé UAV pour Unmanned Aerial Vehicle, est un aéronef sans pilote humain à bord, qui est le plus souvent totalement autonome mais qui peut aussi éventuellement être télécommandé.

Il faut préciser qu’en France le mot drone est utilisé pour décrire tout véhicule ou robot terrestre, aérien ou sous-marin à condition qu’il soit doté d’autonomie. Mais ce n’est pas la définition retenue par la classification américaine, la plus utilisée en pratique, qui utilise le terme de drone seulement pour les aéronefs. Lire la suite…

Google Suggest : infractions de presse & liberté de réception de l’information

À l’occasion d’une décision rendue le 23 octobre 2013 sur les fonctionnalités « Google Suggest » et « Recherches associés », le tribunal de grande instance de Paris nous donne l’occasion de revenir sur deux thèmes : la place de la responsabilité civile de droit commun en matière de droit de la presse, ainsi que la balance entre la liberté d’expression et les droits des personnes.

L’association d’un nom ou d’un prénom à des termes tels que « escroc » ou « secte » par l’opération des fonctionnalités « Google Suggest » et « Recherches Associées » peut-elle être sanctionnée au titre des infractions de presse régies par la loi du 29 juillet 1881 ?

C’est la question qui s’est posée au Tribunal de Grande Instance de Paris, qui, dans sa décision rendue le 23 octobre 2013, a tranché par la négative. En l’espèce, Bruno L., formateur en développement personnel et gestion du stress, a constaté que les noms et prénoms « Bruno L. », lorsque saisis sur le moteur de recherche Google, étaient associés aux termes « escroc » et « secte », et que ces expressions apparaissaient également dans l’onglet « Recherches associées ». Celui-ci, ayant sollicité en vain la suppression de ces suggestions, a assigné les sociétés Google Incorporated, Google France et Eric S. en sa qualité de directeur de publication pour injure publique vers un particulier sur le fondement de l’article 29 al.2 de la loi du 29 juillet 1881, et subsidiairement, pour faute et négligence en vertu des articles 1382 et 1383 du code civil.

Lire la suite…

Will the future of Education be Online, Open and Massive?

A massive shift is occurring in education.

This results in an unprecedented change: we have gone from analog to digital, from isolated to connected, from standardized to customized, from fixed to mobile. The world has changed … and so will education? At least that is what the buzz around Massive Open Online Courses, or MOOCs, seems to tell us. MOOCs are forms of online learning that offer high quality education that is free and open to the public. One of the first examples was the Stanford Artificial Intelligence (AI) class taught in October 2011 with 160, 000 students that enrolled. Since then, the quantity of startups and projects has flourished bringing along with them many hopes and doubts.

This shift in education concerns the way content is being created, distributed and used. It also affects traditional publishers, intermediaries and the public. New technologies are bringing online tools that are completely reshaping the industry. For all these different reasons, education institutions need to rethink their business model and adapt to this new reality.

Does this evolution mean we are witnessing progress? Some argue that open educational resources (OER) will democratize education since they hold the promise of equitable access to knowledge and learning. Others predict an education bubble fuelled by huge hopes and large venture capital (VC) investments that are not solidly founded. Before going any further let’s describe and analyze this (not so) new phenomenon, and understand what could be the direct consequences.

  Lire la suite…

La CNIL publie son bilan annuel 2012

La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de publier son rapport annuel, nous permettant ainsi de revenir sur ses activités 2012. Long d’une centaine de pages, vous pourrez le retrouver en ligne sur le site de la CNIL.


Premier constat, la Commission n’a pas chômée durant l’année passée, permettant de fait à la loi 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés de prendre une place plus importante tant dans le débat public que dans sa connaissance auprès du grand public.

Le second constat est celui de l’augmentation des chiffres et ce dans tous les domaines de mission de la CNIL. Coté grand public, le nombre de plainte tout d’abord, quelques 6 000 au cours de l’année passée, mais surtout une augmentation de 75% du nombre de demande d’accès indirecte. Ces demandes concernent des fichiers dont le droit d’accès est géré directement par la Commission  La moitié concernent l’accès au fichier FICOBA qui est notamment utilisé par les héritiers d’une personne décédé afin de connaître l’intégralité des comptes bancaires ouverts au nom du défunt. Du coté CNIL, on notera une augmentation de 20% du nombre de contrôles opérés le plus souvent sur le terrain, dans les locaux des entreprises. Enfin, coté responsables de traitements, le nombre de déclarations opérées auprès de la Commission est lui aussi en hausse.

Lire la suite…

Ordonnance Twitter du 24 janvier 2013 : brève analyse d’une défense habile

Suite à des débordements sur la plateforme Twitter, plusieurs associations ont attaqué la société pour obtenir la communication des données permettant d’identifier les auteurs de messages manifestement illicites afin de les poursuivre.

Par ordonnance du 24 janvier 2013, le Président du Tribunal de Grande Instance (TGI) de Paris a ordonné à la société Twitter :

–       «  de communiquer aux cinq associations en cause les données en sa possession de nature à permettre l’identification de quiconque a contribué à la création des tweets manifestement illicites »

–       et de «  mettre en place dans le cadre de la plateforme française (…) un dispositif facilement accessible et visible permettant à toute personne de porter à sa connaissance des contenus illicites (…) »


Les fondements de ces injonctions sont étonnants et méritent d’être analysés.

Lire la suite…

Les VRM permettront-ils le partage et la réutilisation des données personnelles entre les organisations et leurs clients? (2/2)

(Suite de l’Article 1/2 que vous pouvez retrouver ici)

VRM, Open Data & Big Data

A l’heure du « Big Data » nous pouvons nous demander si cette capacité de traitement et d’analyse de quantité exponentielle de données signerait la fin de la notion de données à caractère personnel . En effet cette question juridique est à noter. L’article 2 de la loi n°78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers, et aux libertés définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres». Quid donc de sa pertinence remettant en cause l’efficacité d’une telle définition.

Pour comprendre les enjeux sous-jacents à la réutilisation et au partage des données personnelles, certains préconisent de l’analyser comme la continuité de l’ouverture et de la réutilisation des données publiques.

Effectivement, les initiatives MyData américaine ou MiData  britannique qui visent à promouvoir le marché des services personnels sont un prolongement des initiatives Open Data.

Lire la suite…

Les VRM permettront-ils le partage et la réutilisation des données personnelles entre les organisations et leurs clients? (1/2)

Nous vivons aujourd’hui dans un monde de données.

Le numérique a investi toutes les sphères de notre société, transformant radicalement sa structure, et son organisation. Internet, le réseau des réseaux, est un nouvel écosystème dans lequel nos interactions, nos activités de communication et de commerce constituent une myriade d’informations collectées par divers capteurs, répertoriées dans des bases de données, et interconnectées grâce à différentes applications.

Certains spécialistes parlent de « Big Data » pour décrire ce nouveau monde de données, dans lequel plus de d’1,8 zettabytes d’informations (soit 2 puissance 70 bytes) sont produits. Les données, pouvant être définies comme la représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement, sont le nouveau pétrole de l’économie numérique. Ce contexte où le Web serait devenu, selon l’expression de l’expert John Battelle, « la base de données de nos intentions » présente de nouveaux défis

Tout d’abord celui de la confiance. Il est très difficile pour les individus de connaître exactement ce que les entreprises savent sur eux. En effet il existe de nos jours une véritable asymétrie informationnelle. D’un côté, les entreprises ont développé des outils d’analyse sophistiqués qui utilisent cette nouvelle matière première pour personnaliser leurs relations avec leurs clients. De l’autre, les individus ne disposent d’aucuns moyens pour comparer et comprendre les offres qui leur sont proposées. Les critères sous-jacents qui déterminent si un client a le droit d’accéder à une prestation spécifique, ou une garantie particulière étant rarement explicites.

Voilà pourquoi il est important de promouvoir dès aujourd’hui de nouvelles relations basées sur une confiance réciproque qui permettrait de mieux répartir la création de la valeur induite par l’exploitation des données. C’est ce que propose Doc Searls, auteur du « Cluetrain Manifesto », qui a introduit en 2006 le concept de VRM, « Vendor Relationship Management ». Le VRM, symétrique du « Customer Relationship Management » (CRM), se veut pour le client un outil d’aide à la relation avec le vendeur. Dès lors se pose la question de savoir d’une part quels moyens et outils fournir aux individus pour gérer leurs relations avec les organisations ; et d’autre part comment inciter et permettre aux organisations de partager les données personnelles qu’elles détiennent avec les individus concernés. Pour rétablir une relation de confiance pérenne, la question porte donc sur les deux sens de l’équation.

Comment permettre le partage et la réutilisation des données personnelles entre les organisations et leurs clients ? Et quel langage juridique favoriserait l’essor d’un tel partage ?

Lire la suite…

To Trust or Not To Be ? telle est la Nouvelle question…

Etre digne de confiance serait-il devenu le nouvel impératif pour exister sur Internet ?     

C’est ce que semblent nous dire les nouveaux acteurs du réseau des réseaux.

Les activités de communication et de commerce transitent de plus en plus par des plateformes où la réputation est la nouvelle monnaie d’échange, nous incitant à construire une identité digne de confiance.

Retour sur l’incidence de la Convention européenne de sauvegarde des droits de l’homme sur le fonctionnement de la CNIL

Parce que cette plate-forme s’adresse aux amateurs de nouvelles technologies, il semble utile d’effectuer un bref retour sur les instances de régulation de l’Internet parmi lesquelles l’inévitable CNIL. Cette dernière dispose de nombreuses missions dont la variété n’est pas sans heurts sur les régimes autonomes de protection des droits de l’homme comme la Convention Européenne des Droits de l’Homme. Dès lors, il peut être utile de revenir sur les effets des régimes juridiques des articles 5 et 8 sur le fonctionnement en amont (dans ses missions de contrôle) et en aval (dans ses missions de sanctions) de la Commission Nationale de l’Informatique et des Libertés.

  Lire la suite…