Aperçu Du CIPP E

Aperçu du droit et de la pratique en matière de protection des données en Europe
Section I : Introduction à la protection européenne des données

 Origines et contexte historique de la législation sur la protection des données
o Justification : augmentation du nombre d'ordinateurs pour les communications 1970
o Commerce transfrontalier
 Équilibre entre les préoccupations nationales en matière de liberté individuelle et de
respect de la vie privée, et la capacité à soutenir le libre-échange au niveau de la CEE
 C'est également à ce niveau que l'UE obtient le pouvoir de réglementer la vie privée
(libre circulation).
o Lois sur les droits de l'homme
 DUDH 1948
 "la dignité inhérente à tous les membres de la race humaine et leurs droits
égaux et inaliénables, fondement de la liberté, de la justice et de la paix dans le
monde".
 ART 12 : droit à la vie privée
 ART 19 : droit à la liberté d'information/transfert d'informations
 ART 29(2) : équilibre des droits
 CEDH
 Conseil de l'Europe, Rome 1950 (entrée en vigueur 1953)
 Cour européenne des droits de l'homme (Strasbourg)=> système d'exécution,
décisions contraignantes
o Peut également donner des avis consultatifs sur la CEDH
o Nécessité et proportionnalité, intérêt public, pas un droit absolu
 ART 10 : droit à la liberté d'expression/d'information
 ART 10(2) : équilibre, motifs de violation des droits
o Nécessaire dans une société démocratique
o Sécurité nationale
o Intégrité territoriale
o Sécurité publique
o Prévention des troubles ou de la criminalité
o Protection de la santé ou de la morale
o Protection de la réputation ou des droits d'autrui
o Empêcher la divulgation d'informations reçues à titre confidentiel
o Maintenir l'autorité et l'impartialité du pouvoir judiciaire
o Lois antérieures/prédécesseurs
 Années 1960-1980 : pays dotés de lois contrôlant l'utilisation des données personnelles
par le gouvernement et les grandes entreprises
 La législation nationale ne protège pas suffisamment le droit à la vie privée face
aux technologies émergentes
o Recc 509 sur les RH et les développements scientifiques et
technologiques modernes
 1973/4 : Résolutions 73/2 et 74/29 du CdE : principes de protection des
données dans les banques de données automatisées
 Lignes directrices de l'OCDE (sur la protection de la vie privée et les flux transfrontaliers
de données à caractère personnel)
1
 faciliter l'harmonisation des lois sur la protection des données entre les pays
 n'est pas juridiquement contraignant
 aucune distinction entre les informations personnelles recueillies
électroniquement ou non
 avis ou consentement
 objectif spécifique de la collecte
 droits individuels d'obtenir des informations auprès du responsable du
traitement des données
 équilibrer le respect de la vie privée et la libre circulation de l'information/du
commerce
 les lois nationales peuvent avoir des normes plus élevées
 Convention 108 (1981)
 Convention du Conseil de l'Europe (pour la protection des personnes à l'égard
du traitement automatisé des données à caractère personnel)
 Ouvert à la signature des pays non européens !
 Légalement contraignant : premier instrument international contraignant à fixer
des normes pour les données personnelles et à assurer l'équilibre avec la libre
circulation des informations pour le commerce international.
 Les personnes qui utilisent des informations personnelles ont la responsabilité
sociale de protéger ces données personnelles
 Basé sur les principes du CdE 73/22 et 74/29
 Exceptions autorisées pour les signataires lorsqu'il s'agit d'une mesure
nécessaire dans une société démocratique (par exemple, sécurité de l'État ou
enquête criminelle) **proportionnalité
 ***La libre circulation des informations entre les signataires est assurée par un
niveau de protection minimal.
 Le protocole additionnel traite des transferts vers les pays non signataires.
o Intérêts légitimes de l'individu
o Dans l'intérêt public
o Transfert basé sur des clauses contractuelles approuvées par l'autorité
de contrôle
 Assistance mutuelle avec les autorités de contrôle
 Il s'agit toujours du seul instrument juridique contraignant ayant un champ
d'application mondial dans le domaine de la protection des données, ouvert à
tous les pays.
o Harmonisation en Europe
 Directive sur la protection des données (95/46/CE)
 La Commission européenne a fait appel au Parlement européen en 1976, en
vigueur depuis 1995.
 Les directives sont des textes législatifs, mais elles laissent aux États membres le
soin de les mettre en œuvre.
 Basé sur la Convention 108
 Différences de résultats dans les États membres (mise en œuvre incorrecte,
normes différentes)
o Par exemple, l'obligation de notifier aux autorités locales de protection
des données les détails du traitement.
o Corrigé avec GDPR
2
 Charte des droits fondamentaux
 L'UE, 2000 à Nice, consolide les droits fondamentaux en Europe
 Fait spécifiquement référence à la protection des données à caractère
personnel (contrairement à la CEDH, qui ne mentionne que le droit à la vie
privée).
 ART 8 : droits relatifs à la protection des données
o Juste pour une finalité déterminée, le consentement ou un autre intérêt
légitime prévu par la loi
o Valeurs fondamentales : (1) loyauté, (2) finalité spécifiée, (3) fondement
légitime du traitement, (4) droit individuel d'accès et de rectification des
données à caractère personnel, (5) autorité de contrôle chargée de
surveiller le respect des règles.
 ART 10 : droit au transfert d'informations
 ART 52 : nécessité et proportionnalité (équilibre)
 Traité de Lisbonne
 TUE et TFUE
 Article 16, paragraphe 1, du TFUE : toute personne a droit à la protection de ses
données à caractère personnel.
 ART 16(2) : toutes les institutions de l'UE doivent protéger les personnes
lorsqu'elles traitent des données à caractère personnel
o Les autorités nationales de protection des données peuvent également
être compétentes
 Le traité de Maastricht ne mentionnait pas du tout les droits fondamentaux.
 GDPR
 La Commission a lancé une révision du cadre juridique actuel en 2009/2010 afin
de renforcer les règles de protection des données.
 Les règlements sont contraignants dans leur intégralité et s'appliquent
directement aux États membres dès leur entrée en vigueur.
o Les États membres peuvent encore adopter des lois plus spécifiques
dans certains cas.
 Des lois spécifiques sont déjà en place (par exemple, la
conservation des données des employés).
 archivage dans l'intérêt public, recherche scientifique ou
historique, statistiques
 Traitement de catégories particulières de données
 Traitement dans le cadre d'une obligation légale
 CHANGEMENTS CLÉS
o Des droits plus forts pour les individus (en particulier en ligne)
o Protection des données dès la conception et par défaut (nouvelles
technologies développées)
o Responsabilité : les organisations doivent être en mesure de démontrer
qu'elles respectent le GDPR.
o Pouvoirs accrus pour les autorités de contrôle
o Guichet unique
o Application plus large à toute personne ciblant les consommateurs de
l'UE
3
 Application de la loi Directive sur la protection des données
 Protection des personnes physiques à l'égard du traitement des données à
caractère personnel par les autorités compétentes à des fins de prévention et
de détection des infractions pénales, d'enquêtes et de poursuites en la matière
ou d'exécution de sanctions pénales
 Les États membres ont jusqu'au 6 mai 2018 pour transposer dans leur droit
national les dispositions suivantes
 Directive vie privée et communications électroniques
 Traitement des données sur les réseaux de communication publics (pas sur
l'intranet de l'entreprise)
 Le GDPR n'impose pas d'obligations supplémentaires par rapport à la directive.
o La directive "vie privée et communications électroniques" doit être
réexaminée et modifiée pour assurer sa cohérence
 Institutions de l'Union européenne
o Traité de Lisbonne (2009) : avec l'élargissement de l'UE, il faut rationaliser le processus
décisionnel pour améliorer l'efficacité et la rapidité de l'UE.
 Conseil européen et BCE = statut institutionnel, peuvent prendre des décisions
contraignantes
 Charte des droits fondamentaux = même statut juridique que les traités, juridiquement
contraignants
 Pologne et Royaume-Uni : la charte ne s'applique que si elle contient des lois et
des pratiques déjà reconnues dans ces pays.
 République tchèque également avec disposition spéciale
o Parlement européen
 Membres élus directement par les citoyens de l'UE
 4 responsabilités : (1) élaboration de la législation, (2) contrôle des autres institutions,
(3) représentation démocratique, (4) élaboration du budget.
 Collabore avec la Commission pour proposer une nouvelle législation
o Peut demander à la Commission de soumettre une proposition
législative au Conseil de l'UE ; inviter la Commission à envisager de
modifier les politiques existantes et d'en élaborer de nouvelles.
 Pouvoir de censure de la Commission : La Commission doit présenter régulièrement des
rapports au Parlement
 6-96 membres par Etat, siégeant dans des groupes politiques à l'échelle européenne
(plutôt que par Etat membre)
 Le groupe doit compter au moins 25 membres et au moins ¼ des États membres
doivent être représentés au sein du groupe.
 Préparer le rapport pour la session plénière
 En session plénière, le Parlement examine, modifie et vote la législation
proposée.
 Vote = majorité simple
 Partage les pouvoirs législatifs avec le Conseil de l'Europe
 Procédure ordinaire : les deux institutions doivent donner leur avis conforme
sur la législation.
 Procédure de consultation : Le Conseil doit consulter le Parlement mais n'est
pas lié
4
 Procédure d'approbation : décisions importantes, l'approbation du Parlement
est requise
 RÔLE DANS LA PROTECTION DES DONNÉES : toute la législation relative à la protection
des données est adoptée dans le cadre de la procédure législative ordinaire-> le
Parlement joue un rôle important et égal dans l'adoption de la législation.
 Fervent défenseur du droit à la vie privée
o Conseil européen
 Rassemblement des chefs d'État, institution exécutive
 Se réunit quatre fois par an pour permettre aux chefs d'État de discuter des questions
qui touchent la communauté.
o Conseil de l'UE
 Un ministre par État, qui co-légifère avec le Parlement
 Principal organe de décision, il rédige la législation proposée par la Commission
 Conclut les accords internationaux négociés par la Commission
 Le conseil a été critiqué pour son caractère non démocratique et son manque de
transparence-> les réunions sont désormais publiques
 Présidence tournante
 Majorités qualifiées
o Commission européenne
 Née de la fusion de la Commission européenne du charbon et de l'acier et de la
Commission européenne de l'énergie atomique.
 Organe exécutif, il met en œuvre les décisions et les politiques de l'UE.
 Veiller à l'application des traités et des mesures adoptées par les institutions
 L'application du droit communautaire sous le contrôle de la CJCE
 Exécuter le budget et gérer les programmes
 Initier la législation
 La législation européenne ne peut être adoptée que si elle est proposée par la
Commission.
 Pouvoir de prendre des mesures juridiques et administratives, y compris l'imposition
d'amendes aux États membres qui ne respectent pas les lois ; autorité de contrôle sur
d'autres institutions.
 Commissaires indépendants sans allégeance aux États membres qui les envoient
 Sélectionnés sur la base de leurs "compétences générales et de leur
engagement européen".
 RÔLE DANS LA PROTECTION DES DONNÉES : crée la législation ; peut adopter des
"conclusions d'adéquation" sur la question de savoir si les États non membres de l'UE
assurent des niveaux adéquats de protection des données ; applique la Charte des droits
de l'homme, garantissant ainsi un niveau élevé de protection des droits individuels à la
vie privée et à la protection des données.
o Cour de justice des Communautés européennes
 Basée à Luxembourg, créée par le traité de Paris en 1951
 Compétence
 Recours introduits par la Commission ou par un État membre en cas de
manquement d'un État membre aux obligations découlant du traité
 Actions intentées par les États membres, une institution de l'UE ou une
personne physique ou morale en vue de contrôler la légalité des actes d'une
institution de l'UE
5
 Actions intentées par les États membres, une institution de l'UE ou des
personnes physiques ou morales contre les institutions de l'UE pour défaut
d'action
 Actions engagées devant les juridictions nationales et faisant l'objet d'un renvoi
préjudiciel à la CJCE sur des questions d'interprétation ou de validité du droit de
l'UE
 Avis sur la compatibilité des accords internationaux de l'UE avec les traités
 Pourvoi en cassation devant le TPI (juridiction inférieure de la CJCE)
 Prend des décisions sur le droit de l'UE et fait appliquer les décisions européennes sur la
base du droit de l'UE :
 Mesures prises par la Commission à l'encontre d'un État membre
 Actions entreprises par les particuliers pour faire valoir leurs droits en vertu de
la législation de l'UE
 28 juges nommés par le gouvernement pour un mandat de 6 ans ; un président parmi
les 28, élu par les juges tous les 3 ans
 8 avocats généraux (donnent des avis non contraignants à la CJCE pour l'aider à
trancher des affaires)
 RÔLE DANS LA PROTECTION DES DONNÉES : participation à des affaires relatives à la
protection des données(décisions de la CJCE relatives à la protection des données)
 Recours devant les juridictions nationales, intenté par la Commission contre les
États membres
 Le Royaume-Uni justifie la non-application intégrale des règles de l'UE sur la
confidentialité des communications électroniques
 Google Spain vs. AEDP (2014), droit à l'oubli
 Digital Rights Ireland c. Irlande (2014) : Invalidité de la directive sur la
conservation des données au regard des articles 7, 8 et 11 de la Charte
 Smaranda Bara c. CNAS (affaire ANAF, 2015) : les données à caractère personnel
ne peuvent être transférées entre des organismes administratifs publics d'un
État membre sans que la personne soit informée du transfert.
 Weltimmo c. DPA hongroise (2015) : transferts transfrontaliers au sein de l'UE
 Schrems c. Commissaire à la protection des données (2015) : invalidation de la
sphère de sécurité américaine, jugée inadéquate
o Cour européenne des droits de l'homme* (fondée par le CdE, et non par l'UE)
 Il ne s'agit pas d'une institution de l'UE et ne dispose pas de pouvoirs d'exécution.
 Les arrêts sont contraignants, les pays sont obligés de s'y conformer
 Les décisions de la Cour européenne des droits de l'homme peuvent donner lieu à des
réparations pour les parties lésées
 Nombre de juges = nombre de membres du CdE qui ont ratifié la Convention, mais qui
ne représentent aucun Etat.
 Des chambres de 7 juges entendent les affaires, les frais étant pris en charge par
le Conseil de l'Europe.
 Compétence
 Toutes les affaires concernant l'interprétation ou l'application de la CEDH
 Les cas peuvent être renvoyés par les États contractants ou la Commission
européenne des droits de l'homme.
o Les États dont les citoyens sont présumés être victimes d'une violation
de la CEDH, les États qui ont saisi la Commission et les États contre
6
lesquels une plainte a été déposée (si la Cour européenne des droits de
l'homme est obligatoirement compétente ou si elle consent à ce que
l'affaire soit entendue par la Cour européenne des droits de l'homme)
peuvent saisir la Cour européenne des droits de l'homme.
o La violation doit avoir été commise par un État lié à la CEDH
 La Cour européenne des droits de l'homme n'a pas le pouvoir de renverser les
décisions nationales ou d'annuler les lois nationales ; elle n'a pas de pouvoir
d'exécution (le Conseil de l'Europe intervient après qu'une décision a été
rendue).
 RÔLE DANS LA PROTECTION DES DONNÉES : assurer la protection du droit à la vie privée
(et non à la protection des données !); la Cour européenne des droits de l'homme a été
active dans le domaine de la protection des données.
 Trois affaires françaises (2009) : La Cour a réaffirmé le rôle fondamental de la
protection des données à caractère personnel, mais a estimé que le traitement
automatisé des données à des fins policières, et plus précisément "l'inscription
des requérants dans la base de données de la police nationale sur les
délinquants sexuels n'était pas contraire à l'article 8".
 MM c. Royaume-Uni (2012) : il est peu probable que la collecte indiscriminée et
illimitée de données relatives au casier judiciaire soit conforme à l'article 8
 Copland v. UK (2007) : la surveillance du courrier électronique du requérant au
travail est contraire à l'article 8, étant donné qu'aucune disposition n'a été
prévue à cet effet dans la loi.
 Gaskin c. Royaume-Uni (1989) : restriction de l'accès du requérant à son dossier
contraire à l'article 8
 Haralambie c. Roumanie : les obstacles rencontrés par le requérant lorsqu'il a
demandé l'accès au dossier des services secrets le concernant, établi à l'époque
du régime communiste, étaient contraires à l'article 8.
 Cadre législatif
o Convention 108 (1981)
 Premier instrument international juridiquement contraignant dans le domaine du PDD
 Motifs de l'arrêt C108 : (1) l'absence de réponse des États membres aux résolutions du
Conseil de l'Europe de 1973 et de 1974 concernant la protection de la vie privée et (2) la
nécessité de renforcer les principes énoncés dans ces résolutions au moyen d'un
instrument contraignant.
 Ouverture à la signature le 28 janvier 1981
 A noter pour 3 raisons
 Basé sur une série de principes qui répondent aux principales préoccupations
relatives au DP (exactitude et sécurité du DP, droit d'accès) qui ont trouvé leur
place dans la directive et le GDPR.
 Elle garantit une protection appropriée de la vie privée et reconnaît
l'importance de la libre circulation des DP pour le commerce et l'exercice des
fonctions publiques.
 Instrument juridiquement contraignant : les États signataires sont tenus de
mettre en œuvre les principes en adoptant une législation nationale.
 Objectif : réaliser une plus grande unité entre les États signataires et étendre les
garanties des droits individuels et des libertés fondamentales.
o Directive sur la protection des données (95/46/CE) (1995)
7
 Cette situation s'explique par le fait que seul un petit nombre d'États a ratifié la
convention C108 et que les législations des États membres ont adopté une approche
fragmentée pour la mettre en œuvre : elle est devenue un obstacle aux droits à la vie
privée
 marque le point de départ du leadership de l'UE dans le PDD européen et le déclin
relatif de l'importance du C108
 L'UE n'est pas en mesure d'adopter des lois autonomes en matière de ressources
humaines, contrairement au CdE : elle doit se fonder sur une disposition spécifique du
traité de Rome=> ***SUR LA MESURE D'HARMONISATION DU MARCHÉ INTÉRIEUR
 Réglemente la libre circulation des données à caractère personnel entre les
États membres
 En tant que directive, elle a donné lieu à différentes interprétations adoptées par les
États membres dans toute l'Europe.
 Nécessité et adéquation : concepts clés de la directive (motifs légitimes de traitement et
absence de transfert vers des pays n'offrant pas un niveau de protection adéquat)
 Traite les données manuelles et automatisées de la même manière
 Principes clés :
 Traitement équitable et licite
 Collecte dans un but spécifique et légitime, non traitée d'une manière
incompatible avec ce but.
 Adéquat, pertinent, non excessif
 Précision et mise à jour
 Ne pas les conserver plus longtemps que nécessaire
 Traitement dans le respect des droits de l'individu
 Mesures techniques et organisationnelles appropriées
 Transféré uniquement en dehors de l'EEE vers des pays offrant des niveaux
adéquats de protection des données.
 S'applique uniquement aux responsables du traitement des données établis dans les
États membres de l'UE, ou lorsque C utilise des équipements de traitement des données
sur le territoire d'un État membre (nécessité de désigner un représentant).
 Catégories particulières de données identifiées : race, appartenance ethnique, politique,
religion, appartenance syndicale, informations sur la santé et la vie sexuelle.
 Mise en place des APD, le WP29 étant un organe indépendant composé de
représentants des APD
 Abandonné pour le GDPR afin d'obtenir une application et une interprétation plus
cohérentes.
 3 facteurs de refonte : divergence des mesures nationales et des pratiques de
mise en œuvre, impact sur les entreprises et les particuliers, évolution des
technologies
 Objectifs principaux : protéger les données personnelles, réduire les formalités
administratives pour les entreprises, garantir la libre circulation des données au sein de
l'UE.
 Principaux changements entre la directive et le GDPR :
 Suppression des exigences administratives (par exemple, exigences de
notification, coût excessif pour les entreprises)
 Responsabilité accrue et obligation de rendre des comptes pour le traitement
des DP
8
 Autorité principale/APD principale
 Les individus ont un plus grand contrôle sur les données (un consentement plus
explicite est requis)
 Amélioration de la portabilité pour renforcer la concurrence entre les
prestataires de services
 Droit à l'oubli
 Veiller à ce que les règles de l'UE soient appliquées lorsque des données de l'UE
sont traitées à l'étranger ou que des services sont commercialisés auprès de
citoyens de l'UE.
 Renforcement des pouvoirs et des sanctions du DPA
 Principes et règles de coopération policière et judiciaire en matière pénale
 Processus de trilogue entre la Commission, le Parlement et le Conseil des ministres, avec
de multiples projets pour parvenir à un accord sur le règlement final.
o GDPR (2018)
 Une étape essentielle pour renforcer les droits fondamentaux des citoyens à l'ère
numérique et faciliter les affaires en simplifiant les règles pour les entreprises dans le
marché unique numérique
 Contient à la fois le droit applicable et les considérants qui aident à interpréter la loi.
 Principaux changements par rapport à la directive :
 Application de la loi : directement applicable dans tous les États membres sans
promulgation d'une loi nationale
o Pas seulement pour les responsables du traitement des données
 Portée étendue de la loi (l'établissement n'est pas nécessaire)
o Déterminé par la localisation de la personne concernée, si des biens ou
des services lui sont proposés ou si son comportement est surveillé.
o Le suivi des DS sur Internet afin d'analyser ou de prédire leurs
préférences personnelles déclenchera l'application du règlement, y
compris le suivi des cookies ou de l'utilisation des applications.
 Donner aux individus le contrôle de leurs données : renforcer le consentement
et les droits du DS
o Le consentement ne peut pas être associé à des conditions générales, il
peut être retiré à tout moment de manière simple et expliqué aux
individus avant l'obtention du consentement.
o Restriction pour les enfants
 Des droits individuels plus nouveaux et plus forts
o Obligations de transparence, droits à la portabilité des données, à la
limitation du traitement, au droit à l'oubli
o Maintien des droits existants : accès du sujet, rectification, effacement,
droit d'opposition, droit d'exiger une redevance a été supprimé.
 Nouveau régime de responsabilité : rendre les entreprises plus responsables de
leurs pratiques en matière de données
o Les entreprises mettent en œuvre des politiques de protection des
données
o Protection des données dès la conception et par défaut
o Obligations d'archivage
o Coopération avec les autorités chargées de la protection des données
o DPIAs
9
o Consultation préalable des autorités chargées de la protection des
données dans les situations à haut risque
o DPD obligatoire pour certains C et P
 Nouvelles obligations des responsables du traitement des données
o Ne peut sous-traiter avec un sous-traitant sans l'accord de C
o Nombreuses obligations similaires à celles de C, ou obligation d'aider C à
se conformer au GDPR
 Transferts internationaux de données : des restrictions subsistent
o Mettre en place des garanties appropriées, à condition qu'il existe des
droits exécutoires et des voies de recours effectives pour les individus.
o Les BCR sont désormais explicitement mentionnées, au même titre que
les CSC, les codes de conduite, les mécanismes de certification et les
autres contrats approuvés par la DPA.
o Mécanisme de cohérence pour les DPA
 Sécurité : mesures techniques et organisationnelles appropriées pour protéger
les données à caractère personnel
o Signaler les violations de données à la DPA dans les 72 heures, signaler
les violations à haut risque à la DS
 L'application de la législation et le risque de non-conformité sont en hausse
o Les particuliers ont droit à une indemnisation et peuvent obliger une
autorité de protection des données à donner suite à une plainte.
o Les droits peuvent être exercés par les associations de consommateurs
au nom des individus.
o Possibilité de sanctions sévères, notamment en cas de violation des
principes de base (consentement), des droits du DS, de la légalité des
transferts internationaux de données, des obligations découlant de la
législation des États membres et des injonctions des autorités de
protection des données.
o LEDP (2008)
 Protection des DP dans le cadre de la coopération policière et judiciaire en matière
pénale
 3 objectifs principaux :
 (1) une meilleure coopération entre les autorités chargées de l'application de la
loi, en améliorant la coopération en matière de lutte contre le terrorisme et
d'autres formes graves de criminalité en Europe,
 (2) une meilleure protection des données des citoyens, en appliquant les
principes de nécessité, de proportionnalité et de légalité, avec des garanties
appropriées et une supervision par des autorités nationales indépendantes
chargées de la protection des données, avec des voies de recours judiciaires
disponibles, et
 (3) des règles claires pour les flux internationaux de données afin de garantir
que la protection des personnes de l'UE ne soit pas compromise
o Directive vie privée et communications électroniques (2002)
 La directive de 1997 a été remplacée pour tenir compte du processus de convergence et
de l'émergence de l'internet.
 La législation de l'UE en matière de télécommunications est élargie pour inclure toutes
les communications électroniques
10
 Nécessité d'une protection cohérente et égale quelles que soient les technologies
utilisées
 Réformes visant à encourager une plus grande concurrence dans le secteur, le choix et
la protection des consommateurs, le renforcement du droit à la vie privée des
consommateurs
 S'applique au "traitement des données personnelles dans le cadre de la fourniture de
services de communication électronique accessibles au public sur les réseaux de
communication publics" dans l'UE.
 Les réseaux privés tels que l'intranet de l'entreprise ne sont généralement pas
couverts (les principes de la directive s'appliquent toujours si le DP est traité).
 Principales dispositions :
 Mesures techniques et organisationnelles visant à garantir la sécurité de leurs
services ; le fournisseur de services est davantage tenu d'informer l'abonné en
cas de violation des données
 L'EM est tenu d'assurer la confidentialité des communications et des données
de trafic générées.
o Exceptions : consentement de l'utilisateur à l'interception et à la
surveillance, ou autorisation légale.
 La plupart des formes de marketing numérique requièrent un consentement
préalable (opt-in)
o Exception limitée pour les clients existants pour des produits et services
similaires, disposition de non-participation à la place
 Restriction du traitement des données relatives au trafic et à la facturation
 Les données de localisation ne peuvent être traitées que si elles sont rendues
anonymes ou avec le consentement de l'intéressé et pour la durée nécessaire.
 Les abonnés doivent être informés avant d'être inscrits dans un annuaire.
 Trouver un équilibre entre les droits relatifs à la protection de la vie privée et la libre
circulation des données ; les États membres devraient éviter d'imposer trop d'exigences
techniques qui entraveraient la libre circulation.
 Amendements
 Notification obligatoire des violations de données à caractère personnel par les
fournisseurs de services aux autorités chargées de la protection des données et
aux personnes concernées lorsque la violation est susceptible de porter atteinte
aux données à caractère personnel ou à la vie privée d'un abonné ou d'une
personne.
 Les particuliers et les fournisseurs de services Internet peuvent intenter des
actions contre les communications non sollicitées (spam)
 Cookies : autorisés uniquement à condition que l'utilisateur concerné ait donné
son consentement, après avoir reçu des informations claires et complètes,
conformément à la directive.
o Exceptions : le stockage technique ou l'accès a pour seul but d'assurer la
transmission d'une communication sur un réseau de communications
électroniques, ou est strictement nécessaire à la fourniture d'un service
de la société de l'information explicitement demandé par l'abonné ou
l'utilisateur.
 Les moyens par lesquels le consentement doit être obtenu ne sont pas spécifiés : un
consentement sans ambiguïté peut être déduit de certaines actions lorsque ces actions
11
conduisent à une conclusion indubitable que le consentement est donné, à condition
que le consentement réponde aux critères de liberté, de spécificité et d'information
(consentement implicite).
 Réforme de l'ePD
 Le règlement "vie privée et communications électroniques" est en cours de
discussion pour remplacer l'ePD, harmoniser le cadre et assurer la cohérence
avec le GDPR.
 Caractéristiques principales :
o Application plus large (tous les fournisseurs de services de
communications électroniques)
o Ensemble unique de règles
o Confidentialité des communications électroniques (accès au contenu
interdit sans le consentement de l'utilisateur, exception pour
sauvegarder l'intérêt public)
o Consentement au traitement du contenu commun et des
métadonnées : anonymisé ou supprimé si les utilisateurs ne donnent
pas leur consentement, sauf à des fins de facturation.
o Nouvelles opportunités commerciales : permettre aux opérateurs de
télécommunications d'avoir plus d'opportunités d'utiliser les données et
de fournir des services supplémentaires
o Cookies : actuellement une surcharge de demandes de consentement,
rationaliser le processus
 Permettre aux utilisateurs de mieux contrôler les paramètres
 Aucun consentement n'est nécessaire pour les cookies non
intrusifs qui améliorent l'expérience Internet (par exemple,
l'historique du panier d'achat).
 Les cookies installés par le site web sur le nombre de visiteurs
ne requièrent plus de consentement.
o Protection contre le spam : interdiction des communications
électroniques non sollicitées par quelque moyen que ce soit, inscription
sur la liste des personnes à ne pas appeler, identification obligatoire des
appels de marketing
o Mise en œuvre : responsabilité des autorités nationales chargées de la
protection des données
 Conséquences d'une violation : miroirs GDPR
 Proposition d'introduire les "intérêts légitimes" comme autre justification du
traitement des données
o Directive sur la conservation des données (2006)
 Conçu pour garantir la disponibilité des données relatives au trafic et à la localisation à
des fins de lutte contre la criminalité grave et le terrorisme
 2014 : La CJUE a déclaré la directive invalide en raison de sa portée disproportionnée et
de son incompatibilité avec les droits à la vie privée et au respect de la vie privée en
vertu de la Charte des droits fondamentaux de l'UE.
o Impact sur les États membres
 La cohérence et la mise en œuvre dans les délais posent problème avec les directives
 Liberté pour l'EM de déterminer précisément les conditions dans lesquelles le
traitement du DP est licite
12
 Utilisation de différents mécanismes dans différents États membres
 Les responsables du traitement dans plusieurs États membres ont dû se
conformer à des obligations contradictoires telles que les notifications, les
transferts internationaux de données et les exigences en matière de marketing
direct.
 Les États membres disposent d'un délai pour mettre en œuvre une directive
o La Commission veille à ce que la législation soit correctement mise en
œuvre et peut prendre des mesures si sa mise en œuvre est contraire
au droit communautaire.
o Si l'État membre ne met pas en œuvre la directive à temps, des mesures
seront prises à son encontre.
 Effet direct = les individus peuvent immédiatement s'appuyer sur la convention
pour intenter des actions contre les gouvernements devant les tribunaux
nationaux.
 Les États membres et leurs tribunaux doivent interpréter leurs lois à la lumière
du texte et de l'objectif de la directive, même si elle n'a pas encore été mise en
œuvre.
 Effet direct du règlement
 Les actes nationaux de protection des données cesseront d'être pertinents pour
toutes les questions relevant du champ d'application du GDPR.
 Règlements directement applicables dans les États membres, ne nécessitant pas
de mise en œuvre supplémentaire, s'appliquant immédiatement dans toute l'UE
à compter du 25 mai 2018.
Section II : Loi et règlement européens sur la protection des données

 Concepts de protection des données
o Les progrès technologiques ont modifié le mode de fonctionnement des entreprises et exigent
aujourd'hui la protection des données à caractère personnel.
 Nouvelle définition des données à caractère personnel pour inclure les identifiants en
ligne
o Données à caractère personnel (large, s'applique même lorsque le lien avec la personne est
ténu)
 Quatre éléments constitutifs : (1) toute information (2) concernant (3) une personne
physique identifiée ou identifiable (4)
 Toute information
 Observer la nature, le contenu et la forme
 Déclarations sur une personne, à la fois objectives et subjectives
 Il n'est pas nécessaire que les données soient vraies pour être des données à
caractère personnel
 Informations sur la vie privée d'un individu et informations relatives à toute
activité entreprise par l'individu ; également identifiants en ligne (créer un
profil)
 Informations disponibles sous n'importe quelle forme : traitées par des moyens
automatisés, mais aussi par des moyens manuels s'ils font partie d'un système
d'archivage (censé être neutre sur le plan technologique).
 En rapport avec
 À propos d'un individu
13
 Peut concerner des objets, des processus ou des événements : déterminé par
l'objectif du traitement (par exemple, des informations sur une voiture afin de
traiter la facture d'une personne).
 Contenu (informations sur une personne), finalité (traitement pour évaluer,
considérer ou analyser une personne), résultat (le traitement a un impact sur les
droits et les intérêts de la personne).
 Identifié ou identifiable
 Il ne s'agit pas d'identifier une personne, mais de pouvoir le faire en combinant
les données avec d'autres éléments d'information (même si ces autres
informations ne sont pas conservées par le responsable du traitement des
données (identification par puzzle)).
 L'identification hypothétique ne suffit pas, elle doit être raisonnablement
probable (compte tenu des coûts, de la technologie disponible et de l'évolution
de la technologie).
 Par exemple, la vidéosurveillance : l'objectif est d'identifier les personnes.
 Les adresses IP dynamiques peuvent être liées avec l'aide des fournisseurs
d'accès à Internet (FAI), et sont donc des DP
 Le GDPR ne s'applique pas aux informations anonymes ; la pseudonymisation
offre une solution intermédiaire mais ne soustrait pas l'organisation au GDPR.
o La mesure visant à garantir que la DP n'est pas attribuable à des
individus constitue une bonne sécurité.
o Les garanties contribuent à la minimisation des données
 L'agrégation à des fins statistiques permet d'obtenir des données non
personnelles, mais le contexte peut permettre d'identifier un échantillon de
taille insuffisante.
 Personne physique
 Indépendamment du pays de résidence ; ne s'applique pas aux personnes
décédées ni aux données organisationnelles
o Données personnelles sensibles (catégories spéciales)
 Informations dont le traitement pourrait créer des risques significatifs pour les droits et
libertés fondamentaux des personnes.
 Catégories : race, ethnie, opinion politique, religion, appartenance syndicale, données
génétiques ou biométriques (permettant d'identifier une personne physique de manière
unique), données relatives à la santé, orientation sexuelle, vie sexuelle.
 Santé= état de santé passé, présent ou futur, santé physique ou mentale
o Inscription à des services de santé ou prestation de services de santé,
informations provenant de tests ou d'examens du corps ou d'une
substance corporelle
 Traitement des photographies (peut révéler la race, l'appartenance ethnique, le
handicap physique ou l'état de santé)
o Contrôleurs et processeurs
 Contrôleur : détermine l'objectif et les moyens du traitement des données, décideur
principal
 Responsabilité de s'assurer que le traitement a une base légitime, que les droits
du DS sont respectés et de déterminer s'il est nécessaire de notifier les autorités
de protection des données ou le DS en cas de violation.
14
 Probablement la première cible de l'application de la loi par les autorités de
protection des données, et non par le Parlement européen.
 L'identification du C permet de déterminer quelle APD a autorité sur l'activité de
traitement.
 Il peut s'agir d'une personne physique, mais il s'agit généralement de
l'organisation ou de l'entreprise plutôt que d'une personne particulière désignée
par le contrôleur.
o Si le traitement a lieu en dehors du champ d'application et du contrôle
de C, l'individu peut devenir le responsable du traitement.
 Conjointement : si le même ensemble de données/les mêmes moyens et
finalités de traitement sont déterminés par deux responsables distincts, il peut
s'agir d'un traitement conjoint (le même ensemble d'informations peut être
traité séparément par différents responsables sans qu'il s'agisse pour autant
d'un traitement conjoint).
o Les sociétés mères peuvent devenir des contrôleurs conjoints avec leurs
filiales
o Déterminer d'emblée les responsabilités respectives en matière de
conformité au GDPR afin que le contrôle conjoint n'évolue pas au fil du
temps ; répartir clairement les responsabilités en cas d'éventuelle
violation des données.
o Les responsables conjoints du traitement doivent mettre à la disposition
du DS l'essence de leur relation ; les droits du DS peuvent être exercés à
l'encontre de chacune des entreprises.
 Les C déterminent les finalités et les moyens du traitement : éléments factuels
ou circonstances susceptibles de devenir déterminants (les P peuvent devenir
des C).
o Pourquoi et comment le traitement : pourquoi le traitement a-t-il lieu et
quel est le rôle des parties impliquées dans le traitement ?
 Les Ps disposent d'une certaine marge de manœuvre dans la
mise en œuvre du comment sans devenir des Cs : les "moyens"
ne se limitent pas à la manière technique de traiter les données,
mais également à la nature des données traitées, auxtiers qui y
ont accès, aux données qui sont effacées, à la durée de leur
conservation, etc.
 Les ps peuvent déterminer les aspects techniques et
organisationnels, comme le type de logiciel à utiliser pour le
traitement des données.
 Les éléments essentiels de la transformation sont avec C
 3 sources de contrôle : compétence légale explicite, compétence implicite,
influence factuelle
 Processeur : ne peut traiter les données que sur la base d'instructions documentées du
contrôleur.
 Personne physique ou morale, autorité publique, agence ou autre organisme
qui traite des données à caractère personnel pour le compte du responsable du
traitement.
15
 Exigences du GDPR P : sécurité, tenue de registres, notification des violations de
données aux autorités compétentes et respect des restrictions sur les transferts
internationaux de données.
o Les obligations relatives à la finalité comme le motif légitime et le
respect des droits des DS ne sont imposées qu'aux entreprises.
 Les prestataires de services ne doivent traiter les données que sur la base des
instructions de C et disposer d'un contrat ou d'un acte juridique contraignant
régissant la relation entre C et P par écrit.
 **Nouveau pour les Ps hors EEE, si le traitement pour l'EEE-C doit toujours
suivre le GDPR
 Exigences du contrat P : traiter les données uniquement sur la base
d'instructions documentées du C, y compris les instructions relatives aux
transferts ; s'assurer que le personnel autorisé à accéder aux données accepte la
confidentialité ; prendre tous les moyens pour assurer la sécurité du
traitement ; respecter les conditions de sous-traitance ; aider le C à mettre en
place des mesures de sécurité techniques et organisationnelles appropriées ;
aider le C à se conformer aux obligations de l'article 32-36.
 Sous-traitance : autorisation préalable de C (générale ou spécifique, avec
possibilité de s'opposer à l'ajout ou au remplacement de sous-traitants), le
contrat entre P et les sous-traitants doit inclure des dispositions obligatoires
relatives aux sous-traitants, et le P initial reste entièrement responsable vis-à-vis
de C de l'exécution de ses sous-traitants.
 Les C et les P doivent déterminer le degré d'indépendance de jugement que le P peut
exercer, le contrôle par le C de l'exécution du service, la visibilité/l'image donnée par le
C à l'individu, et l'expertise des parties.
o Traitement
 Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement, etc.
 Difficile d'identifier les moments où l'utilisation du DP n'est pas un traitement, définition
large
 Conditions : (1) le traitement doit être effectué en tout ou en partie à l'aide de procédés
automatisés, ou (2) s'il n'est pas effectué à l'aide de procédés automatisés, il doit
concerner des données personnelles qui font partie d'un système d'archivage (ensemble
structuré de données personnelles accessibles selon des critères spécifiques).
o Personne concernée : personne physique identifiée ou identifiable, en relation avec des
données personnelles.
 Le GDPR ne s'étend pas aux personnes morales et ne s'applique pas aux personnes
décédées
 Champ d'application territorial et matériel du GDPR
o Champ d'application territorial
 Organisations établies dans l'UE
 Si l'entreprise est établie dans l'UE, le lieu de traitement n'a pas d'importance.
 Établissement : exercice effectif et réel de l'activité par le biais de dispositions
stables(Weltimmo)
16
o Concept général d'établissement : site web destiné aux habitants d'un
pays, utilisant leur langue, représentant disponible, boîte postale = cela
suffit !
o Nationalité du DS non pertinente
o Une organisation peut être établie lorsqu'elle exerce "par le biais
d'arrangements stables sur le territoire de cet État membre, une activité
réelle et effective, même minime".
 "Dans le cadre des activités
o Le GDPR s'appliquera indépendamment du fait que le traitement ait lieu
dans l'Union ou non.
o Google c. Espagne: lien suffisant entre les activités de Google Spain et
de Google, Inc.
o Toute organisation ayant des bureaux de vente dans l'UE qui promeut
ou vend de la publicité ou du marketing, ou qui cible des individus dans
l'UE, entre dans le champ d'application (également les entreprises
étrangères ayant des bureaux dans l'UE).
o Pas explicitement utilisé pour déterminer quelles lois de l'État membre
devraient s'appliquer : si les exemptions ou les dérogations diffèrent
entre les États membres, la loi de l'État membre à laquelle C est soumis
devrait s'appliquer.
o ***Les sous-traitants de données ayant un établissement dans l'UE sont
également soumis au GDPR, même si le C, le DS et le traitement ont lieu
en dehors de l'UE ! La folle du logis
 Les organisations qui vendent des biens ou des services aux citoyens de l'UE ou qui
surveillent leur comportement.
 Le DS doit se trouver dans l'UE, mais la résidence dans l'UE n'est pas
nécessairement une condition préalable.
 Cibler les DS de l'UE
o Déterminer si C ou P envisage d'offrir des services aux DS dans l'UE (en
cas de vente par inadvertance à un individu de l'UE, cela ne relève pas
nécessairement du GDPR).
o Facteurs pertinents : (1) utilisation de la langue de l'UE, (2) affichage des
prix dans la devise de l'UE, (3) possibilité de passer des commandes
dans les langues de l'UE, et (4) référence à des utilisateurs ou clients de
l'UE.
o L'intention de cibler les clients de l'UE peut être démontrée par des
preuves "patentes"(par exemple, l'argent versé à un moteur de
recherche pour faciliter l'accès dans les États membres de l'UE) et
d'autres facteurs tels que la nature internationale de l'activité (activités
touristiques), la mention du numéro de téléphone avec l'indicatif du
pays, l'utilisation du nom de domaine du pays (.de, .fr, .uk, .eu), les
itinéraires provenant d'un État membre et la mention d'une clientèle
internationale comprenant des clients dans les États membres.
 Suivi du comportement
o Le comportement doit avoir lieu au sein de l'UE
o Suivi des individus en ligne afin de créer des profils, d'analyser ou de
prédire les préférences personnelles (cookies)
17
 Droit international public
o Traitement dans un lieu où le droit public permet la compétence des
États membres (par exemple, ambassades et consulats des États
membres de l'UE, avions, navires).
o Champ d'application matériel
 Questions ne relevant pas du GDPR (tout le reste est inclus)
 Sécurité publique, Défense, Sécurité nationale, Politique étrangère et de
sécurité commune de l'UE
 Exemption pour les ménages : activité purement personnelle ou domestique,
non liée à des activités professionnelles ou commerciales (par exemple,
réseautage social et activités en ligne).
o Les Cs et Ps fournissant des moyens de traitement des activités des
ménages restent dans le champ d'application
o Lindqvist: l'exemption ne s'applique pas au traitement d'une publication
sur Internet de sorte que les données ont été rendues accessibles à un
nombre indéfini de personnes.
 WP29= la publication d'informations destinées au monde entier
plutôt qu'à un petit groupe d'amis peut être un facteur
d'applicabilité de l'exemption.
 Prévention, détection et poursuite des sanctions pénales (pouvoirs de police)
o La directive sur la protection des données dans le cadre de l'application
de la loi couvre la DP dans les cas suivants
o La LEDP s'applique aux "autorités compétentes" : l'autorité publique
compétente pour la prévention, l'enquête, la détection ou la poursuite
des infractions pénales, OU tout autre organisme ou entité chargé par le
droit des États membres d'exercer l'autorité publique aux fins
susmentionnées.
o Si les données sont traitées à des fins différentes, l'autorité compétente
peut être soumise à la fois au GDPR et à la LEDP.
o Les données transférées à un autre organisme qui n'est pas une autorité
compétente seront soumises au GDPR.
 Institutions de l'UE
 Le GDPR n'impose pas d'obligations supplémentaires aux personnes déjà
soumises à la directive "vie privée et communications électroniques" si la
directive traite déjà d'un domaine.
 Le consentement pour le marketing direct dans le cadre de l'ePD pourrait être
plus strict dans le cadre du GDPR maintenant
 La Commission souhaite assurer une cohérence totale entre le GDPR et l'ePD
 Directive sur le commerce électronique
 Le GDPR est sans préjudice des règles de l'ECD, en particulier en ce qui concerne
les fournisseurs de services intermédiaires.
 Toutefois, la DPE précise que les questions liées au traitement des données
personnelles sont exclues de son champ d'application et qu'elles sont
uniquement régies par la législation pertinente en matière de protection des
données.
 Principes de traitement des données
18
o Découle de la convention 108 et de la directive sur la protection des données
o Légalité, équité et transparence
 Légitimité : motifs légaux du traitement des données
 Consentement
 Exécution du contrat avec la personne concernée
 Obligation légale (dans l'UE/l'État membre)
 Intérêts vitaux (vie ou mort)
 Intérêt public (exercice de l'autorité publique)
 Intérêt légitime : nécessaire pour l'intérêt légitime du responsable du traitement
ou d'un tiers, et les intérêts ou les libertés et droits fondamentaux de la
personne concernée ne prévalent pas sur les intérêts (équilibre !)
 L'équité
 Le DS doit savoir que des données sont traitées, comment elles seront
collectées et utilisées.
 Dans certains cas, le traitement est automatiquement autorisé par la loi et jugé
équitable
 Examiner l'impact du traitement sur le DS : si l'impact est négatif et non justifié,
le traitement sera considéré comme déloyal.
o Par exemple, lorsque des sites de voyage augmentent les prix des lieux
que vous avez visités plusieurs fois sur la base de cookies, le traitement
est déloyal.
o Par exemple, lorsqu'un policier constate qu'une personne qu'il a arrêtée
pour excès de vitesse a déjà reçu plusieurs contraventions pour excès
de vitesse et qu'il augmente l'amende, il s'agit d'une mesure équitable.
 Transparence
 C doit être ouvert et clair avec le DS en ce qui concerne le traitement (comment
et pourquoi, source)
o C'est pourquoi la demande de notification à la DPA a été supprimée :
elle n'a pas du tout aidé DS.
 Exemption du devoir d'information lorsque les données sont collectées
directement auprès du DS et que celui-ci a déjà connaissance des informations
pertinentes
 Exemption lorsque C obtient des données d'une autre source ET : fournir des
informations sera impossible ou exigera des efforts disproportionnés, pour
protéger l'intérêt légitime de DS et pour préserver la confidentialité des
informations.
 L'information doit être transmise en temps utile (voir le chapitre sur la
notification).
 Les informations doivent être claires, concises, faciles à comprendre et fournies
de manière accessible.
o Tenir compte des circonstances suivantes : le type de données, la
manière dont elles sont collectées et le fait que les informations soient
collectées directement ou indirectement
o Vérifier si le DS est un enfant (nécessité d'un langage simple et clair), s'il
s'agit d'un jargon technique, essayer d'utiliser un langage clair ; utiliser
des avis de confidentialité courts et ad hoc avec des liens vers des textes
plus longs.
19
 L'utilisation d'icônes standardisées est envisagée
o Limitation de l'objet
 Ne traiter les données que pour des finalités déterminées, explicites et légitimes, ne pas
les traiter au-delà de ces finalités, à moins que le traitement ultérieur ne soit compatible
avec la finalité initiale de la collecte des données. Pour déterminer la compatibilité, il
faut tenir compte des éléments suivants
 Lien entre les finalités du traitement
 Contexte dans lequel le DP a été recueilli, attentes raisonnables de la DS
 Nature du DP (catégories spéciales ?)
 Conséquences de la poursuite du traitement sur la DS
 Existence de garanties appropriées
 Identifier d'abord la finalité particulière du traitement du DP
 Si le traitement ultérieur est compatible avec l'utilisation initiale, la base juridique
initiale peut être utilisée ; si elle est incompatible, une base juridique distincte est
nécessaire et C doit en informer DS.
o Minimisation des données
 Les données doivent être pertinentes, nécessaires et adéquates pour atteindre la finalité
pour laquelle elles sont traitées.
 Nécessité : adapté et raisonnable au regard des finalités du traitement
 De nature nécessaire à la réalisation de l'objectif
 Adéquat si la nature ou le montant du DP est proportionné aux objectifs
poursuivis
 Déterminer si l'objectif peut être atteint en rendant les données anonymes
pourrait faciliter l'évaluation de la nécessité (dépouillement de tous les
identifiants uniques).
 Proportionnalité
 Tenir compte de la quantité de données collectées : une grande quantité de
données sans aucune restriction sera disproportionnée.
 Examiner l'impact potentiellement négatif des moyens de traitement et vérifier
s'il existe d'autres solutions.
 S'applique également aux projets de big data
o Précision
 Les Cs doivent prendre des mesures raisonnables pour s'assurer que les données sont
exactes et mises à jour.
 Mettre en œuvre des processus visant à prévenir les inexactitudes au cours du
processus de collecte et de traitement des données
 Les C doivent évaluer le degré de fiabilité d'une source à partir de laquelle ils recueillent
des informations.
 Lorsque les données sont collectées à des fins statistiques ou historiques, C n'a besoin
que de conserver la DP telle qu'elle a été collectée à l'origine.
 L'exactitude peut nécessiter la tenue d'un registre des erreurs corrigées.
 Les Cs doivent répondre au DS qui demande la correction d'une information
o Limitation du stockage (durée) : les données ne sont pas conservées plus longtemps que
nécessaire pour les finalités pour lesquelles le DP est traité.
 Les DP peuvent être conservés plus longtemps s'ils sont rendus anonymes ou traités
uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche
scientifique ou historique, ou à des fins statistiques.
20
 Cs ne peut conserver les DP que pour une durée illimitée lorsque les données
sont rendues anonymes de manière irréversible, ou pour d'autres raisons
susmentionnées.
 Des délais doivent être fixés pour l'effacement ou le réexamen périodique.
 Les Cs examinent les dossiers personnels des employés lorsque la relation prend fin, et
déterminent ce qui doit être conservé à des fins légales.
 Lorsque la loi est muette, des politiques internes de conservation des données doivent
être mises en place pour répondre à ce principe.
o Intégrité et confidentialité
 Protection contre le traitement non autorisé ou illégal, et contre la perte, la destruction
ou l'endommagement accidentels au moyen de mesures techniques et
organisationnelles appropriées
 Utiliser la pseudonymisation et le cryptage des données
 Affecter des ressources suffisantes à l'élaboration et à la mise en œuvre d'un cadre de
politique de sécurité de l'information
 Faire appel à des experts juridiques et techniques en matière de sécurité des données et
prévoir un budget dédié.
o De plus, la responsabilité a été ajoutée au GDPR !
 Critères de légalité du traitement
o Le traitement doit être effectué de manière licite, loyale et transparente.
o Base : traitement illégal ! C doit démontrer l'existence d'une base juridique pour le traitement
ou faire état d'une exception (journalisme ou recherche où la liberté d'expression peut
prévaloir).
o Traitement des données personnelles normales
 Consentement (à des fins spécifiques)
 Elle doit être librement consentie, spécifique, informée et sans ambiguïté.
o Libre choix = choix véritable, avec possibilité de refuser ou de se
rétracter
 Non gratuit s'il est associé à d'autres questions (par exemple,
l'achat d'un service)
 La demande de consentement doit être présentée d'une
manière qui se distingue clairement des autres questions.
 Si l'exécution du contrat est conditionnée par le consentement
au traitement et que le traitement n'est pas nécessaire à
l'exécution du contrat, le consentement n'est pas valable.
 Le consentement ne doit pas être invoqué en cas de
déséquilibre manifeste entre DS et C (relation employeur-
employé, un consentement valable n'est possible que si
l'employé a une réelle possibilité de s'abstenir sans subir de
préjudice : les employeurs ne doivent pas se fonder sur le
consentement).
 Liberté de révocation : les autorités compétentes doivent donc
se demander si le consentement est la meilleure condition pour
un traitement à long terme.
o Spécifique = lié à une opération de traitement particulière
 C doit expliquer clairement l'utilisation proposée des données à
la DS
21
 En cas d'objectifs multiples, le consentement doit être donné
pour chacun d'entre eux.
 Si l'activité de traitement change, il peut être nécessaire
d'obtenir un nouveau consentement.
 Pour la recherche scientifique, s'il n'est pas possible d'identifier
complètement les objectifs, le DS peut donner son
consentement à certains domaines de la recherche scientifique.
o Informé = la personne concernée reçoit toutes les informations
nécessaires sur l'activité de traitement dans un langage et sous une
forme qu'elle peut comprendre ; elle sait comment le traitement
l'affectera.
 Le DS doit au moins connaître l'identité du responsable du
traitement et les finalités du traitement.
o Sans ambiguïté = la déclaration ou l'acte affirmatif de la personne ne
doit laisser aucun doute quant à son intention de donner son
consentement.
 La case à cocher relative au consentement ne peut pas être
présélectionnée ; le DS doit cocher activement une case de
sélection.
 Le silence ou les cases pré-cochées ne constituent pas un
consentement
 Si le consentement est formulé à l'avance, il doit l'être sous une forme
intelligible et facilement accessible, dans un langage clair et simple et sans
clauses abusives, conformément aux exigences en matière de protection des
consommateurs.
 Le consentement est parfois nécessaire, les employeurs pourraient donc
s'appuyer sur le consentement et sur une autre condition de traitement légitime
pour susciter l'adhésion.
 Si un consentement valide a été obtenu, les interactions continues avec le DS
peuvent permettre de maintenir le consentement.
 Moment : le consentement doit être obtenu avant que C ne traite le DP.
 Les Cs doivent démontrer que le DS a donné son consentement au traitement,
et conserver un registre des consentements donnés par chaque DS.
 Le consentement n'est pas la même chose que de donner la possibilité de se
retirer, il faut une indication expresse des souhaits et une certaine forme
d'action affirmative.
 Le consentement obtenu par la contrainte ou la coercition n'est pas valable
o Certains types de personnes vulnérables peuvent ne pas être en mesure
de donner leur consentement (mineurs - le consentement du titulaire
de la responsabilité personnelle à l'égard de l'enfant est requis).
 Lorsque le consentement parental est requis, le C doit faire des
efforts raisonnables pour vérifier le consentement donné par le
parent ou le tuteur.
 Règle de l'âge minimum de consentement uniquement dans le
contexte (1) des services de la société de l'information offerts
directement à un enfant, et (2) lorsque le C se fonde
22
uniquement sur le consentement ou ne peut se fonder sur un
autre critère.
 **Les C devraient envisager un autre critère pour traiter le DP
de l'enfant.
 Nécessité
 Lien étroit et substantiel entre le traitement et les finalités (la simple
commodité ne compte pas)
 Il ne suffit pas que C considère que le traitement est nécessaire à ses fins, il faut
un test objectif pour déterminer si le traitement est strictement nécessaire à la
finalité déclarée.
 Exécution du contrat lorsque DS est partie
 Lorsque DS achète un produit ou un service à C
 Le traitement du DP doit être inévitable pour mener à bien le contrat.
 Nécessaire au respect d'une obligation légale à laquelle C est soumis
 Obligation de se conformer à la loi, comme les obligations fiscales ou de sécurité
sociale dans l'UE
 Soumis à d'autres lois sur les EM
 Protéger les intérêts vitaux de DS ou d'une autre personne physique
 Situations de vie ou de mort, uniquement dans de rares situations d'urgence
lorsque le DS ne peut pas donner son consentement (inconscient), fourniture de
soins médicaux urgents.
 Ne s'applique que s'il n'existe pas d'autre base de traitement
 Nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou à l'exercice de
l'autorité officielle dont est investi le contrôleur
 La législation des États membres ou de l'UE déterminera quelles tâches sont
effectuées dans l'intérêt public.
 Les DS ont le droit de s'opposer à l'utilisation de leurs données
o Si C reçoit des objections, elle doit démontrer qu'elle a des motifs
légitimes impérieux de traiter les données, suffisants pour l'emporter
sur les intérêts, les droits et les libertés de la personne concernée, ou
pour l'établissement, l'exercice ou la défense de réclamations légales.
 Soumis à d'autres lois sur les EM
 Nécessaire pour des intérêts légitimes poursuivis par C ou un tiers
 Sauf si les intérêts ou les droits et libertés fondamentaux du DS l'emportent (en
particulier lorsque le DS est un enfant).
 **Test d'équilibre
 Les autorités publiques ne peuvent pas s'appuyer sur le motif de l'intérêt
légitime, les législateurs doivent fournir une base juridique aux autorités
publiques pour le traitement des données à caractère personnel.
 Conditions pour se fonder sur cette base : (1) la finalité doit être nécessaire, (2)
la finalité doit être un intérêt légitime de C ou d'untiers, et (2) l'intérêt légitime ne
peut pas être supplanté par les intérêts du DS ou les droits et libertés
fondamentaux.
 Tenir compte des attentes raisonnables de la DS
 Des intérêts légitimes peuvent exister lorsqu'il existe une relation pertinente et
appropriée entre DS et C, par exemple lorsque DS est client ou au service de C.
 Le traitement des DP pour prévenir la fraude constitue un intérêt légitime
23
 Marketing direct, objectifs administratifs internes, intérêts légitimes éventuels
 Le traitement est strictement proportionné et nécessaire pour assurer la
sécurité du réseau et des informations.
 Cette base peut être comprise différemment par les autorités de protection des
données dans l'UE (par exemple, ICO = établir la légitimité de l'intérêt poursuivi,
puis montrer que le traitement n'est pas injustifié dans un cas particulier en
raison du préjudice causé à la personne concernée).
o Même s'il existe un préjudice lié à une personne en particulier en raison
de circonstances uniques, il ne porte pas nécessairement atteinte à
l'ensemble du processus.
 Sur la base de ce critère, les DS ont le droit de s'opposer à l'utilisation de leurs
données : en cas d'objection justifiée de la part des DS, le C doit cesser de traiter
les données.
o Traitement des données personnelles sensibles
 Les photographies ne devraient pas être systématiquement considérées comme des
données sensibles, car elles ne sont considérées comme des données biométriques que
lorsqu'elles sont traitées par des moyens techniques spécifiques permettant
l'identification unique ou l'authentification de l'individu.
 L'utilisation de ces catégories de données peut, de par leur nature, constituer une
menace pour la vie privée
 Les données à caractère personnel particulièrement sensibles au regard des droits et
libertés fondamentaux méritent une protection spécifique car le contexte peut
engendrer des risques importants.
 Influencé par les lois anti-discrimination (explique par le SSN et les numéros de cartes de
crédit non inclus)
 Dans certaines juridictions, les entreprises doivent obtenir l'autorisation des autorités
chargées de la protection des données avant tout traitement.
 Les C doivent remplir les conditions prévues aux articles 6 et 9 pour traiter des données
sensibles ; ils doivent veiller à ce que les D soient informés de manière adéquate et
complète de l'utilisation des données conformément aux articles 12 à 14.
 Point de départ = traitement interdit sauf exception
 EXCEPTIONS
 Consentement (sauf si la législation de l'UE ou des États membres stipule que
l'interdiction de traitement ne peut être levée par la DS : un autre critère doit
alors être utilisé)
o Sans ambiguïté, librement consentie, spécifique, informée et explicite
 Peut être explicite sur papier ou sous forme électronique avec
des signatures numériques, en cliquant sur des icônes ou en
envoyant un courriel de confirmation.
 Le consentement doit explicitement énoncer la finalité du
traitement (il doit en fait faire référence aux catégories de
données qui seront traitées).
 Un consentement écrit et/ou un enregistrement permanent
peuvent être exigés.
o Déclaration ou action positive claire requise
24
 Nécessaire aux fins de l'exécution des obligations et de l'exercice des droits
spécifiques du C ou du DS dans le domaine de l'emploi, de la sécurité sociale et
de la protection sociale.
o Nécessaire pour que C puisse se conformer à une obligation légale en
vertu du droit du travail, du droit de la sécurité sociale ou du droit de la
protection sociale.
o Concerne les candidats, les employés et les contractants des DS
o Critère de nécessité, l'étendue du critère dépend de la législation locale
en matière d'emploi
 Nécessaire pour protéger les intérêts vitaux
o Lorsque le DS est physiquement ou légalement incapable de donner son
consentement
o On s'attend à ce qu'ils tentent d'obtenir un consentement avant de
s'appuyer sur ce document.
 Réalisé dans le cadre d'activités légitimes, avec des garanties appropriées, par
une fondation, une association ou un autre organisme sans but lucratif à
vocation politique, philosophique, religieuse ou syndicale.
o Et à condition que le traitement ne concerne que les membres ou
anciens membres, ou les personnes qui ont des contacts réguliers avec
l'org en rapport avec ses objectifs, et que le DP ne soit pas divulgué en
dehors de l'organisme sans le consentement du DS.
o Églises, partis politiques, etc.
o Le traitement ne doit avoir lieu que (1) dans le cadre d'activités
légitimes, (2) avec des garanties appropriées, et (3) en relation avec des
objectifs spécifiques.
 Données à caractère personnel manifestement rendues publiques par le DS
o Interviews dans les médias, potentiellement sur les plateformes de
réseaux sociaux
 Nécessaire à l'établissement, à l'exercice ou à la défense d'une action en justice,
ou lorsque les tribunaux agissent dans l'exercice de leurs fonctions judiciaires
o Obligation pour C d'établir la nécessité : lien étroit et substantiel entre
le traitement et les finalités
o Tous ces traitements restent soumis aux principes du PDD énoncés à
l'article 5.
 Intérêt public substantiel
o Sur la base du droit de l'UE ou des États membres, qui doit être
proportionné à l'objectif poursuivi, respecter l'essence du droit à la
protection des données et prévoir des mesures appropriées et
spécifiques pour sauvegarder les droits fondamentaux et les intérêts
des DS.
o Les États membres peuvent légiférer, mais le traitement doit être (1)
proportionné à l'objectif poursuivi et (2) respecter l'essence du droit à la
o Intérêt public défini par certains États membres (non défini par le GDPR)
 Pas d'obligation de notifier les dérogations à la CE comme le
prévoit la directive
25
o Le Royaume-Uni a défini d'autres critères pour le traitement dans
l'intérêt public : le traitement doit être nécessaire pour prévenir ou
détecter tout acte illégal ou pour remplir toute fonction destinée à
protéger le public contre la malhonnêteté, les comportements
gravement inappropriés ou la mauvaise gestion dans l'administration
d'une organisation ou d'une association.
 Nécessaire à des fins de médecine préventive ou professionnelle, d'évaluation
de la capacité de travail d'un employé, de diagnostic médical, de fourniture de
soins de santé, ou en vertu d'un contrat avec un professionnel de la santé, et
sous réserve de conditions et de garanties supplémentaires.
o Finalité médicale ou sociale
o Le traitement peut être effectué sur la base de la législation de l'UE ou
des États membres, ou en vertu d'un contrat avec un professionnel de la
santé.
o L'exception s'applique principalement aux médecins, aux infirmières et
aux autres personnes exerçant des professions de santé.
 L'exception ne signifie pas que ces personnes sont exemptées
du reste du GDPR.
o Elle permet également de procéder à des tests de dépistage de drogues
pour s'assurer que les employés sont aptes à travailler.
 Nécessaire pour des raisons d'intérêt public dans les domaines de la santé
publique
o Par exemple, la protection contre les menaces transfrontalières graves
pour la santé, ou la garantie de normes élevées de qualité et de sécurité
des soins de santé, des médicaments ou des dispositifs médicaux.
o Santé publique : tous les éléments liés à la santé, à savoir l'état de
santé, y compris la morbidité et le handicap, les déterminants ayant un
effet sur cet état de santé, les besoins en matière de soins de santé, les
ressources allouées aux soins de santé, la fourniture et l'accès universel
aux soins de santé, ainsi que les dépenses et le financement des soins
de santé, et les causes de la moralité.
o Ce traitement ne doit pas avoir pour conséquence que la DP soit traitée
pour d'autres raisons par des tiers (par exemple, des employeurs, des
compagnies d'assurance ou des banques).
o Permet de superviser les médicaments et les dispositifs médicaux afin
d'en garantir la qualité et la sécurité
 Nécessaire à des fins d'archivage dans l'intérêt public, de recherche scientifique
ou historique, ou à des fins statistiques.
o Pour se fonder sur ce critère, le traitement doit présenter des garanties
appropriées et être nécessaire à l'une des finalités prévues par le droit
de l'UE ou des États membres, qui doit être proportionnée, respecter
l'essence du droit au DP et prévoir des garanties appropriées.
o **L'anonymisation reflète les meilleures pratiques
o Les entreprises pharmaceutiques et les institutions universitaires
devraient étudier les paramètres de cette exception
o Données sur les infractions, les condamnations pénales, les infractions et les mesures de
sécurité
26
 justifie un niveau de protection plus élevé
 Le traitement ne peut être effectué que sous le contrôle d'une autorité officielle ou
lorsque le traitement est autorisé par une loi de l'UE ou d'un État membre prévoyant
des garanties appropriées pour les droits et libertés des citoyens.
 Le contrôleur du secteur privé devra examiner les règles de l'UE ou de la législation
locale en matière de traitement des données.
 **N'est pas considéré comme une catégorie de données sensibles au sens de l'article 9
o Traitement ne nécessitant pas d'identification
 Si C n'a pas besoin d'identifier DS lors du traitement des données, C n'est pas obligé de
conserver, d'acquérir ou de traiter des informations supplémentaires afin d'identifier DS
dans le seul but de se conformer au GDPR.
 C n'est pas tenu de respecter les obligations relatives à certains droits des DS, à moins
que ces derniers ne fournissent des informations supplémentaires permettant de les
identifier.
 Obligations d'information
o Transparence
 Les données doivent être transférées "légalement, loyalement" et de manière
transparente.
 Informer les personnes concernées du traitement de leurs données à caractère
personnel, de leurs droits et des risques, règles et garanties liés au traitement.
 DS informé de l'existence du traitement et de sa finalité
 Si le traitement est fondé sur le consentement, il faut en être informé (transparence !)
 Le DS doit connaître l'identité du contrôleur
 Les informations inexactes ou incomplètes ne satisfont pas à la norme de transparence.
 Base d'intérêt légitime pour le traitement : un DS peut-il raisonnablement s'attendre, au
moment et dans le contexte de la collecte du DP, à ce qu'un traitement soit effectué à
cette fin ?
 Exigence générale de notification DPA supprimée !
o Le DS a le droit de recevoir certaines informations de la part des C, quel que soit l'endroit où ces
informations ont été collectées.
o Article 13 : fourniture d'informations à la DS lorsque les informations sont collectées
directement
 Les informations suivantes doivent être fournies :
 ID et coordonnées de C
 Coordonnées du DPD (le cas échéant)
 Finalités et base juridique du traitement
 En cas d'utilisation de l'intérêt légitime, quel est l'intérêt légitime poursuivi ?
 Destinataires ou catégories de destinataires des données
 Si C a l'intention de transférer vers un pays tiers ou une OI, et si une décision
d'adéquation de la CE existe, et si ce n'est pas le cas, quelles sont les garanties
appropriées mises en place pour le transfert.
 Article 13, paragraphe 2 : pour garantir un traitement loyal et transparent, fournir
également les données suivantes (elles ne doivent être fournies que lorsque cela est
nécessaire pour garantir que le DP est traité de manière loyale : cela pourrait être
toujours le cas)
 Période de stockage des DP ou critères utilisés pour déterminer cette période
27
 Droits du DS concernant les données : (1) droit de demander l'accès, la
rectification ou l'effacement, (2) droit de demander la limitation du traitement,
(3) droit de s'opposer au traitement, (4) droit à la portabilité des données.
o NB : droits non inconditionnels, pas dans toutes les circonstances, il
existe des exceptions.
 Si le traitement est basé sur le consentement, droit de retirer le consentement
 Droit d'introduire une plainte auprès de l'autorité de contrôle
 La fourniture du DP est-elle une exigence légale ou contractuelle, ou une
exigence nécessaire à la conclusion d'un contrat ?
 La DS est-elle obligée de fournir la DP et quelles sont les conséquences si elle ne
le fait pas ?
 Existence d'une prise de décision automatisée ou profilage
o Article 14 : information à fournir au DS lorsque l'information est reçue indirectement
 Tout ce qui est prévu à l'article 13, plus les catégories de données à caractère personnel
concernées et la source des données
 Il n'est pas nécessaire d'indiquer au DS si la fourniture est basée sur une
exigence légale ou contractuelle, ni d'expliquer si le DS est obligé de fournir des
informations et quelles sont les conséquences d'un refus.
 Fournir des informations à moins qu'une exemption ne s'applique
o Informations complémentaires à fournir
 Art. 15 : Droit du DS de demander des informations
 Droit d'exiger de C qu'elle limite le traitement
 Droit de s'opposer au traitement sur la base des intérêts légitimes, de la
nécessité d'effectuer le traitement pour des raisons d'intérêt public ou du
marketing direct.
 Droit d'opposition au profilage
 Transferts internationaux de données
 Sur la base de l'intérêt légitime : informé du transfert et de la nature de l'intérêt
 Sur la base du consentement : risques éventuels de transfert et garanties
appropriées
 Sur la base des BCR : informations dans les BCR, droits de traitement des DS et
dispositions en matière de responsabilité
 Nouvelle finalité du traitement
 Le DS doit être informé de la raison du traitement au-delà de la raison initiale.
 Contrôleurs multiples
 L'essentiel de l'accord devrait être "mis à la disposition" du DS (différent de
"fournir").
 Violation de données à caractère personnel : il faut parfois fournir des informations
o Quand fournir des informations
 Informations obtenues directement auprès du DS : fournir des informations au moment
où le DP a été obtenu
 Obtenu indirectement : dans un délai raisonnable après l'obtention (dans un délai d'un
mois), s'il est utilisé pour des communications, au moment de la première
communication avec le DS, et s'il est divulgué à un autre destinataire, au plus tard au
moment de la première divulgation par le DP.
 Si un nouveau traitement est effectué, le DS doit être informé avant le nouveau
traitement.
28
 Le droit d'opposition du DS doit être prévu au moins au moment de la première
communication avec le DS.
 L'information sur le droit de retirer le consentement doit être donnée avant que le
consentement ne soit donné.
o Comment fournir des informations
 Forme concise, transparente, intelligible et facilement accessible
 Tenir compte du public (différent pour les enfants)
 Même forme que l'information donnée (par exemple, par voie électronique, sur
le site web, par courrier électronique, etc.)
 Un langage clair et simple
 Les informations relatives au traitement équitable peuvent être communiquées
oralement si la demande en est faite, à condition que l'identité du DS soit prouvée par
d'autres moyens.
 Gratuit
 Des icônes de visualisation/standard peuvent être utilisées
 Demandes de consentement
 Présentées d'une manière qui se distingue clairement des autres questions
 Forme intelligible et facilement accessible
 Un langage clair et simple
 Le droit de s'opposer au traitement doit être porté à l'attention du DS clairement et
séparément des autres informations.
o Exemptions à l'obligation de fournir des informations
 Nouvelle finalité du traitement : il n'est pas nécessaire d'informer si
 DS dispose déjà de ces informations
 Si l'obtention ou la divulgation de DP est prévue par la législation d'un État
membre à laquelle C est soumis et qui prévoit des mesures appropriées pour
protéger les intérêts légitimes de DS.
 le DP doit rester confidentiel en vertu d'une obligation de secret professionnel
régie par la législation de l'UE ou d'un État membre, OU
 La fourniture d'informations serait impossible ou aurait un effet
disproportionné, ou à des fins d'archivage, dans l'intérêt public, à des fins de
recherche scientifique ou historique, ou à des fins statistiques (si les conditions
et les garanties relatives au traitement de ces informations sont respectées OU
si la fourniture d'informations sur le traitement équitable est susceptible de
rendre impossible ou d'affecter gravement la réalisation des objectifs du
traitement).
 C devrait prendre les mesures appropriées pour protéger les droits, les libertés et les
intérêts légitimes des citoyens.
 Définition de l'"effet disproportionné" : nombre de personnes concernées, âge du DP,
mesures compensatoires appliquées (adoption de garanties appropriées).
 Il est absurde d'informer des personnes bien connues que l'on détient des données à
leur sujet
 DS a toujours le droit de demander des informations sur le traitement des données,
même si une exemption à l'obligation de fournir des informations s'applique
 Article 23 : exceptions pour les questions liées à l'application de la loi, à l'intérêt public
et à la sécurité nationale
29
 Droit des personnes concernées d'être informées des restrictions, à moins que
cela ne nuise à l'objectif de la restriction
 Les États membres peuvent créer une législation prévoyant des exemptions pour les
médias et l'art.
o Exigences de la directive vie privée et communications électroniques
 En rapport avec l'utilisation de cookies, etc.
 Seul le consentement est disponible: possibilité de placer des cookies, de collecter des
informations, uniquement avec le consentement.
 L'utilisateur doit être informé de l'existence du cookie et doit donner son accord
avant que le cookie ne soit placé sur son appareil.
o Avis de traitement équitable
 Les C doivent fournir des informations ou les porter spécifiquement à l'attention du DS
ou l'en informer.
 Facteurs permettant de déterminer s'il faut "fournir" ou "mettre à disposition" des
informations
 Niveau d'information déjà disponible pour la DS
 Élément de la collecte ou du traitement que le DS trouverait inattendu ou
répréhensible
 si les conséquences de la communication (ou de la non-communication) de leurs
données personnelles sont claires et quelles sont ces conséquences
 Nature du DP collecté (catégories spéciales ??) et type de personnes
(vulnérables)
 Méthode de collecte des données
 Le droit d'opposition doit être porté à l'attention du DS et non pas simplement
fourni
 Des informations doivent être fournies :
 Clair, concis et facile à comprendre dans un langage simple, sans ambiguïté et
direct
 Véritablement instructif
 Précision et actualité
 De manière appropriée
 Prospective mais réaliste (il n'est pas nécessaire d'énumérer toutes les
utilisations possibles des données à l'avenir, mais celles qui sont
raisonnablement prévisibles)
 Avantages commerciaux de la fourniture d'informations
 Les DS accordent leur confiance à l'organisation, ce qui permet de fidéliser les
clients et de les retenir.
 DS susceptible de fournir des données personnelles de plus en plus précieuses
 Le risque de plaintes et de litiges pouvant résulter de l'utilisation du DP sera
réduit.
 Moyens de communication :
 Avis de traitement équitable stratifié : avis initial court avec clics vers un
formulaire plus complet, le DS sait que des informations sont disponibles s'il le
souhaite (formulaire approprié, comme un numéro de téléphone gratuit s'il
n'est pas disponible en ligne).
o 3 couches recommandées
30
o Les États membres doivent fournir des informations clés et des détails
sur les traitements qui peuvent être inattendus ou répréhensibles, de
manière immédiate et évidente.
o En premier lieu, il convient d'indiquer l'identité du C et l'objectif
principal du traitement.
o Avantages : aide les DS qui ne peuvent absorber qu'une certaine
quantité de données, limitations d'espace/de temps, les avis plus longs
nuisent à la lisibilité.
o Veiller à ce que les informations qui doivent être portées à l'attention
du DS ne soient pas enterrées
 Avis "juste à temps" : fourniture d'informations à des moments précis du
traitement
 Tableaux de bord sur la protection de la vie privée : ils peuvent permettre aux
DS de contrôler la manière dont les DP sont traités.
 Formats alternatifs : visualisation, icônes standardisées, animations pour
enfants
 Mettre à disposition une version non stratifiée si le DS a besoin de s'y référer.
 Diverses technologies (p. ex. vidéosurveillance, drones)
 Afficher des panneaux et des fiches d'information dans une zone spécifique
pour informer les personnes de l'utilisation, indiquer l'endroit où elles peuvent
être contactées et donner un avis plus long (code QR).
 Utiliser les médias sociaux, etc., s'ils doivent être utilisés lors d'événements
 Mise à disposition des informations relatives à la transformation sur le site web
de l'opérateur
 Veiller à ce que le drone et les caméras soient visibles et à ce que l'opérateur
soit également bien visible et identifié comme tel.
 Droits des personnes concernées
o Le renforcement des droits est l'une des principales ambitions de la CE avec le GDPR
 C doit déployer des efforts raisonnables pour identifier les DS
 Délais fixés pour donner suite aux demandes de DS : au moins accuser réception de la
demande et confirmer ou clarifier ce qui est demandé dans un délai d'un mois à
compter de la réception de la demande (ce délai peut être prolongé à deux mois
supplémentaires en cas de situations spécifiques et/ou de demandes particulièrement
complexes).
 Si l'organisation décide de ne pas donner suite, elle doit en informer le DS et
l'informer de la possibilité de déposer une plainte.
 Les demandes reçues par voie électronique doivent recevoir une réponse
électronique, sauf si le DS souhaite autre chose.
 La transparence est fondamentale : Les droits des DS ne peuvent être garantis s'ils ne
sont pas correctement informés des activités de C.
o Droit à l'information (sur la collecte et le traitement des données personnelles)
 ID du C, raisons et finalités du traitement, base juridique, destinataires des données,
transfert vers des paystiers, autres informations visant à garantir un traitement loyal et
transparent des données.
 Source des données si elles sont indirectes
o Droit d'accès
31
 Le DS a le droit d'obtenir de C la confirmation que la DP est traitée et, dans l'affirmative,
les informations suivantes
 Finalités du traitement
 Catégories de DP
 Bénéficiaires (y compris transfert)
 Période envisagée pour le stockage du DP
 Droit à l'effacement ou à la rectification
 Droit de déposer une plainte
 Source de données si indirecte
 Existence d'une prise de décision automatisée
o Droit de rectification : rectifier les données inexactes
 C doit veiller à ce que les données inexactes ou incomplètes soient effacées, modifiées
ou rectifiées
o Droit à l'effacement (droit à l'oubli)
 Droit à l'effacement si les données ne sont plus nécessaires pour la finalité initiale et
qu'il n'existe pas de nouvelle finalité légale, OU si la base légale est le consentement et
que celui-ci est retiré sans motifs légitimes supplémentaires pour le traitement, OU si le
DS exerce son droit d'opposition et que le C n'a pas de motifs pour passer outre, OU si
les données ont été traitées illégalement OU si l'effacement est nécessaire pour se
conformer à la législation de l'UE ou d'un État membre national.
 Si C a rendu les données publiques et que des tiers les traitent, il doit informer ces derniers
que DS a exercé ce droit (exemption en cas d'impossibilité ou d'effort disproportionné).
 Exemptions, si le traitement est nécessaire
 Pour l'exercice du droit à la liberté d'expression et d'information
 Pour le respect d'une obligation légale de l'UE ou d'un État membre OU pour
l'exécution d'une tâche effectuée dans l'intérêt public (santé publique,
archivage, recherche scientifique ou historique, ou à des fins statistiques).
 l'établissement, l'exercice ou la défense de droits légaux
 Renforcement du droit à l'oubli dans l'environnement en ligne
o Droit de restreindre le traitement
 Droit de limitation si l'exactitude des données est contestée (limitation jusqu'à ce que
l'exactitude soit vérifiée), si le traitement est illégal (le DS peut demander la limitation
au lieu de l'effacement), si le C n'a plus besoin des données pour la finalité initiale, mais
qu'elles sont toujours nécessaires pour établir, exercer ou défendre des droits légaux,
OU si la vérification des motifs impérieux est en cours dans le cadre d'une demande
d'effacement.
 Comment y parvenir : déplacer les données vers un autre système de traitement,
restreindre l'accès, rendre les données indisponibles pour les utilisateurs, les retirer
temporairement du site web.
o Droit à la portabilité des données
 Droit d'obtenir les données dans un format structuré, couramment utilisé et lisible par
machine afin de les transférer à un autre responsable du traitement, ou de demander
qu'elles soient transférées directement lorsque cela est techniquement possible.
 Droit de transmettre des données à un autre C sans entrave de la part du C
actuel
o Droit d'opposition
32
 Si C utilise des "intérêts légitimes" comme motifs légitimes, DS peut s'opposer au
traitement.
 Après l'objection, C doit démontrer qu'il existe des motifs légitimes impérieux
pour le traitement-> suffisamment impérieux pour l'emporter sur les intérêts,
les droits et les libertés de la personne concernée(par exemple, pour établir,
exercer ou se défendre contre des réclamations légales).
 En ce qui concerne le traitement à des fins de recherche scientifique et historique ou à
des fins statistiques, DS ne peut s'y opposer que si le traitement n'est pas considéré
comme nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public.
o Droit de ne pas être soumis à une prise de décision automatisée
 Cette décision ne s'applique que si elle est fondée exclusivement sur un traitement
automatisé et produit des effets juridiques concernant le DS ou l'affecte de manière
significative.
 Même si le traitement relève de cet article, il est permis s'il est autorisé par la loi,
nécessaire à la préparation ou à l'exécution d'un contrat, ou effectué avec le
consentement explicite du DS, à condition que C ait mis en place des garanties
suffisantes.
 Sécurité des données personnelles
o Pourquoi la sécurité est-elle importante ?
 (1) l'état de sécurité est souvent une condition préalable au respect des autres principes
du PDD
 (2) les cas graves d'insécurité garantissent une couverture médiatique négative
 (3) Contrôles de sécurité insuffisants = caractéristiques différentes en termes d'ampleur
et de préjudice par rapport à d'autres violations de la protection des données.
 Préjudices : fraude et vol d'identité
 La cybersécurité et la sécurité des données retiennent l'attention des dirigeants
nationaux en raison des dommages qu'elles pourraient causer
 Tensions entre la sécurité et le droit à la vie privée (sécurité nationale et
application de la loi)
o Principe de sécurité
 Article 5, paragraphe 1, point f) : Intégrité et confidentialité des données
 5(2) : les contrôleurs doivent être en mesure de démontrer leur conformité
 Article 32 : mesures techniques et organisationnelles appropriées
 Les Cs et Ps doivent mettre en œuvre des contrôles pour se protéger contre les
menaces technologiques complexes ainsi que contre les employés négligents.
 Ne nécessite pas une sécurité absolue
o Les régulateurs ne peuvent pas présumer d'une défaillance juridique à
partir d'une défaillance opérationnelle
 Approche fondée sur les risques : Évaluation des risques
o Nature des données à traiter
o Menaces raisonnablement prévisibles
o Test de l'état de l'art
o Prise en compte du coût
 Le seul critère du coût ne permet pas d'exclure une mesure.
o Meilleures pratiques de l'industrie (par exemple, le cryptage est une
norme de l'industrie et non une obligation légale, mais le fait de ne pas
le mettre en œuvre va à l'encontre des meilleures pratiques).
33
 Art 32(4) : Personnes sous le contrôle de/travaillant pour Cs et Ps
 Questions de confidentialité
 Toutes les personnes qui ont accès au DP dans le cadre de leur travail ont un
devoir de confidentialité.
 Menace d'initié : Les C et les P devraient disposer de politiques solides pour
alerter les employés sur leurs responsabilités en matière de traitement des DP,
leur fournir une formation régulière et définir clairement les conséquences en
cas de violation de la politique.
 Art. 28 : Les sous-traitants et la relation entre les C et les P
 28(3)(h) : les transformateurs doivent être en mesure de démontrer leur
conformité
 28(1) : les principes de sécurité sont transmis de C à P, puis aux sous-P.
 Les sociétés anonymes ne sont autorisées à faire appel qu'à des prestataires de
services qui peuvent fournir des garanties suffisantes quant à la mise en œuvre
de mesures techniques et organisationnelles appropriées.
o Preuve avant la signature du contrat, audits pour l'assurance
o Les Ps ne peuvent agir que sur instruction des C, sous peine de devenir
des C !
 P devoir d'assistance à C en matière de conformité et de réduction des risques
o Par exemple, les notifications de violation de la DP, la détection et la
réponse efficaces aux incidents.
 Article 30 : Les responsables du traitement et les sous-traitants doivent tenir des
registres des activités de traitement relevant de leur responsabilité.
o Notification de violation : Obligation pour le contrôleur de notifier la DPA
 Mécanisme de transparence, encourage l'atténuation des pertes et des dommages, aide
la société à comprendre les causes de l'échec, permet de développer des réponses pour
minimiser le risque d'événements futurs et leur impact.
 Les régulateurs peuvent exercer une surveillance défavorable (procédures d'application
de la réglementation et demandes d'indemnisation).
 Si l'entité déclarante a pris des mesures de sécurité appropriées, aucune autre
mesure n'a été prise.
 Article 4, paragraphe 12 : il doit s'agir d'une violation effective de la sécurité entraînant
un résultat négatif-> les risques de violation de la sécurité ne sont pas pris en compte,
bien que le principe de sécurité lui-même vise à prévenir les risques.
 Art 33 : notification à l'autorité de régulation
 Déclenchement : détection d'une violation du DP (C prend connaissance de la
violation)
o Ne peut éviter de mettre en place des mesures de détection (l'article 5,
paragraphe 1, point f), exige des mesures de sécurité).
 Les violations qui entraînent un risque pour les droits et libertés des personnes
doivent être notifiées à la DPA.
o NOTIFIER SANS DÉLAI INUTILE : limite de 72 heures
 Plan d'intervention en cas d'incident pour le C
 La notion de risque n'est pas soumise à un seuil de gravité, car la notion de
droits et de libertés est large.
34
 C doit documenter chaque fois qu'une violation de données se produit,
conserver les dossiers pour toujours, en particulier si la décision n'atteint pas le
seuil de déclaration de la DPA (enregistrer également celles qui sont déclarées).
 Les **P doivent notifier aux C les violations de données à caractère personnel
dans un délai raisonnable
 Art. 34 : communication avec la personne concernée
 Les violations qui présentent des risques élevés pour les droits et libertés des
personnes concernées doivent être notifiées à ces dernières.
o Le seuil de gravité n'est pas présent dans l'article 33
o Qu'est-ce qu'un risque "élevé" ? Impact sur un grand nombre de
personnes concernées ou préjudice particulièrement important pour
certaines personnes
 Exceptions
o Mesures prises pour rendre le DP inintelligible(par exemple, par le
cryptage)
o C a pris des mesures pour éviter que les risques élevés ne se
matérialisent
o La divulgation de la violation impliquerait des efforts
disproportionnés(par exemple, si le C n'est pas en mesure d'identifier
toutes les personnes concernées par la violation).
 Si tel est le cas, une large annonce publique est appropriée
 Les régulateurs peuvent exiger des entreprises qu'elles s'engagent dans ces
communications.
o Assurer la sécurité
 Les membres de l'entreprise doivent travailler ensemble pour garantir la sécurité :
mettre en relation toutes les facettes de l'entreprise avec des experts en sécurité au sein
de l'organisation.
 Évaluation des risques, responsabilité et respect de la vie privée dès la conception
 Facteurs à prendre en compte lors de la conception de la réponse aux incidents (entre
autres) :
 Évaluation des menaces et des vulnérabilités
 Facteurs humains
 Détection et réponse aux incidents
 Créer un exercice de cartographie et d'inventaire des données afin d'identifier les
domaines de capture et de saisie des données=> tracer le flux de données à travers
l'organisation jusqu'à la redondance, lorsque l'information est supprimée ou détruite.
 Une gestion efficace est essentielle : prenez au sérieux les écarts par rapport à la
politique et les autres incidents.
 Envisager les conséquences d'une violation grave de la sécurité : examen
défavorable par des tiers
 Sensibilisation aux risques liés aux initiés et atténuation de ces risques
 Culture de la sensibilisation aux risques, respect de la DP pour créer une bonne
sécurité
 Les éléments clés d'une bonne culture de la sécurité sont les suivants :
o Comprendre les risques pour les personnes (évaluation et atténuation
des risques, formation)
35
o Processus de recrutement : montrer la valeur de la sécurité et de la
confidentialité même avec les candidats à l'emploi
o Lettre d'offre et contrat de travail : intégrer la culture de l'entreprise
o Acceptation de l'offre d'emploi : le recruteur doit confirmer qu'il a lu le
cadre de protection de la vie privée.
o Initiation : programme d'initiation des nouveaux employés avec
davantage de formation
o Formation continue
o Procédures adéquates en cas d'échec, mesures disciplinaires
o Fin d'emploi : restituer les composants physiques, s'assurer que les
droits d'accès et les privilèges ont été supprimés.
 Papiers de sécurité
 Politique écrite, règles de sécurité
 L'adéquation des documents est l'un des premiers éléments pris en compte par
les régulateurs lors d'une enquête.
o Des documents inadéquats peuvent donner une mauvaise impression
et, dans le cas de failles de sécurité et de pertes de données, peuvent
donner aux autorités de régulation des raisons suffisantes pour conclure
à la non-conformité.
 Réglementation fondée sur des politiques beaucoup plus facile à contrôler et à
surveiller, moins chère, plus rapide et plus efficace
 La protection des données dès la conception, les DPIA et le principe de
responsabilité présupposent tous la création et la distribution de documents.
 APPROCHE PAR COUCHE : la couche supérieure contient des déclarations de
politique de haut niveau, la couche intermédiaire comporte des contrôles mis
en œuvre pour appliquer les politiques, et la couche inférieure comprend les
processus et procédures opérationnels (le pourquoi, le quoi et le comment).
 S'assurer de la robustesse des piles technologiques : antivirus, antispam, pare-feu,
prévention de la perte de données, etc.
 Dans certaines juridictions (Allemagne), la loi impose de travailler avec les
comités d'entreprise avant de déployer des technologies.
 Entièrement testé par des spécialistes des tests de pénétration (hackers
éthiques)
 Environnement physique : vidéosurveillance, politiques de nettoyage des bureaux, etc.
 Gestion des risques liés aux Ps, aux fournisseurs et aux vendeurs
 Les C doivent : (1) choisir des sous-traitants fiables, (2) maintenir le contrôle
qualité et la conformité tout au long de la relation, et (3) encadrer la relation
dans un contrat qui contient les dispositions nécessaires exigeant que le sous-
traitant maintienne la sécurité, agisse uniquement selon les instructions du
sous-traitant, coopère avec le sous-traitant en matière de conformité et
répercute les exigences tout au long de la chaîne d'approvisionnement.
 Effectuer des audits et évaluer les parties 3d avant de s'engager avec elles
 Comment les entreprises peuvent-elles se protéger des problèmes de
conformité à l'article 28 ?
o Liste de contrôle des questions à prendre en compte lors de la phase de
DD avant l'entrée en vigueur de la loi sur l'éducation
36
o Évaluation des risques pour comprendre les menaces et les défis posés
par l'externalisation
o Le contrat doit contenir un cadre pour les assurances permanentes
(audits sur place, inspections, tests, évaluations périodiques de la
conformité permanente).
o Réponse aux incidents
 Créer un plan d'intervention en cas d'incident
 Approbation par la haute direction (obtenir l'adhésion)
 Traiter les aspects d'anticipation de l'incident et les aspects de réponse à l'incident
 Inclure les principes de prise de décision, la liste des personnes impliquées.
 Modèles de messages publics et de communication
 Analyse comparative avec les pairs sur le marché
 Analyser ce qui est réaliste pour l'organisation et son équipe de réponse aux incidents
 Analyse des lacunes, exercice de découverte pour savoir ce qui se fait déjà,
examen des événements antérieurs pour déterminer les succès et les échecs
passés.
 Détection des incidents : déterminer si l'organisation a déjà été compromise (de
nombreux pirates s'introduisent dans l'organisation et n'agissent pas pendant des
années).
 Veiller à la classification correcte des incidents (une classification erronée peut conduire
à un traitement incorrect et à des décisions de divulgation de la violation).
 Création d'un manuel de gestion des incidents les plus susceptibles de se
produire
 Élaborer un plan pour gérer les retombées, traiter avec les médias, les forces de l'ordre,
les personnes concernées, les assureurs et les vendeurs.
 Comment gérer la divulgation d'une violation
 Élaborer un plan d'action en cas de litige
 Exigences en matière de responsabilité
o En général, ce qui change
 L'obligation de rendre compte signifie que les autorités chargées de la protection des
données peuvent vérifier à tout moment le respect des 6 principes du RGPD (nouveauté
du GDPR) !
 Les organisations doivent intégrer les questions de protection des données dans leurs
activités et leurs opérations, promouvoir une culture de la protection des données au
sein de l'entreprise.
 Les autorités chargées de la protection des données peuvent publier des normes de
protection de la vie privée pour des programmes efficaces de protection des données
(politiques internes et externes, DPD, audits) : si elles respectent les normes de la CNIL,
elles reçoivent un label de protection de la vie privée.
o Responsabilité du contrôleur
 Mesures techniques et organisationnelles : tenir compte de la nature, de la portée, du
contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés
des personnes.
 Plus le traitement présente un risque élevé (atteinte à la réputation,
discrimination, désavantages économiques ou sociaux, privation de droits et de
libertés), plus la mesure de réduction du risque exigée par la directive est
importante.
37
 Disposer de politiques et les mettre en œuvre est le moyen le plus simple de prouver la
conformité à la loi sur la protection des données (pas de politique = peu de chances de
conformité), mais ce n'est pas suffisant : trois domaines clés sont à prendre en compte
 Politiques internes : questions clés à traiter
o Champ d'application : à qui et à quels types d'activités il s'applique
o Déclaration de politique générale : engagement en faveur de la
protection des DP, description des finalités du traitement et de l'objectif
commercial légitime
o Responsabilités des employés : ce que chaque fonction est autorisée à
faire avec les données, les limites d'utilisation, les étapes à suivre, les
obligations en matière de sécurité et d'accès, le transfert de DP interdit
à moins que des motifs légitimes ne soient établis (les étapes que les
employés doivent suivre avant de transférer des données), les
programmes de formation.
 Politiques de sécurité de l'information : la meilleure pratique
consiste à se baser sur les normes du secteur (ISO 27001/2),
mais ce n'est pas obligatoire.
o Responsabilités de la direction : élaborer des protocoles d'identification
et de traitement des risques ; les responsabilités doivent être
clairement attribuées aux différents rôles.
o Signalement des incidents : les employés devraient être expressément
tenus de signaler immédiatement les incidents liés à des violations de
données (le temps est essentiel : 72 heures pour signaler l'incident à la
DPA) ; établir un plan et une équipe d'intervention en cas d'incident, et
les tester régulièrement.
o Respect de la politique : les employés qui ne respectent pas la politique
sont soumis à des mesures disciplinaires internes, l'entreprise et les
personnes impliquées peuvent faire l'objet de sanctions pénales et
civiles, d'indemnités et de dommages-intérêts forfaitaires pour les
contrats de services conclus avec des tiers.
 Répartition interne des responsabilités
o Les entreprises doivent être en mesure de démontrer aux autorités
chargées de la protection des données qu'elles disposent de ressources
en matière de gestion de la protection des données.
o Faciliter la supervision par les autorités de protection des données,
permettre aux DS d'exercer leurs droits, permettre une mise à jour
régulière des politiques.
o Créer une équipe ou un conseil de gestion de la protection de la vie
privée, nommer un DPD
 Formation
o Programmes internes visant à informer les employés des obligations
légales en matière de PDD
o Créer des programmes de formation flexibles adaptés à des rôles
particuliers
o Documenter et suivre la mise en œuvre des programmes de formation
o Protection des données dès la conception et par défaut (intégrer des garanties dans tous les
traitements)
38
 La protection de la vie privée dès la conception
 Intégrer le PDD dans les spécifications de conception des nouveaux systèmes et
technologies
 S'applique à tous les stades d'un projet ou d'un produit, et pas seulement aux
stades de la planification et de l'exécution de nouveaux développements.
o Créer des produits dotés d'une capacité intégrée à gérer et à remplir
toutes les obligations liées au GDPR.
 Le respect de la vie privée par défaut
 Mettre en œuvre des mesures techniques et organisationnelles appropriées
pour garantir que seules les données nécessaires à chaque finalité sont traitées.
 Limiter ou minimiser les données collectées, mieux contrôler l'étendue du
traitement
 Par défaut, les DP ne doivent être conservés que pendant la durée nécessaire à
la fourniture du produit ou du service.
 Obligation explicite de mettre en œuvre des mesures techniques et
organisationnelles appropriées pour répondre à cette exigence
 Comment se conformer : tenir compte de l'état de la technique, du coût de la mise en
œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que
des risques de probabilité et de gravité variables pour les droits et libertés des
personnes physiques.
 Types de techniques pour se conformer : minimiser les DP traités, pseudonymisation,
permettre aux DS de mieux contrôler leurs données.
 Veiller à ce que le DP soit facile à rechercher et à trouver, à corriger, à rassembler
rapidement ; mettre en place des systèmes de suppression automatique du DP ; veiller à
ce que le DP excessif ne soit pas collecté initialement ; veiller à ce que le DP soit
structuré dans un format couramment utilisé, lisible par machine et interopérable.
o Documentation et coopération avec les régulateurs
 GDPR : suppression des obligations de notification et d'enregistrement !
 Au lieu de cela, les entreprises doivent conserver par écrit des registres détaillés
des opérations de traitement, qui doivent être mis à la disposition des autorités
chargées de la protection des données sur demande.
 Dossiers DP à conserver (similaires aux exigences de notification)
 Nom et coordonnées des Cs, DPOs, finalités du traitement, chats des DS et PD,
chats des destinataires, transferts anticipés, garanties appropriées, périodes de
rétention, mesures de sécurité
 Les D doivent conserver les coordonnées, le DPD, le nom et les coordonnées de
chaque C P traite pour, les chats de traitement les détails des transferts et les
garanties, les mesures de sécurité.
 Exemption pour les entreprises de moins de 250 salariés
 L'exemption ne s'applique pas si le traitement est susceptible d'entraîner un
risque pour les droits et libertés du DS, s'il est fréquent et non occasionnel, ou
s'il implique des catégories particulières de données ; elle ne s'applique pas non
plus aux données relatives aux condamnations pénales et aux infractions.
o Évaluation de l'impact sur la protection des données (DPIA)
 Les entreprises utilisent l'AIPD pour identifier et traiter les questions de protection des
données susceptibles de se poser lors du développement de nouveaux produits ou
services, ou lors de la mise en œuvre de nouvelles activités de traitement.
39
 Exigé en vertu du GDPR lorsque l'activité de traitement peut présenter un risque élevé
pour les droits et libertés des DS ; également avant de procéder à des activités de
traitement de DP risquées.
 Lorsque des risques sont identifiés, prendre les mesures appropriées pour les prévenir
ou au moins les minimiser.
 L'ICO considère le DPIA comme un outil de bonnes pratiques
 Comment déterminer si une DPIA est nécessaire et comment la réaliser ?
 La transformation est-elle "à haut risque" ?
o Profilage systématique et étendu qui produit des effets juridiques ou
affecte les individus de manière significative ; chats spéciaux de DP à
grande échelle ; surveillance systématique d'une zone accessible au
public à grande échelle (par exemple, vidéosurveillance et drones).
 Que se passe-t-il si le traitement présente un risque élevé et qu'une DPIA est
nécessaire ?
o Tout d'abord, demander l'avis du DPD
o L'AIPD doit comprendre au moins les éléments suivants : description
systématique des activités de traitement envisagées, des finalités, de
l'intérêt légitime ; évaluation de la nécessité et de la proportionnalité
par rapport aux finalités ; évaluation des risques pour les droits et
libertés des personnes ; mesures pour faire face aux risques, y compris
les garanties et les mesures et mécanismes de sécurité.
 Que faire si la transformation reste à haut risque ?
o Pas de mesure suffisante pour atténuer le risque, C doit consulter
l'autorité de protection des données avant le traitement (accorder à
l'autorité de protection des données jusqu'à 8 semaines pour examiner
la demande).
o Délégué à la protection des données
 Reconnu officiellement mais pas obligatoire
 Exigé lorsque : le traitement est effectué par une autorité publique, les activités
principales sont le suivi régulier et systématique des personnes à grande échelle, OU le
traitement de catégories particulières de données à caractère personnel à grande
échelle.
 Activités essentielles : opérations clés nécessaires pour atteindre les objectifs de
C ou P, le PDD fait inextricablement partie des activités de C ou P.
 Facteurs à grande échelle : nombre de DS concernés, volume de données,
éventail de données, durée ou permanence, étendue géographique.
 Contrôle régulier et systématique : toutes les formes de traçage et de profilage
sur Internet
o Régulier : en cours ou à des intervalles particuliers pendant une période
donnée, récurrent ou répété, constamment ou périodiquement.
o Systématique : selon un système, préétabli, organisé ou méthodique,
faisant partie d'un plan général de collecte de données, réalisé dans le
cadre d'une stratégie.
 Un délégué à la protection des données doit être désigné si la législation nationale
l'exige (Allemagne : au moins 9 employés pour le traitement automatisé des données
personnelles, ou au moins 20 personnes pour le traitement non automatisé).
40
 France : pas d'obligation mais des avantages potentiels pour les entreprises
dotées d'un DPD
 Les nominations à l'échelle du groupe sont autorisées : Le DPD doit être facilement
accessible à chaque entreprise
 Rôle du DPD : participer de manière appropriée et en temps utile à toutes les questions
relatives à la protection du DP ; agir de manière indépendante (peut avoir d'autres rôles
qui ne donnent pas lieu à un conflit d'intérêts) ; pas de limite de durée.
 Avoir un lien hiérarchique direct avec le plus haut niveau de direction de l'entreprise et
avoir accès aux opérations de traitement des données de l'entreprise.
 Connaissances techniques et expertise suffisantes requises, nommées sur la base de
l'expérience et des capacités dans le domaine de la protection de la vie privée
 Doit être capable d'informer et de conseiller l'entreprise sur ses obligations en matière
de GDPR, de contrôler le respect du GDPR et des politiques de l'entreprise, de fournir
des conseils sur les DPIA, de coopérer avec les DPA et d'agir en tant que point de
contact pour les DPA.
 Il peut s'agir d'un employé de l'entreprise ou d'un prestataire de services tiers.
o Autres mesures : BCRs-> garantit un même niveau élevé de protection des DP respecté par tous
les membres d'un groupe avec un ensemble unique de règles contraignantes et exécutoires.
 Norme de référence : pour y parvenir, les entreprises doivent démontrer qu'elles
respectent le cadre de protection de la vie privée lors de leur demande auprès de
l'autorité de protection des données ; l'autorité de protection des données contrôle
également le respect continu de la conformité.
 Transferts internationaux de données (pays et organisations internationales)
o Les transferts ne comprennent pas le transit, mais doivent inclure le traitement en dehors de
l'EEE.
 Le routage technique, tel que le courrier électronique et les pages web, peut impliquer
le déplacement aléatoire de données dans le monde entier pendant le transit.
 L'accès électronique aux données à caractère personnel par des voyageurs qui se
trouvent physiquement dans un autre lieu pendant une courte période n'est pas pris en
compte.
o Transferts uniquement dans l'une des trois conditions suivantes
 (1) Niveau de protection adéquat offert par le pays (tel que reconnu par la Commission
européenne, avec des révisions périodiques de l'adéquation tous les 4 ans)
 Le pays respecte l'État de droit, protège les droits de l'homme, dispose d'une
législation protégeant le traitement des données (y compris la législation sur les
transferts) et dispose de recours administratifs et judiciaires efficaces pour les
personnes concernées dont les données sont transférées.
 Des autorités de surveillance indépendantes dotées de pouvoirs d'exécution
adéquats, ET
 Les engagements internationaux pris par le pays tiers ou l'OI en matière de
protection des données à caractère personnel sont pris en considération.
 **11 pays et territoires actuellement reconnus
 (2) C ou P fournit des garanties appropriées assorties de droits opposables à la personne
concernée et de voies de recours effectives, OU
 (3) Le transfert entre dans le cadre de l'une des dérogations prévues pour des situations
spécifiques
o Le droit de l'UE appliqué de manière extraterritoriale
41
 Les grandes multinationales doivent appliquer la législation de l'UE dans toutes leurs
activités de traitement à l'échelle mondiale.
o États-Unis
 La sphère de sécurité
 Décision d'adéquation permettant aux organisations de s'inscrire et de s'auto-
certifier pour les transferts entre l'UE et les États-Unis
o Les parties n'effectuaient pas les contrôles de conformité annuels
requis, et le CF n'a pas fait respecter les dispositions de la directive.
 Les révélations de Snowden ont montré l'inefficacité du Safe Harbor
o La Commission n'a pas voulu suspendre les transferts de données entre
les États-Unis et l'UE en raison de leur importance pour le commerce
international, l'application de la loi et la sécurité nationale : elle a
commencé à examiner d'autres mécanismes ("Rebuilding Trust in the
EU-U.S. Data Flow").
o Schrems I : La CJCE a invalidé la sphère de sécurité
 Bouclier de protection de la vie privée
 4 grandes priorités de la Commission : (1) transparence, (2) recours, (3)
application, (4) accès aux données par les autorités américaines
o Point d'achoppement pour les États-Unis : l'exception relative à la
sécurité nationale ne devait être appliquée que si elle était strictement
nécessaire et proportionnelle, selon la CE.
 7 principes : (1) notification, (2) choix, (3) responsabilité, (4) sécurité, (5)
intégrité des données et limitation des finalités, (6) accès, et (7) recours,
exécution et responsabilité.
 Documentation plus détaillée que la sphère de sécurité, mise en place de
normes plus strictes
o Lettres d'assurance limitant l'accès des agences du gouvernement
américain, freins et contrepoids
 Préoccupations de l'avis du WP29 : ne reprend pas les principes clés du droit
européen en matière de protection des données, pas de protection pour les
transferts ultérieurs de données, mécanisme de recours trop complexe pour les
particuliers, la documentation n'exclut pas la collecte massive/indiscriminée de
données par les agences de renseignement américaines, le nouveau médiateur
n'est pas suffisamment indépendant ou puissant.
 Les entreprises américaines soumises à la FTC ou au DOT peuvent adhérer en
s'inscrivant en ligne auprès du DOC (les banques et les entreprises de
télécommunications ne sont pas concernées).
o Les entreprises du secteur public prennent certaines mesures pour
démontrer leur conformité, notamment (1) des évaluations internes de
la conformité, (2) l'enregistrement auprès d'un fournisseur
d'arbitragetiers, et (3) l'adoption d'un avis sur le bouclier de protection de
la vie privée et sa publication en ligne.
o Fournir des garanties adéquates
 Clauses types
 C à C ou C à P
 Pré-approuvé par la Commission, versé au dossier de l'APD
42
o Les autorités chargées de la protection des données peuvent également
adopter leurs propres CSC ou approuver les contrats ad hoc qui leur
sont présentés par les parties en vue d'un transfert (ce qui offre une
plus grande souplesse et permet d'adopter des obligations
contractuelles plus réalistes qu'elles sont moins susceptibles de violer).
 Codes de conduite et certification : une nouvelle idée avec le GDPR
 Règles d'entreprise contraignantes : désormais expressément dans le GDPR
 Normes plus élevées, légitimation de tous les transferts au sein de l'entreprise
comme étant adéquats
o Doit être soumis et approuvé par les DPA
o Rentable pour les grandes multinationales
 Les organisations multinationales les élaborent et les suivent volontairement, et
les régulateurs nationaux les approuvent conformément à leur propre
législation.
 Les autorités chargées de la protection des données doivent donner leur accord
en suivant le mécanisme de cohérence
 L'ensemble des BCR doit comprendre les éléments suivants
o Structure et coordonnées du groupe d'entreprises et de ses membres
o Transferts de données (catégories, type de traitement, finalités, type de
personnes concernées, pays tiers d'identification ou pays tiers
d'identification)
o Caractère juridiquement contraignant
o Application des principes généraux du PDD (article 5)
o Droits des personnes concernées et moyens d'exercer ces droits
o Acceptation par C ou P établi sur le territoire d'un État membre de la
responsabilité pour toute violation des BCR par tout membre concerné
non établi dans l'UE
o Comment les informations sur les BCR sont-elles communiquées aux
personnes concernées ?
o Tâches du DPD
o Procédures de réclamation
o Mécanisme de vérification du respect des BCR
o Mécanismes de notification et d'enregistrement des modifications
apportées aux règles
o Mécanisme de coopération avec le DPA
o Mécanismes de notification à l'autorité de protection des données de
toute exigence juridique à laquelle un membre du groupe est soumis
dans un paystiers et qui pourrait avoir un effet négatif substantiel sur les
garanties fournies dans la RCB.
o Formation appropriée du personnel en contact avec les données
 Dérogations
 Consentement : explicite, spécifique et éclairé (y compris informé des risques
éventuels)
 Exécution du contrat
o Le transfert peut être effectué s'il est nécessaire à l'exécution d'un
contrat (par exemple, un contrat d'achat).
o Contrat conclu à la demande ou dans l'intérêt d'une personne
43
o Peut s'appliquer aux contrats de travail, mais il convient d'évaluer si le
transfert est nécessaire en fonction des biens et services fournis, et non
du choix de l'organisation par l'exportateur.
 Intérêt public : prévention de la criminalité, sécurité nationale, perception des
impôts
 Réclamations juridiques
 Intérêts vitaux : situation de vie ou de mort (généralement des dossiers
médicaux)
 Registres publics : si les informations sont disponibles, des extraits peuvent être
transférés.
 Transferts non répétitifs : nombre limité de personnes concernées, nécessaires
à des fins d'intérêts légitimes impérieux du C si les intérêts ou les droits et
libertés de la personne concernée ne prévalent pas.
o +C doit également fournir des garanties appropriées pour protéger le DP
o C doit informer l'autorité de contrôle et la personne concernée du
transfert et des intérêts légitimes impérieux.
 Supervision et application
o En rapport avec l'obligation de rendre des comptes
o L'autorégulation
 Conformité avérée aux principes du PDD, nomination d'un DPD et accent mis sur les
codes de conduite et les méthodes d'autorégulation.
 Les C ont des fonctions de régulation sur leurs P, les P sur les sous-P, ce qui crée une
supervision et une mise en œuvre.
 DD précontractuel, formation du contrat, exigences post-contractuelles
 Les C sont censés identifier les risques et sont ensuite chargés d'y faire face
 Preuve démontrable de la conformité par le biais d'essais et d'activités similaires, y
compris les essais dans le cadre des activités de l'entreprise.
 Notification des violations du DP aux autorités chargées de la protection des données et
parfois aux particuliers : la dissuasion est la clé de la mise en œuvre
 Des sanctions administratives efficaces, proportionnées et dissuasives
 DPIA lorsque le traitement est susceptible d'entraîner un risque élevé pour les droits et
libertés des personnes
 DPD : position claire de supervision et d'application de la loi, immunité contre le
licenciement, plus comme un quasi-DPA que comme un employé-> devoir de
coopération avec le DPA et extension de l'autorité de régulation
 Codes de conduite, certificats et sceaux : les associés du secteur peuvent créer des
codes et des certifications, les C et les P doivent s'engager à en faire la demande et leur
respect doit être contrôlé.
 Les organes représentatifs peuvent soumettre des projets de codes à la DPA
pour approbation.
 ***Mécanisme de cohérence lorsque le projet de code affecte au moins deux
États membres
 Les organismes de contrôle doivent prouver leur indépendance, leur expertise
et éviter les conflits ; ils doivent disposer de procédures pour délivrer, réviser et
révoquer les sceaux et les marques, le cas échéant, et d'une procédure pour
traiter les contrevenants.
44
 Les C et les P peuvent se voir infliger une amende par la DPA pour avoir enfreint
les exigences du code dans des cas graves.
 Les autorités chargées de la protection des données peuvent révoquer
l'accréditation de l'organisme de contrôle
o Régulation par le citoyen
 Les citoyens ont été à l'origine de la modification non législative des lois sur la
protection des données (voir : Google contre l'Espagne et le droit à l'oubli).
 Les organisations de la société civile (OSC) ont également un pouvoir en matière de
litiges
 Risque principal d'un examen défavorable de la part des citoyens en tant que parties au
litige plutôt que de la part des autorités chargées de la protection des droits de l'homme
 Droits des personnes concernées
 Droit à la transparence, à l'accès aux données, à la rectification, à l'effacement, à
la limitation du traitement, à la portabilité des données, à l'objection, à
l'information sur les violations graves de données
 **Il n'est pas nécessaire que le DS fasse valoir ses droits à l'encontre de C avant
d'introduire des plaintes et des recours auprès des autorités de protection des
données ou des tribunaux ! Dans de nombreux cas, les droits ne constituent pas
une voie directe et évidente vers le responsable du traitement (voir les principes
du DP, comme la confidentialité).
 Recours en cas de manquement aux obligations
 Porter plainte auprès des autorités de protection des données ou des tribunaux,
exercer ces recours et en même temps auprès du C.
 L'option la moins risquée consiste à se tourner vers les autorités chargées de la
protection des données pour obtenir des mesures correctives.
 Les particuliers peuvent toujours saisir le tribunal de leur pays ou l'autorité de
protection des données, quel que soit le lieu d'établissement de C ou P.
 Actions de classe/de représentation
 Droit de recours collectif en vertu de l'article 80 du GDPR
 Les particuliers peuvent choisir d'être représentés par des organisations à but
non lucratif (OSC), des défenseurs de la vie privée ou des groupes de pression :
ils peuvent agir au nom d'une ou de plusieurs organisations à but non lucratif.
o Les États membres peuvent conférer aux organisations des pouvoirs
indépendants des mandats des individus.
 Responsabilité civile et demandes d'indemnisation
 Les DS peuvent introduire des demandes d'indemnisation s'ils subissent un
préjudice du fait de la non-conformité.
 Les C et les D peuvent invoquer comme moyen de défense le fait qu'ils ne sont
pas responsables de l'événement qui a donné lieu au dommage.
o Si plusieurs parties sont fautives, tout C ou P individuel responsable d'un
dommage peut être tenu pour responsable de l'ensemble du dommage-
> la partie indemnisante peut alors demander une indemnisation aux
autres C et P.
 Qu'est-ce qu'un dommage ? Perte financière, peut-être détresse ou préjudice
non pécuniaire
o Par "dommage moral", on entend clairement la détresse
 Réglementer les régulateurs
45
 Si une personne dépose une plainte auprès de l'autorité de protection des
données mais que celle-ci n'est pas traitée, ou si elle n'entend rien pendant 3
mois, elle peut intenter une action contre l'autorité de protection des données
devant les tribunaux pour faire avancer le dossier.
o Voici comment s'est déroulée l'affaire Schrems I contre la DPA irlandaise
 L'objectif principal est de permettre les recours contre les mesures correctives
prises par le DPA.
o Les particuliers peuvent également se retourner contre les autorités
chargées de la protection des données dont ils estiment qu'elles n'ont
pas pris les mesures correctives adéquates ou qu'elles ont été trop
indulgentes dans les sanctions qu'elles ont imposées.
o Supervision administrative et application de la loi
 Les autorités chargées de la protection des données sont les seuls organes dotés de
pouvoirs de contrôle administratif et d'exécution (CNIL, ICO, AEPD) : tous les pays de
l'UE disposent déjà d'autorités chargées de la protection des données.
 Les États membres sont tenus de désigner des autorités publiques indépendantes
chargées de contrôler la mise en œuvre du GDPR, d'agir en toute indépendance et de
disposer de compétences et de ressources suffisantes.
 Obligation de consultation, influence des régulateurs sur les agendas législatifs, mission
et pouvoir des DPA pour fournir des conseils et des orientations à leurs parlements et
gouvernements sur le PD.
 Tâches de la DPA
 Promouvoir la sensibilisation et la compréhension du PDD
 Traiter les plaintes et mener des enquêtes
 Soutenir l'application cohérente du GDPR au niveau international, en appliquant
le mécanisme de cohérence
 Suivre l'évolution des techniques d'information et de communication et des
pratiques commerciales
 Réception et traitement des plaintes : ce sont les citoyens qui ont le plus de
contacts quotidiens avec les entreprises et qui sont donc les mieux placés pour
faire respecter les règles ; les citoyens ont besoin d'un champion officiel, à
savoir le DPA.
 DPIA : Les autorités chargées de la protection des données publient des listes de
situations dans lesquelles une DPIA doit être effectuée et dans lesquelles elle
n'est pas nécessaire ; les autorités centrales doivent également consulter les
autorités chargées de la protection des données lorsque la DPIA indique que
l'activité entraînerait un risque élevé pour les droits et les libertés des
personnes.
 Codes, certificats, sceaux et marques : encourager le développement, donner
des avis sur les projets de codes, les amendements ou les extensions (s'ils sont
conformes au GDPR), approuver les projets de codes, etc. s'ils offrent des
garanties suffisantes, retirer les certificats lorsque les exigences ne sont plus
remplies.
 Approuver les CCN et les BCR : peut également créer ses propres CCN et
approuver des contrats uniques pour les transferts.
46
 Registres des infractions et des mesures prises : Le GDPR exige la tenue de ces
registres, qui constituent déjà une pratique courante dans de nombreux États
membres.
 Les DPA ne peuvent pas facturer les services des DS ou des DPD, mais peuvent
rembourser les frais administratifs en cas de demandes manifestement
infondées ou excessives.
 Rapports d'activité : la réglementation doit être appliquée de manière
transparente afin de promouvoir la confiance dans le système réglementaire et
de fournir à la société un aperçu critique des tendances et des développements
au sein de la réglementation.
 Pouvoirs du régulateur
 Pouvoirs d'enquête: accès à tous les éléments de preuve, matériels et
installations nécessaires à l'accomplissement des tâches, ainsi qu'à un
mécanisme permettant d'ouvrir des enquêtes et de notifier les infractions
présumées aux C et aux P.
o Les autorités chargées de la protection des données pourront avoir
accès à tous les documents pertinents détenus par l'organisation faisant
l'objet de l'enquête, y compris les documents, rapports et rapports
d'audit detiers (sauf s'ils sont protégés par le secret professionnel).
o Les autorités chargées de la protection des données peuvent procéder à
des examens opérationnels
 Pouvoirs correctifs: Permettre aux autorités de protection des données d'avertir
les entreprises et les fournisseurs de services des activités de traitement
douteuses, d'appliquer des sanctions financières et d'ordonner aux entreprises
et aux fournisseurs de services de cesser le traitement des données.
 Pouvoirs d'autorisation et de consultation: codes, certifications, sceaux et
marques
 Litiges par les régulateurs : Les autorités chargées de la protection des données doivent
être en mesure d'imposer le respect des règles par le biais des tribunaux.
 Protéger les C et les P d'une action réglementaire précipitée : les personnes physiques
et morales affectées par les décisions de l'autorité de protection des données peuvent
intenter une action en justice pour protéger leur position.
 Obligation de secret professionnel pour les autorités chargées de la protection des
données et leur personnel ayant accès à des informations confidentielles
o Compétence et coopération internationale
 Qui a le pouvoir d'imposer la supervision et l'application de la réglementation ?
 Compétence
 Les autorités chargées de la protection des données peuvent agir sur le
territoire de leur propre État membre.
 Les autorités chargées de la protection des données peuvent réglementer les
sociétés anonymes et les sociétés de personnes établies sur leur territoire.
 Si C ou P est établi dans plusieurs territoires, ou s'il y a un traitement
transfrontalier, c'est l'autorité chef de file qui est compétente.
o L'"établissement principal" de C ou P s'applique : là où la prise de
décision concernant le traitement des données à caractère personnel
est effectuée, généralement dans l'administration centrale (mais si la
47
prise de décision a lieu dans un autre lieu, c'est là que se trouve
l'établissement principal).
o Autorité principale nécessaire pour réglementer les situations de
traitement transfrontalier
 Les entités établies dans un seul État membre peuvent toujours
effectuer des opérations transfrontalières.
 L'autorité chef de file est le seul interlocuteur de ce traitement
transfrontalier
o Les autorités non chefs de file peuvent prendre des mesures dans des
situations transfrontalières lorsque la plainte (1) ne concerne que leur
territoire ou (2) si elle affecte de manière substantielle des personnes
uniquement sur leur territoire.
 L'autorité de protection des données qui affirme sa compétence
doit en informer l'autorité principale (ce qui peut déclencher
une bataille de compétence).
 Si l'autorité chef de file rejette l'affirmation de
compétence d'une autre autorité de protection des
données et se saisit elle-même de l'affaire, la procédure
prévue à l'article 60 doit être suivie.
 Si l'autorité chef de file accepte l'affirmation de
compétence de l'autre autorité de protection des
données, l'autorité de protection des données
secondaire peut procéder sous réserve des règles
relatives à l'assistance mutuelle et aux opérations
conjointes.
o Les litiges et les contestations concernant les compétences sont les plus
probables à la suite d'une plainte déposée par un particulier : celui-ci
peut déposer une plainte auprès de la DPA de l'État membre dans
lequel il réside habituellement, où il travaille ou dans lequel l'infraction
présumée a eu lieu.
 La coopération
 La règle de l'autorité principale ne s'applique qu'au traitement transfrontalier :
si elle entre en jeu, les procédures de coopération de l'article 60 s'appliquent.
o Commence généralement par une demande d'assistance mutuelle et
d'opérations conjointes, mais peut aussi commencer par une DPA non
chef de file qui affirme sa compétence.
 L'autorité de protection des données principale fournit un projet de décision
aux autres autorités de protection des données concernées.
o Peut susciter des commentaires, une objection motivée ou un simple
accord.
o En cas d'objection motivée, l'autorité chef de file peut accepter ou
rejeter l'objection.
 En cas d'acceptation, il émet un projet de décision révisé, que
les autres autorités chargées de la protection des données
peuvent accepter ou auquel elles peuvent opposer des
objections motivées supplémentaires.
48
 En cas d'autres objections motivées, le cycle se poursuit
jusqu'à ce que l'on sorte de l'impasse (ce qui peut se
faire en saisissant l'EDPB).
 En cas de rejet, l'autorité chef de file doit suivre le mécanisme
de cohérence
o En l'absence d'objections, l'autorité chef de file et les autres autorités
chargées de la protection des données sont d'accord et le projet de
décision est contraignant.
 Si le projet de décision est accepté, l'autorité chef de file
l'adopte et le notifie au C ou P de l'établissement principal, aux
autres autorités de protection des données concernées et à
l'EDPB.
 Si une plainte est déposée par un particulier auprès d'une
autorité de protection des données non chef de file, l'autorité
de protection des données concernée doit informer le plaignant
de l'issue de la procédure.
 La charge de la mise en conformité incombe au C ou au P, qui
doit notamment rendre compte à l'autorité chef de file de la
manière dont il y est parvenu.
o **L'article 60 prévoit un calendrier pour ces événements clés.
 Assistance mutuelle : mandat de coopération et d'échange d'informations
o Les autorités chargées de la protection des données doivent mettre en
place des mesures appropriées pour fournir une assistance dans les
meilleurs délais (arrêt d'un mois).
o Les autorités chargées de la protection des données doivent répondre
aux demandes, sauf si elles ne sont pas compétentes pour fournir une
assistance ou si elles doivent éviter l'illégalité.
o Si l'APD destinataire ne fournit pas d'assistance dans un délai d'un mois,
l'APD requérante peut adopter une mesure provisoire qui déclenche la
procédure d'urgence.
 Opérations conjointes : conçues pour garantir que toutes les autorités de
protection des données concernées sont correctement représentées dans les
activités de surveillance et d'application de la législation.
o Lorsque des C et des P sont établis sur plusieurs territoires ou que le
traitement concerne un nombre important de personnes sur plusieurs
territoires, toutes les autorités de protection des données concernées
ont le droit de participer à une opération conjointe.
o L'autorité compétente a l'obligation d'inviter d'autres autorités de
protection des données à participer.
 Mécanisme de cohérence
 EDPB : successeur du WP29
 Avis de l'EDPB
o L'EDPB doit émettre des avis sur les listes de circonstances dans
lesquelles des DPIA sont requises, sur l'adoption de codes proposés qui
affectent plusieurs États membres, sur les critères d'accréditation des
organismes de contrôle et de certification, sur les CCN approuvés par la
DPA et sur les autorisations de BCR.
49
 Avis rendus après que les autorités chargées de la protection
des données ont effectué leur travail initial
 Tout DPA, président de l'EDPB ou la CE peut demander des avis
sur des questions d'application générale ou produisant des
effets sur plusieurs EM.
 Résolution des litiges par l'EDPB
o Élément clé du mécanisme de cohérence, déclenché lorsque l'autorité
chef de file rejette des objections motivées à un projet de décision
concernant un traitement transfrontalier, lorsqu'il y a un différend entre
les autorités chargées de la protection des données sur la question de
savoir qui est compétent pour un établissement principal, ou lorsque
l'autorité chargée de la protection des données ne renvoie pas ses
décisions (ci-dessus) à l'EDPB.
o Résultat = adoption d'une décision contraignante
 En cas de litige concernant un projet de décision, l'autorité chef
de file ou une autre autorité de protection des données est
tenue d'adopter une décision finale sur la base d'une décision
contraignante.
 Procédure d'urgence
o Circonstances exceptionnelles dans lesquelles l'autorité de protection
des données doit prendre des mesures urgentes pour protéger les
droits et les libertés des individus
 Si l'urgence est suffisamment grande, il se peut que le temps
manque pour poursuivre la coopération ou le mécanisme de
cohérence.
 L'autorité chargée de la protection des données peut adopter
immédiatement des mesures provisoires, sous réserve d'une
durée de vie de trois mois, et doit les soumettre, en les
motivant, aux autres autorités chargées de la protection des
données concernées, à l'EDPB et à la Commission.
 Au bout de trois mois, les mesures provisoires
deviennent caduques, sauf si la DPA estime que des
mesures définitives doivent être adoptées d'urgence,
auquel cas elle peut demander un avis urgent ou une
décision contraignante urgente à l'EDPB.
o Sanctions et pénalités
 Amendes administratives basées sur la nature de la contravention et le statut de l'entité
sanctionnée (non-entreprises : autorités publiques, organisations n'exerçant pas
d'activité économique ; contre-entreprises : sociétés)
 Niveau 1
o Contraventions : consentement des enfants, protection des données
dès la conception et par défaut, engagement des PS par les C, registres
de traitement, coopération avec les régulateurs, sécurité, notification
des violations, DPIA, DOP, codes et certifications.
o Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial
total de l'année précédente
 Niveau 2
50
o Contraventions : principes de protection des données, licéité du
traitement, consentement, traitement de catégories spéciales de
données, droits du DS, transferts internationaux, non-respect des
pouvoirs d'enquête et de correction des DPA.
o Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial
total de l'année précédente
 Facteurs à prendre en compte avant d'imposer des amendes
 Efficace, proportionné et dissuasif
 Les violations graves du GDPR peuvent faire l'objet de plusieurs réponses
 Le montant total de l'amende ne peut excéder le montant prévu pour
l'infraction la plus grave.
 Les facteurs de l'article 83, paragraphe 2 :
o Nature, gravité et durée de l'infraction, nature, portée ou finalité du
traitement concerné, nombre de DS affectés, niveau de préjudice
o Caractère intentionnel ou négligent de l'infraction
o Mesures prises pour atténuer les dommages causés par la DS
o Degré de responsabilité, compte tenu des mesures techniques et
organisationnelles
o Infractions précédentes
o Degré de coopération avec la DPA
o Catégories de DP concernées
o La DPA a-t-elle été informée de l'infraction ?
o Respect des mesures précédemment ordonnées à l'encontre de Cs et Ps
o Respect des codes de conduite approuvés
o Tout autre facteur aggravant ou atténuant
 Entreprise : entité exerçant une activité commerciale (sociétés)
 Les autorités publiques et les entreprises associées non constituées en sociétés
sont des non-entreprises.
 Les États membres peuvent exclure complètement les autorités publiques des
régimes d'amendes.
 L'entreprise est une entité unique, il n'est pas question de groupes
d'entreprises.
o ***L'entreprise faisant partie d'un groupe d'entreprises ne peut se voir
infliger une amende que dans la limite d'un pourcentage du chiffre
d'affaires de l'entreprise individuelle, et non du chiffre d'affaires du
groupe.
o Directive sur l'application des lois en matière de protection des données : régime de supervision
et d'application miroir, à l'exception de l'absence du concept d'autorité chef de file (et des
mécanismes de coopération et de cohérence connexes) et des sanctions financières.
Section III : Conformité avec la législation et la réglementation européennes en matière de protection des
données
 Relations de travail
o Un domaine délicat car l'intersection de la confidentialité des données et du droit du travail
 Consulter les autorités compétentes en matière de droit du travail et les comités
d'entreprise
51
 Les règles des États membres relatives au DP des employés comprennent des mesures
visant à sauvegarder la dignité humaine, les intérêts légitimes et les droits
fondamentaux des DS en ce qui concerne la transparence du traitement et du transfert,
ainsi que le suivi et le contrôle.
 Les employés doivent avoir le droit d'accéder à leurs données personnelles
o Bases légales pour le traitement des données personnelles des employés
 Consentement
 Doit être donné librement, ce qui est difficile à dire dans les circonstances de
l'emploi en raison de l'inégalité des pouvoirs.
o Ce n'est pas une bonne base sur laquelle les employeurs peuvent
s'appuyer
 Parfois, la législation locale stipule que le consentement ne peut
être donné dans ces circonstances
 Le consentement ne doit pas être invoqué à moins que le retrait
du consentement ne soit pas problématique pour la légalité du
traitement ou préjudiciable à l'emploi de l'employé.
 Librement consentie, spécifique, informée et sans ambiguïté
 Possibilité de retirer son consentement sans subir de préjudice
 Certains pays de l'UE exigent un consentement écrit
 Exécution du contrat de travail
 Par exemple, pour payer un employé (nom et coordonnées bancaires)
 Nécessaire pour se conformer à une obligation légale (de l'UE)(par exemple, les impôts)
 Intérêts légitimes de l'employeur
 Par exemple, lorsque l'employeur change de système structurel pour migrer les
données des employés de l'ancien système de paie vers le nouveau, il s'agit d'un
traitement dans un intérêt légitime.
 Les autorités publiques ne peuvent absolument pas invoquer ce motif
o Données sensibles des employés
 Si l'employeur traite ces données, il doit bénéficier d'une exception au titre de l'article 9.
 Inclut le consentement, mais devrait être le dernier recours de l'employeur
 Dans certaines juridictions, la mesure dans laquelle les données sensibles des employés
peuvent être traitées dépend des lois sur l'emploi ou le travail qui les accompagnent.
 Par exemple, au Portugal, il faut obtenir l'autorisation de la DPA.
 Peut être nécessaire à l'établissement, à l'exercice ou à la défense de droits légaux(par
exemple, une plainte pour licenciement illégal ou discrimination).
o Préavis de traitement
 Les employeurs doivent fournir des informations sur le traitement des données, les
finalités, les personnes à contacter et les droits du DS.
 Peut se faire par le biais d'un manuel de l'employé ou d'un document de notification
spécifique.
 Les employés doivent être informés chaque fois qu'une nouvelle finalité se présente
 L'avis doit fournir, en détail, la base juridique, les intérêts légitimes (s'ils sont utilisés),
les destinataires des données, l'endroit où les données seront transférées et la durée de
leur conservation.
o Stockage des dossiers du personnel
 Ne doit pas être conservé plus longtemps que nécessaire, bien que la durée de l'emploi
soit normale, il est probablement protégé par un motif légitime.
52
 Après l'embauche, les dossiers peuvent être nécessaires pour se conformer au droit des
sociétés, au droit du travail, au droit de la santé et de la sécurité, au droit fiscal et au
droit de la sécurité sociale, etc.
 Doit être archivé en toute sécurité
o Surveillance du lieu de travail et prévention de la perte de données
 Les droits des employés sont mis en balance avec les droits légitimes de l'entreprise à
opérer
 Vérification des antécédents
 Doit être mené pour éviter l'embauche de personnes peu scrupuleuses
 Les employés doivent veiller à ne pas établir de listes noires lors des
vérifications d'antécédents (ce qui est généralement illégal) ou de listes de
personnes qu'ils n'emploieront pas.
 Prévention de la perte de données
 Les outils DLP sont exploités par des tiers ; ils impliquent le traitement des
données des employés, mais leur principal objectif est d'empêcher la perte de
données.
 Surveillance des employés
 Doit se conformer aux lois locales sur l'emploi ainsi qu'aux lois sur la protection
des données.
 Veiller au respect des principes suivants : nécessité, légitimité (motifs légitimes),
proportionnalité et transparence.
 Veiller à ce que les données soient conservées en toute sécurité et ne soient
accessibles qu'aux personnes ayant une raison légitime de les consulter.
 Nécessité
 Envisager d'abord d'autres mesures moins intrusives pour cet objectif
 Obligation d'effectuer une AIPD lorsque la surveillance est susceptible
d'entraîner un risque élevé pour les droits et libertés des personnes.
o Une DPIA est requise si le contrôle est une évaluation systémique et
extensive des aspects personnels des individus sur la base d'un
traitement automatique, et sur laquelle se fondent des décisions qui
produisent des effets juridiques ou qui affectent les individus de
manière significative.
 Légitimité
 Le contrôle doit être fondé sur une base légale
 Test de mise en balance des intérêts légitimes : intérêt légitime de l'employeur
contre atteinte aux droits et libertés de l'individu
 L'utilité du consentement pour le suivi est très limitée
 La surveillance qui implique la collecte de données personnelles sensibles est
probablement problématique
 L'UE dispose de lois strictes sur ce qui est considéré comme un contrôle légitime
des employés, prend en compte les conventions collectives et consulte les
comités d'entreprise.
o Les accords conclus entre le comité d'entreprise et l'employeur peuvent
préciser les modalités de surveillance autorisées.
 Le filtrage des courriels pour éviter les virus et le contrôle du temps passé en
ligne sans travailler sont des activités légitimes de l'employeur.
o Impossible de filtrer le contenu de ce que font les employés
53
o Trouver des solutions moins intrusives : bloquer certains sites web,
prévenir les virus plutôt que de les détecter.
 Proportionnalité
 Déterminer si le contrôle proposé est proportionné aux préoccupations de
l'employeur
 Réponse raisonnée et réaliste à une menace potentielle ou connue
o minimisation des données : les données à caractère personnel doivent
être adéquates, pertinentes et limitées à ce qui est nécessaire au regard
de la finalité du traitement
o L'ouverture des courriels est disproportionnée
 Si les conventions collectives approuvent le contrôle, la proportionnalité est
probablement respectée
 Transparence
 Les employeurs doivent fournir des informations suffisantes sur les activités de
contrôle
 La définition des attentes permet de s'assurer que la surveillance est légale : si
les employés n'ont pas été informés de la surveillance, ils peuvent s'attendre à
un niveau plus élevé de protection de la vie privée.
 La loi reconnaît que les employés jouissent d'un certain degré de confidentialité
sur leur lieu de travail
 Politique d'utilisation acceptable des équipements de communication, y compris
le degré d'utilisation privée des équipements de l'employeur : les employés ont
droit à une utilisation privée limitée des équipements de l'employeur.
 Les communications privées ne doivent pas être ouvertes ou surveillées
 Parfois, une surveillance secrète est nécessaire : parfois, elle n'est pas autorisée
ou son utilisation est limitée et la police doit être impliquée.
 Informations à fournir par les employeurs
 Politique de l'entreprise en matière de courrier électronique et d'Internet
 Raisons et objectifs de la surveillance effectuée
 Détails des mesures de surveillance prises
 Procédures d'exécution
 L'utilisation de comptes de messagerie électronique est-elle autorisée au
travail ?
 Dispositions prises pour accéder au contenu des courriels des travailleurs
 Période de stockage des copies de sauvegarde des messages
 Informations sur le moment où les courriels sont supprimés des serveurs
 Participation des représentants des travailleurs à l'élaboration des politiques
 Conditions d'autorisation de l'utilisation privée de l'internet
 Systèmes mis en place pour empêcher l'utilisation abusive d'Internet et l'accès à
certains sites
 Informations sur la participation des représentants des employeurs à
l'élaboration et à la mise en œuvre des politiques
 Informer les employés en cas de détection d'une utilisation abusive ; il peut
également être nécessaire d'informer les comités d'entreprise.
 Droits de l'employé accusé : ne pas accuser tout de suite, les erreurs de clics sont
fréquentes
 Surveillance illégale
54
 Difficile de justifier une surveillance qui recueille des données sensibles ou qui
est particulièrement intrusive.
 La surveillance secrète est illégale sans autorisation préalable de la DPA ou sans
exception.
 Les courriers électroniques marqués comme privés ne doivent généralement
pas être lus
o Comités d'entreprise
 Obligation de préserver les droits des travailleurs
 Spécifique à chaque pays : Le Royaume-Uni n'a que des syndicats qui n'ont pas leur mot
à dire sur la manière dont les employeurs utilisent les DP, alors que l'Allemagne et la
France ont des comités d'entreprise forts.
 Par exemple, les comités d'entreprise allemands peuvent s'opposer à
l'utilisation de dispositifs de surveillance des employés.
 Les employeurs s'engagent auprès des CM en (1) notifiant les CM, (2) en consultant les
CM ou (3) en demandant l'approbation des CM.
 Si les WC rejettent une décision, la seule option pour les employeurs peut être
de la contester devant les tribunaux locaux.
 Parfois, le DPA peut ne pas approuver le traitement tant que les WC n'ont pas été
impliqués.
o Systèmes de dénonciation
 SOX : les entreprises américaines ayant des filiales dans l'UE sont soumises à la loi SOX
 L'entreprise doit faciliter la possibilité pour les employés de porter plainte en
cas d'actes répréhensibles (peut être en conflit avec les lois européennes sur les
données).
 L'objectif de la loi est de rendre les entreprises plus responsables, notamment
en ce qui concerne les contrôles internes.
 Les entreprises encouragent les personnes disposant d'informations sur des
fraudes potentielles ou avérées à se manifester et à fournir des rapports
confidentiels.
o Possibilité d'utiliser des agencestierces indépendantes pour contacter les
dénonciateurs
 Préoccupation : la personne faisant l'objet d'une plainte ne peut pas être
confrontée à l'auteur de l'allégation, et l'anonymat pourrait conduire à un abus
de fonction.
 Questions relatives à la conformité au GDPR
 L'analyse d'impact sur le développement durable doit être menée pour le
système de dénonciation.
 Liaison avec les WC avant la mise en œuvre de la méthode
 Les contrats de sous-traitance conclus avec destiers en dehors de l'UE doivent
être conformes à la législation européenne en matière de traitement des
données.
 Les mécanismes de transfert de données en dehors de l'EEE doivent être
conformes à la législation.
 Le consentement des employés peut être requis
 La politique et la procédure de dénonciation doivent être transparentes pour les
employés.
 La politique de dénonciation doit couvrir des éléments spécifiques :
55
 Personnes faisant un rapport (limiter le nombre de personnes pouvant faire un
rapport en fonction de celles qui ont une connaissance directe)
 Personnes incriminées (uniquement celles connues de la personne qui fait la
déclaration)
 Confidentialité plutôt qu'anonymat des rapports (le fait de connaître l'identité
du rapporteur permet de mener une enquête plus précise et plus approfondie).
 Champ d'application des rapports (limiter le champ d'application des questions
à signaler à celles qui affectent la gouvernance de l'entreprise)
 Conservation des données : politique stricte après l'achèvement de l'enquête, et
suppression de tout rapport non fondé.
 Fourniture d'informations : répondre aux exigences du GDPR en matière de
transparence et de notification
 Droits des personnes incriminées : Les droits des personnes incriminées peuvent
être limités si cela affecte l'enquête
 Transferts en dehors de l'EEE : mécanisme étatique utilisé pour légitimer les
transferts
o Politique relative à l'utilisation de votre propre appareil
 L'employeur reste responsable en tant que contrôleur de toutes les données à caractère
personnel traitées sur l'appareil de l'employé à des fins professionnelles en utilisant les
paramètres du courrier électronique professionnel.
 Les entreprises devraient établir une politique pour les appareils personnels utilisés
dans le cadre du travail
 Réfléchir à la manière de gérer les données personnelles contenues dans l'appareil une
fois que l'employé quitte l'entreprise ou que l'appareil est perdu ou volé.
 Activités de surveillance
o Nécessité de trouver un équilibre entre le besoin de surveillance dans l'intérêt de la sécurité
nationale et le droit à la vie privée de l'individu
 L'internet permet de surveiller de plus en plus d'informations sur les particuliers
 Les sociétés sont-elles en train de devenir des sociétés de surveillance ?
o Technologie : les nouvelles technologies rendent nos vies plus sûres, mais génèrent aussi plus de
données
 Aujourd'hui, les activités de surveillance sont menées quotidiennement, tant par le
secteur public que par le secteur privé, pour toute une série d'objectifs légitimes
 La vidéosurveillance et le GSP font partie de la surveillance
o Si la surveillance entraîne une atteinte à la vie privée, il convient de vérifier si l'atteinte est
nécessaire, légale, équitable et proportionnée.
o Réglementer la surveillance
 Des agences publiques et étatiques ou des entités privées peuvent effectuer une
surveillance (sécurité nationale, application de la loi, objectifs privés tels que le droit du
travail).
 Les droits individuels peuvent être restreints si la restriction respecte l'essence des
droits et libertés fondamentaux et constitue une mesure nécessaire et proportionnée
dans une société démocratique.
 La sécurité nationale et publique, la prévention et la détection de la criminalité,
la protection de la DS et des droits et libertés sont des raisons qui justifient
l'application d'une restriction.
 La directive LEDP s'applique aux activités d'application de la loi
56
 Bien que le traitement des données à caractère personnel doive être licite,
équitable et transparent, cela ne devrait pas empêcher les autorités répressives
de mener des activités telles que des enquêtes secrètes ou la vidéosurveillance.
 Les activités peuvent être menées pour autant qu'elles soient prévues par la loi
et constituent une mesure nécessaire et proportionnée dans une société
démocratique, en tenant dûment compte des intérêts légitimes de la personne
physique concernée.
 Les entités du secteur privé peuvent être tenues de conserver et/ou de partager
des données personnelles avec les services répressifs.
o Données sur les communications
 La surveillance moderne s'effectue généralement par des moyens électroniques,
générant du contenu de communication et des métadonnées.
 Métadonnées : données sur les données, informations générées et traitées à la
suite de la transmission d'une communication.
o Données relatives au trafic : type, format, heure, durée, origine,
destination, routage, protocole utilisé, réseaux d'origine et de
destination d'une communication.
o Données de localisation : lat, long, altitude de l'équipement de
l'utilisateur, cellule du réseau
o Données relatives à l'abonné : nom, coordonnées, informations relatives
au paiement
 Les métadonnées peuvent fournir une image complète de la communication et
peuvent être utilisées pour identifier une personne (elles relèvent donc du
GDPR).
 Difficulté d'équilibrer des intérêts juridiques concurrents : limitation de la durée du
GDPR par rapport à la loi sur les télécommunications exigeant des fournisseurs qu'ils
conservent les données d'appel plus longtemps que nécessaire pour le traitement.
 Dans cette affaire, la CJUE a statué en 2014 que la directive était invalide parce
qu'elle portait une atteinte disproportionnée au droit à la vie privée.
o Vidéosurveillance (CCTV)
 Contient des images de personnes qui peuvent être utilisées pour identifier une
personne : il s'agit d'un traitement !
 Chaque fois que l'image d'un individu est capturée, elle est considérée comme une
donnée biométrique.
 Article 9 Catégories particulières de données L'exemption doit s'appliquer
o C peut s'appuyer sur le droit des États membres pour effectuer une
surveillance dans l'intérêt public, dans une zone publique ou dans
l'exercice de l'autorité publique.
 Les entreprises devront probablement s'appuyer sur le test de mise en balance de
l'intérêt légitime pour la base légale, et il est peu probable qu'elles obtiennent le
consentement.
 L'utilisation de la vidéosurveillance ne doit pas l'emporter sur les droits et
libertés des individus
 Une DPIA est requise si la surveillance est considérée comme présentant un risque
élevé, si elle implique une surveillance systématique à grande échelle d'une zone
accessible au public ou si la vidéosurveillance figure sur la liste établie par la DPA
compétente.
57
 L'AIPD devra décrire : le traitement à effectuer, les finalités du traitement, les intérêts
légitimes poursuivis, l'évaluation de la nécessité et de la proportionnalité de la
surveillance, l'évaluation des risques pour les droits et libertés des DS concernés et les
mesures requises pour faire face à ces risques.
 Si la DPIA indique que les risques élevés ne peuvent pas être suffisamment
atténués, le C doit consulter le DPA avant d'utiliser la vidéosurveillance.
o Lorsque l'intérêt public est la base légale, l'État membre peut rendre
obligatoire la consultation de la DPA.
 Solution proportionnée et adéquate, pertinente et non excessive au problème qu'elle
aborde, l'utilisation de la vidéosurveillance ne doit se faire que si d'autres solutions
moins intrusives ne nécessitant pas l'acquisition d'images ont été envisagées et se sont
révélées inapplicables ou inadaptées à l'objectif poursuivi.
 La proportionnalité s'étend également au choix du système et de la technologie
(par exemple, la reconnaissance faciale et la technologie de zoom).
 La proportionnalité signifie également qu'il faut déterminer si les aspects de la
vidéosurveillance utilisés et le traitement des images sont proportionnés à
l'objectif poursuivi par le système de vidéosurveillance.
o Dispositions opérationnelles et de surveillance : aspects opérationnels
clés (types de caméras, positionnement des caméras), voir si la
surveillance d'espaces spécifiques peut être réduite au minimum ;
utilisation de fonctions particulières (zoom, arrêt sur image).
o Conservation des images de vidéosurveillance : ne les conserver que le
temps strictement nécessaire.
o Nécessité de divulguer des informations à des tiers, tels que les forces
de l'ordre
o Les images de vidéosurveillance seront-elles combinées à d'autres
informations pour identifier les individus ?
o Surveillance des zones où l'on s'attend à ce que la vie privée soit
respectée (vestiaires, salles de bains) : autorisée uniquement dans des
circonstances exceptionnelles, pour répondre à des préoccupations très
sérieuses, en informant les personnes concernées qu'elles sont sous
surveillance.
 Autres mesures : formation du personnel, sanctions disciplinaires et juridiques en cas
d'abus, politique en matière de vidéosurveillance (document écrit abordant les
questions importantes liées à la protection de la vie privée), examens réguliers visant à
garantir le respect de la législation et à réexaminer si l'utilisation de la vidéosurveillance
reste justifiée.
 Droits des DS et vidéosurveillance
 Les exigences de transparence s'appliquent toujours, en particulier lorsque les
caméras couvrent un vaste espace public.
o Les informations doivent être visibles et placées à une distance
raisonnable de la zone surveillée.
o Identifier l'objectif de la surveillance et C avec les coordonnées de la
personne à contacter
 Sous réserve du droit d'accès au DS prévu par l'article 15 : la vidéosurveillance
étant conservée pendant de courtes périodes, il pourrait être plus difficile de
faire usage de ce droit.
58
o Si les séquences contiennent des images d'autres personnes, des
mesures doivent être prises pour protéger leur vie privée, comme le
floutage des images.
o Données biométriques
 Données à caractère personnel résultant d'un traitement technique spécifique relatif
aux caractéristiques physiques, physiologiques ou comportementales d'une personne
physique, qui permettent ou confirment l'identification unique de cette personne
physique.
 ADN, empreintes digitales, paumes, veines, odeurs, voix, visage, écriture,
démarche, etc.
 Peut se présenter sous forme brute ou sous forme de modèle biométrique : le modèle
doit comporter suffisamment de détails pour permettre l'identification d'un individu à
partir de la population d'individus stockée dans le système biométrique.
 Principales utilisations des systèmes : identification et authentification
 Pour relever de la catégorie spéciale de l'article 9, le traitement des données
biométriques doit avoir pour but d'identifier de manière unique une personne physique.
o Données de localisation
 Services basés sur la localisation, reposant sur la capacité technique à localiser un
appareil portable
 Dérivé de données générées par le réseau de satellites (GPS), de données mobiles
basées sur les cellules (Cell ID), de données générées par les cartes à puce (cartes de
paiement).
 3 grandes catégories de données de localisation que Google utilise pour fournir ses
services : informations de localisation implicites (à l'aide d'une requête de recherche,
etc.) ; informations sur le trafic Internet (adresse IP, permettant d'appliquer la langue
correcte) ; services de localisation basés sur l'appareil (navigation virage par virage).
 Les données de localisation sont un identifiant, car elles peuvent identifier ou conduire à
l'identification d'une personne : elles sont considérées comme des données à caractère
personnel au sens de la présente définition.
 Même si les utilisateurs désactivent les services de localisation sur leur appareil
ou pour une application, les vulnérabilités d'une application mobile peuvent
être exploitées pour accéder aux données de localisation.
 Les développeurs d'applications doivent décider si les applications utilisant la
géolocalisation entraînent des risques élevés pour les droits et libertés des
individus, auquel cas une DPIA est nécessaire.
 L'historique des localisations peut être utilisé pour faire des déductions sur les
individus, comme les maisons des amis, la religion, l'état de santé, l'affiliation
politique, etc.
 Préoccupations concernant la conservation et l'accès par les autorités publiques
ou les employeurs
o Si l'employeur utilise les données pour suivre la flotte de véhicules sans
lien avec les personnes, il ne s'agit pas de données à caractère
personnel : si les données sont utilisées à des fins liées à l'employé, elles
tombent sous le coup du règlement GDPR.
 Marketing direct
o En général
59
 DM : toute forme de promotion des ventes, y compris les DM émanant d'organisations
caritatives et politiques à des fins de collecte de fonds.
 Il n'est pas nécessaire de proposer quelque chose à la vente, il peut s'agir d'une
promotion gratuite ou d'une simple promotion de l'organisation en général.
 adressés à des personnes particulières (les lois sur le traitement des données
personnelles s'appliquent lorsque les données personnelles des personnes sont
traitées pour leur communiquer des messages de marketing)
 La plupart des DM sont soumis à la législation sur les DP ainsi qu'aux lois sur la
protection des consommateurs et sur la publicité, qui varient d'un État membre à
l'autre.
 La loi applicable peut être celle du lieu où se trouve l'expéditeur ou le
destinataire, ou les deux.
 Il s'agit souvent de données collectées par l'intermédiaire de l'appareil du
consommateur : cookies, données de localisation.
 Les messages push et les messages in-app sont DM !
 Le marketing non ciblé (bannières sur le site web) et les messages purement liés au
service (information sur l'état d'une commande) ne sont pas des DM.
 La directive "vie privée et communications électroniques" s'appliquera au marketing
envoyé par les réseaux de communication électroniques : elle ne s'applique pas au
marketing postal.
 Les C doivent satisfaire à toutes les exigences du GDPR : base légale pour le traitement
(généralement le consentement ou les intérêts légitimes), fourniture d'informations
équitables sur le traitement (transparence), mesures techniques et organisationnelles
appropriées pour protéger les données, pas de transfert en dehors de l'EEE.
 Le DS doit avoir le droit spécifique de refuser ou de se désinscrire des DM envoyés par
C ; s'il est fondé sur le consentement, il peut être retiré à tout moment ; s'il est fondé
sur des intérêts légitimes, le désistement est toujours requis.
 Le DS doit être informé de son droit de retrait, présenté clairement et
séparément des autres informations.
 Le DS doit pouvoir se désinscrire de tous les canaux de commercialisation.
 Les entreprises doivent donner suite aux demandes de retrait dans les délais
impartis, sans frais pour la DS.
 Le DP doit être supprimé, sauf si sa conservation est strictement requise
o Exceptions : nécessaire pour l'établissement, l'exercice ou la défense de
droits légaux, motifs légitimes impérieux pour la poursuite du
traitement l'emportant sur les intérêts du DS en matière de protection
de la vie privée.
 Les données de profilage doivent être supprimées sans qu'il soit possible de se
prévaloir d'une exemption
 Si les personnes demandent à se désinscrire, les C doivent supprimer les
coordonnées plutôt que de les effacer: cela permet d'éviter de récupérer les
coordonnées plus tard et de reprendre le DM.
o C doit conserver un registre des DS qui ne doivent pas recevoir de
communications marketing.
 Listes nationales d'exclusion ("liste Robinson")
o Les États membres peuvent exiger des entreprises qu'elles nettoient la
liste des destinataires du courrier électronique en la comparant aux
60
listes Robinson, ainsi que les registres internes d'exclusion, avant
d'envoyer du matériel de marketing : le non-respect de cette obligation
ne constitue pas une violation des données, mais seulement des lois
nationales.
o Le consentement ultérieur (opt-in) l'emporte sur la liste Robinson
 Impose des exigences en matière de consentement et d'information pour le
marketing par téléphone, fax, courriel, SMS, messages instantanés, notifications
push et autres messages électroniques.
 Nécessité d'un consentement préalable du destinataire
o Exemptions pour le marketing par courrier électronique sur la base de
l'opt-out lorsque le C a obtenu des informations sur le DS par la vente
d'un produit ou d'un service.
 Concerne le marketing basé sur la localisation et les cookies OBA
 Parfois appliqué par l'autorité de régulation des télécommunications au lieu de
la DPA
o Par la poste (la directive "vie privée et communications électroniques" ne s'applique pas )
 Même s'ils ne sont pas électroniques, les principes du GDPR/DP doivent être respectés
(traitement licite, transparence, demandes d'opt-out, autres droits des DS).
 Exigences en matière de consentement
 Aucune exigence directe dans le GDPR, mais certaines règles nationales l'exigent
pour les DM postaux : si ce n'est pas le cas, on se fonde généralement sur les
intérêts légitimes avec un exercice de mise en balance.
 Facteurs à prendre en considération : client existant de C, nature du produit et
des services, DS a-t-il été informé précédemment qu'il ne recevrait pas de DM
postaux ?
 Si la base de l'intérêt légitime n'est pas disponible, le consentement est requis
 Dans certains États membres, la liste des déménageurs doit être nettoyée à l'aide du
registre national d'exclusion, à moins que le DS n'ait donné son accord pour l'inclusion
dans le registre.
o Par téléphone (la directive sur la protection de la vie privée s'applique)
 Exigences en matière de consentement
 Pas d'obligation expresse d'obtenir le consentement, sauf pour les systèmes
d'appel automatisés (qui exigent toujours un consentement explicite).
o Les systèmes automatisés peuvent encore être utilisés pour composer
des numéros afin de faciliter les conversations de personne à personne.
 Les lois des États membres peuvent déterminer si l'autorisation est accordée sur
la base de l'opt-in ou de l'opt-out.
o Le DS doit pouvoir se désengager gratuitement
o La plupart des États membres disposent de registres nationaux
d'exclusion pour le télémarketing.
o Certains États membres exigent des télévendeurs qu'ils mentionnent le
registre national d'exclusion lors de chaque appel et qu'ils offrent le
droit individuel de s'y inscrire immédiatement et gratuitement.
 Les conditions du DP ne s'appliquent pas toujours, les lois varient généralement d'un
État à l'autre.
 Seule une approche unique permet d'obtenir un consentement général
61
 Systèmes d'appel automatisés : certains États membres ont besoin de l'identité et des
coordonnées de l'appelant.
 Certains États membres ont une approche plus souple du télémarketing B2B
 Le GDPR reste d'application, en particulier lorsqu'il s'agit de traiter les DP des
employés pour le B2B DM
 La directive "vie privée et communications électroniques" s'applique de la
même manière au télémarketing B2B et B2C
o Par courriel/SMS (la directive sur la protection de la vie privée s'applique)
 Doit satisfaire aux exigences générales du GDPR, telles que la transparence et la légalité
du traitement.
 Courrier électronique : tout message textuel, vocal, sonore ou visuel envoyé par un
réseau de communication public et pouvant être stocké dans le réseau ou dans
l'équipement terminal du destinataire jusqu'à ce qu'il soit collecté par ce dernier
(définition neutre sur le plan technologique).
 C doit obtenir un consentement préalable (opt-in) et fournir un avis de traitement
équitable lorsque des données seront collectées.
 Exception limitée à l'opt-out lorsque les coordonnées de DS sont obtenues dans
le cadre de la vente d'un produit ou d'un service
o Certains États membres exigent que la vente ait été effectuée, tandis
que d'autres autorisent les contacts de manière générale (sans vente).
 Pour bénéficier de l'exemption, C ne doit envoyer à des personnes que des
messages publicitaires concernant ses propres produits ou services similaires à
ceux qui ont été achetés, ET
o Les données ne peuvent pas être communiquées à des tiers
o Ne pas commercialiser des produits ou des services différents de ceux
liés à la DS
 C doit avoir clairement et distinctement donné aux individus la possibilité de
refuser la prospection par courrier électronique d'une manière simple et
gratuite au moment de la collecte initiale des données et dans chaque
communication commerciale.
o Généralement par le biais d'une case à cocher lors de la collecte des
données
 Doit envoyer un DS avec une adresse valide pour demander l'exclusion, par le moyen
approprié par lequel la communication marketing a été envoyée.
 C ne doit pas dissimuler ou déguiser l'identité de l'expéditeur, veiller à ce que le
message soit clairement identifié comme étant un message commercial, veiller
à ce que toute offre promotionnelle soit clairement identifiée et que les
conditions y afférentes soient facilement accessibles et sans ambiguïté, et que
les jeux ou concours promotionnels soient clairement identifiables et que les
conditions de participation soient facilement accessibles et présentées de
manière claire et sans ambiguïté.
o Par télécopie (la directive sur la protection de la vie privée s'applique)
 Le GDPR, y compris les exigences en matière de transparence et de traitement licite,
s'applique.
 Exigence de consentement : obligation d'obtenir un consentement préalable avant
d'envoyer un fax
 Présenter un avis de traitement équitable lors de la collecte des données
62
 Lorsque les États membres autorisent actuellement la prospection par télécopie
interentreprises sur la base de l'opt-out, les entreprises peuvent être tenues, en vertu
de la législation nationale, de nettoyer les contacts de prospection par télécopie prévus
en les inscrivant dans le registre de l'opt-out.
o Géolocalisation (la directive sur la vie privée et les communications électroniques s'applique)
 Données de localisation : toutes les données traitées dans un réseau de communications
électroniques ou par un service de communications électroniques, indiquant la position
géographique de l'équipement terminal d'un utilisateur d'un service de communications
électroniques accessible au public.
 Inclut la latitude et la longitude, l'altitude et la direction du voyage.
 Ne s'applique qu'aux données indiquant la position de l'équipement terminal, et
non la localisation d'une personne-> l'affichage de la localisation sur Facebook
ne s'applique pas (mais le GDPR s'appliquera quand même, mais pas l'ePD).
 Soit sur la base des données de localisation du smartphone (passage dans un magasin),
soit sur la base du téléchargement vers les réseaux sociaux.
 Les données géolocalisées sont des données à caractère personnel, le GDPR s'applique
donc : les exigences en matière de transparence et de traitement licite s'appliquent
 Consentement : consentement préalable requis pour les "services à valeur ajoutée".
 Exemption : données anonymes, mais il est peu probable que cette exemption
s'applique de manière réaliste.
 Le DS doit d'abord être informé des types de données de localisation collectées et
traitées, des finalités et de la durée du traitement, et de la transmission éventuelle à des
tiers.
 Souvent difficile à fournir de manière conviviale, la meilleure pratique consiste à
inclure des informations sur l'utilisation des données de localisation à des fins
de marketing dans la politique de confidentialité de l'application.
 C doit offrir au DS la possibilité de retirer son consentement à l'utilisation de la
localisation pour le DM, et doit être disponible pendant toute la période où les données
de localisation du DS sont traitées.
 Doit offrir à la fois un droit de retrait complet et un droit de retrait temporaire
pour chaque connexion au réseau ou pour chaque communication.
o Publicité comportementale en ligne (OBA) - Cookies ! (la directive "vie privée et communications
électroniques" s'applique)
 La publicité sur le site web qui est ciblée sur les individus sur la base de l'observation du
comportement au fil du temps, fournit une publicité plus pertinente par rapport aux
droits et aux intérêts des individus, améliore l'efficacité de la publicité et le taux de clics.
 Les C peuvent faire des recommandations aux DS sur la base de leurs interactions
antérieures avec un site web.
 Les réseaux publicitaires peuvent suivre les comportements sur plusieurs sites
web non affiliés afin de cibler la publicité sur tous les sites.
 Cookie placé sur l'ordinateur pour collecter des informations, enregistrer les
préférences et les renvoyer au réseau.
o Un profil est éventuellement attribué à l'utilisateur (nouvelle mère,
jeune professionnel).
 La question est de savoir si un profil en ligne sans connaissance de l'individu réel peut
être considéré comme un DP et donc relever du GDPR.
 Considéré comme un "profilage"
63
 L'OBA permet de suivre les utilisateurs d'un ordinateur spécifique, même
lorsque des adresses IP dynamiques sont utilisées, de sorte que les utilisateurs
peuvent être identifiés même si leur nom réel n'est pas connu.
 Quelle entité est le responsable du traitement des données ?
 Les réseaux publicitaires entrent souvent en ligne de compte parce qu'ils
contrôlent totalement l'objectif et les moyens de traitement des informations
relatives aux visiteurs des sites web : les réseaux publicitaires louent de l'espace
aux éditeurs de sites web, définissent et lisent des informations relatives aux
cookies et collectent des adresses IP et d'autres données.
 L'éditeur d'un site web peut être un contrôleur conjoint avec un réseau
publicitaire en engageant les réseaux publicitaires à observer l'OBA par
l'intermédiaire de leurs sites web.
o Le réseau et les éditeurs devraient convenir par contrat de la personne
qui informera les visiteurs de l'utilisation de leurs données personnelles
à des fins de publicité extérieure, et de la manière dont les visiteurs
auront la possibilité de s'y opposer.
 Les annonceurs peuvent être des contrôleurs de données indépendants :
l'annonceur surveille l'activité de navigation ultérieure de l'individu et la
combine avec le profil de ciblage relatif à l'individu.
 **Toutes les parties concernées peuvent avoir des exigences de conformité
 L'ePD s'applique indépendamment du fait que le GDPR soit considéré ou non comme
applicable
 Mention explicite des cookies dans l'ePD
o L'utilisation de cookies n'est autorisée qu'à condition que la personne
ait donné son consentement, après avoir reçu des informations claires
et complètes (consentement préalable en connaissance de cause).
o Le consentement doit être une indication spécifique de leurs souhaits,
librement donné et révocable : la participation active de l'utilisateur est
requise, les mécanismes passifs d'exclusion sont insuffisants.
 L'utilisation des paramètres du navigateur est généralement insuffisante pour
obtenir le consentement
o Si le navigateur est configuré par défaut pour ne pas accepter de
cookies et que l'utilisateur le modifie activement pour accepter les
cookies, cela pourrait potentiellement s'appliquer.
 La plupart des solutions OBA impliquent l'utilisation de cookies de tiers : lien vers la
politique de confidentialité du tiers.
o Application de la loi
 Amendes et sanctions administratives imposées par les autorités chargées de la
protection des données
 Responsabilité civile et parfois pénale
 Directive vie privée et communications électroniques : recours juridictionnels,
responsabilités et sanctions du GDPR appliqués aux infractions à la directive vie privée
et communications électroniques
 Peut être appliqué par les autorités de protection des consommateurs et de
régulation des télécommunications plutôt que par les autorités chargées de la
64
 Nouveau droit établi pour les particuliers et les entreprises ayant un intérêt
légitime dans la cessation ou l'interdiction du spam d'intenter une action privée
contre les commerçants qui ne respectent pas les règles (on s'attend à ce que
les fournisseurs de services Internet intentent ces actions).
 Technologie de l'Internet et communications
o Informatique en nuage
 La fourniture de technologies de l'information sur l'internet (logiciels, infrastructure,
hébergement, plates-formes)
 Modèles de service : Infrastructure, plate-forme ou logiciel en tant que service
 La structure du service est partagée entre les clients du fournisseur dans un certain
nombre de pays.
 L'ARTICLE 3 S'APPLIQUE PROBABLEMENT : activités de l'établissement du responsable
du traitement dans l'UE OU offre de biens ou de services à des personnes physiques
dans l'UE, ou surveillance de leur comportement.
 Weltimmo (1er test) : l'établissement dépend du degré de stabilité des accords et
de l'exercice effectif des activités.
o Un site web ciblant la Hongrie, utilisant la langue hongroise, avec un
représentant en Hongrie pour les procédures judiciaires/le
recouvrement de dettes, une boîte aux lettres en Hongrie et un compte
bancaire hongrois suffisent pour s'établir en Hongrie.
o Des activités minimales peuvent constituer un établissement
 Google v. Spain: le lien économique entre le PD de traitement de données non
européen et l'établissement basé dans l'UE peut signifier que les activités du PD
sont soumises à la réglementation.
 2e test : il n'est pas nécessaire de déterminer si l'établissement est situé dans
l'UE
o ***Même si P n'est pas directement soumis à la législation en vertu de
ces deux critères, si le client relève de la législation de l'UE, P devra
également s'y conformer !
 C v. P : C détermine comment et pourquoi le DP est traité, P agit selon les instructions
de C
 Si P détermine certains éléments substantiels et essentiels du traitement, tels
que la conservation des données, ils pourraient devenir un C
 Important, car les ordinateurs en nuage cherchent à utiliser les données
personnelles collectées par les clients à leurs propres fins.
 Contrats de service régis par le GDPR avec une liste détaillée d'obligations pour le sous-
traitant :
 Inclure des informations sur l'objet, la durée, la nature et la finalité du
traitement, avec le type de données à caractère personnel et les catégories de
DS.
 Le DP n'est traité que sur la base d'instructions documentées, y compris les
transferts de données.
 Personnes traitant des données soumises à une obligation de confidentialité
 Des mesures de sécurité plus normatives
 Les Cs sont informés des sous-P et disposent d'un droit d'opposition
 Tous les sous-P ont les mêmes obligations contractuelles que les Ps
65
 Mesures prises pour s'assurer que les C peuvent remplir toutes leurs obligations
avec l'aide des PS (par exemple, notification au DS d'une violation de données,
réalisation d'une DPIA, etc.)
 Tous les DP sont supprimés ou renvoyés une fois la prestation de services
terminée.
 Contrôle du respect du contrat autorisé
 Les C cherchent également à obtenir des dispositions contractuelles normales,
telles que l'indemnisation en cas d'utilisation abusive du DP par le P
 ***ALSO P n'est pas responsable des obligations réglementaires de C
 Transferts internationaux de données
 Les entreprises doivent être en mesure de présenter des garanties pour la
protection du DP transféré : options
o Limitations géographiques (peuvent aller à l'encontre de l'objectif du
nuage, augmenter les coûts)
o Choisir des fournisseurs certifiés Privacy-Shield aux États-Unis
o Utiliser des clauses types
 Difficile à construire pour les transferts à des parties multiples
 Doit être mis à jour au fur et à mesure de l'évolution du
processus
 sont rigides
o Accords de transfert de données sur mesure (doivent être approuvés
par les régulateurs)
o BCR pour les Ps (permet aux Cs d'utiliser les informations transférées
par les Ps)
o Codes de conduite et certification (nouveau avec le GDPR)
o Dérogation à l'article 49 : inclut le consentement
o Cookies
 Cookie : petit fichier texte délivré par le serveur d'un site web sur l'ordinateur des
visiteurs de ce site (empreinte digitale de l'appareil) -> limité sur les appareils mobiles et
les applications.
 Permet d'adapter les offres du site web et de maintenir la sécurité des personnes
lorsqu'elles sont connectées au site web, ainsi que de faciliter la publicité ciblée.
 Liées à des informations qui ne sont pas personnellement identifiables (adresses IP,
heure de la visite d'un site web, etc.) mais qui, mises ensemble, peuvent créer un profil
d'identité des habitudes de navigation : il s'agit de données à caractère personnel au
sens du GDPR car les cookies collectent des données personnelles pour développer le
profil !
 Si le profil est lié au nom, à l'adresse électronique ou à l'adresse postale, il s'agit
assurément de données à caractère personnel.
 Les données pseudonymes comprennent les profils qui peuvent être reliés à une
personne, même si C n'a pas l'intention d'établir ce lien.
 Vidal-Hall v. Google: profils des habitudes de navigation utilisés pour créer des profils
pour des publicités ciblées
 La Cour d'appel anglaise a jugé que les profils étaient des DP et que l'utilisation
des profils par Google était répréhensible car même si Google ne savait pas qui
était la personne, d'autres personnes utilisant l'appareil le savaient
66
probablement et obtiendraient des informations sur la personne sur la base de
publicités ciblées.
 Les adresses IP sont désormais explicitement considérées comme des DP dans le GDPR
 La législation de l'UE s'applique aux sites web de pays tiers en raison dudeuxième volet du
test de l'article 3.
 La directive "vie privée et communications électroniques" est également applicable
 Le stockage d'informations ou l'accès à des informations n'est autorisé que si le
consentement est donné sur la base d'informations claires et complètes
(exemption pour les cookies nécessaires).
o L'utilisateur doit être informé de l'envoi et de la finalité des cookies.
o L'utilisateur doit donner son consentement avant que le cookie ne soit
placé
o L'utilisateur doit avoir le choix de donner son consentement et fournir
une indication active que le consentement est donné.
 Débat sur la question de savoir si le consentement donné par le biais des
paramètres du navigateur est suffisant
o Suffisante SI : (1) le navigateur rejette les cookies par défaut, (2) les
paramètres fournissent des informations claires, complètes et
parfaitement visibles sur l'utilisation et l'objectif des cookies, et sur la
manière de les refuser, (3) les utilisateurs doivent prendre des mesures
positives pour accepter la mise en place de cookies et la récupération
permanente des données qu'ils contiennent, et (4) il est impossible de
contourner les choix effectués par les utilisateurs dans leurs
paramètres.
 Les sites web doivent fournir des informations complètes et transparentes sur leur
utilisation des cookies.
 Les adresses IP sont des DP, car les FAI peuvent relier l'adresse à un client particulier.
 Les organisations peuvent toujours établir le profil de l'utilisateur IP et faire la
distinction sur la base de l'adresse IP, et peuvent demander aux FAI d'identifier
les utilisateurs IP.
 Breyer c. Allemagne (adresses IP dynamiques)
o Les adresses IP statiques et dynamiques peuvent constituer des DP
entre les mains d'organisations autres que les FAI.
o Moteurs de recherche
 traiter de grandes quantités de données, y compris les adresses IP des utilisateurs, les
cookies (utilisés pour personnaliser et améliorer les services), les fichiers journaux des
utilisateurs (ce qu'ils ont recherché précédemment), les pages web de tiers
 Lorsqu'ils établissent des profils, comme les fichiers journaux des utilisateurs, et gèrent
des pages web detiers, les moteurs de recherche sont des C pour le DP.
 Pages web detierces parties car SEOs, etc.
 Ledeuxième volet de l'article 3 s'applique généralement, habituellement en dehors de l'EEE,
mais en surveillant le comportement.
 Il pourrait également être soumis en tant que sous-traitant lorsque des pages
detiers sont soumises au GDPR.
 Google c. Espagne: Les activités de Google Spain et de Google Inc. étaient
"inextricablement liées" en raison du rôle de Google Spain dans la vente de l'espace
publicitaire nécessaire à la viabilité économique du moteur de recherche de Google Inc.
67
 Autres questions
 Conservation des données : doit respecter l'exigence de proportionnalité, 6
mois maximum, puis supprimer ou rendre anonyme de manière irréversible.
 Traitement ultérieur pour une finalité différente : les paramètres doivent être
clairement définis et les utilisateurs doivent être informés de la finalité (par
exemple, si les données de l'utilisateur sont corrélées entre les plateformes et
les services, le consentement de l'utilisateur doit être obtenu).
o Si les moteurs de recherche relient les données entre les sources, cela
peut être illégal si les personnes ne reçoivent pas les informations
nécessaires pour un traitement équitable lorsque les données sont
collectées et si elles n'ont pas le droit de refuser le profilage.
 Respect des droits du DS : utilisateurs enregistrés et non enregistrés, correction
ou suppression des données personnelles mises en cache (droit à l'oubli)
o Réseaux sociaux
 Fournisseurs de SRS = Cs, même en dehors de l'EEE (mêmes considérations que pour les
moteurs de recherche)
 Les SRS doivent s'assurer que les applicationstierces sont également conformes au GDPR
 Les utilisateurs de SRS peuvent être exemptés en vertu de l'"exception domestique" ou
de l'exception relative à l'utilisation des DP à des fins journalistiques, artistiques ou
littéraires.
 Ne s'applique pas si le SRS est utilisé par l'organisation (les utilisateurs sont des
C dans le cadre du GPDR).
 Si l'utilisateur étend sciemment l'accès aux données à caractère personnel à
d'autres contacts que ceux qu'il a sélectionnés (dans ce cas, il s'agit également
de C)
 Informations à fournir par les fournisseurs de SRS
 Avis d'utilisation de la DP à des fins de marketing et option de refus (le cas
échéant)
 Avis que le DP sera partagé avec des tiers spécifiques
 Explication du profilage effectué
 Informations sur le traitement des DP sensibles
o Consentement explicite du DS requis pour la mise à disposition sur
Internet
o Les SRS doivent préciser que la fourniture de données est entièrement
volontaire
o Les photos peuvent contenir des données sensibles, mais à moins que
l'objectif ne soit de révéler ces données, elles ne seront généralement
pas prises en compte dans ce domaine.
 Avertissements concernant les risques pour la vie privée
 Avertissement concernant le consentement destiers nécessaire lors du
téléchargement de données d'autrui telles que des photos
 Si un SRS recueille et agrège des données personnelles de non-utilisateurs (par exemple,
un utilisateur qui télécharge une liste de contacts), puis crée un profil, ce traitement est
illégal au regard du GDPR car la personne dont le profil est créé n'est pas en mesure
d'être informée de ce traitement.
 ENFANTS
68
 Pour les personnes âgées de moins de 13 à 16 ans (en fonction du pays), le
consentement d'un parent doit être donné.
 Les motifs d'intérêt légitime pour le traitement peuvent ne pas être disponibles
 Les C doivent tenir compte de l'intérêt supérieur de l'enfant
 Activités de sensibilisation et traitement équitable et licite
 Les DP sensibles ne doivent pas être demandés, des paramètres par défaut
respectueux de la vie privée doivent être adoptés et les mineurs ne doivent pas
être ciblés par le marketing direct.
o Applications mobiles
 Les applications ont accès aux données mobiles stockées, utilisées pour offrir des
services innovants aux utilisateurs, peuvent être renvoyées aux développeurs
d'applications et associées à un appareil particulier (y compris la localisation, les photos,
les courriels, l'historique de navigation sur Internet, l'altitude, l'audio, la vidéo, la
vitesse, les interactions de l'utilisateur).
 Les DP spéciaux peuvent également être révélés par le lieu (par exemple, des
visites répétées dans une église).
 Les données collectées dans les applications sont susceptibles d'être considérées
comme des données à caractère personnel
 La directive "vie privée et communications électroniques" s'applique également, en
particulier si des cookies sont utilisés.
 Les cookies ne sont généralement disponibles qu'à l'intérieur de l'application qui
les a créés.
o Pour cette raison, les annonceurs ont développé de nouvelles méthodes
de suivi
o Lorsque de nouvelles méthodes sont utilisées, elles requièrent
également le consentement du DS.
 Le développeur de l'application sera probablement le C des données, à moins que
l'application ne traite les données sur le téléphone mais ne les renvoie pas au
développeur.
 De nombreuses autres parties sont susceptibles d'être impliquées en tant que
transformateurs.
 Les tiers peuvent également devenir des contrôleurs
 L'accès des applications à des éléments tels que les contacts et les photos nécessite le
consentement de l'utilisateur
 Avis : il est difficile de fournir des informations adéquates dans un espace restreint
 Des icônes ou des symboles visuels peuvent être de meilleurs outils
 Avis stratifiés avec des liens vers des informations complètes
 L'avis et la politique de confidentialité doivent être communiqués avant le
téléchargement de l'application.
 Consentement : la directive "vie privée et communications électroniques" exige le
consentement avant de stocker des informations sur un appareil, ce qui inclut le
téléchargement d'une application.
 Peut être exigé comme motif légitime, d'autres motifs peuvent ne pas être
disponibles (comme l'intérêt légitime pour des informations intimes sur la
localisation).
69
 Le consentement au traitement des données qui n'est pas essentiel à la
fourniture des fonctions de l'application n'est généralement pas valable si
l'utilisateur doit le donner pour pouvoir utiliser l'application.
 Le consentement doit être spécifique, il n'y a pas de consentement parapluie
pour tout traitement par l'application.
 Minimisation des données : les données à caractère personnel doivent être adéquates,
pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles
elles sont traitées.
o Internet des objets
 Objets de la vie courante connectés à l'internet (Home Nest, Alexa, etc.)
 Les capteurs recueillent fréquemment des informations sur des personnes identifiables
 C v. P : mêmes considérations que pour les appareils mobiles
 Sécurité difficile à assurer en raison du grand nombre d'objets connectés au même
réseau (grand nombre de points d'entrée malveillants) et du fait que les logiciels sont
moins susceptibles d'être mis à jour avec des correctifs de sécurité.
 Les réseaux doivent être conçus de manière sécurisée, et la protection des
données doit être prise en compte dès la conception.
 Avis et choix
 Comment donner aux individus les notifications équitables requises par le GDPR
(autocollants ?)
 Le consentement est généralement le motif le plus approprié pour le traitement
: il peut être nécessaire d'intégrer des mécanismes de consentement dans les
appareils eux-mêmes.
70

Aperçu Du CIPP E

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aperçu Du CIPP E

Transféré par

Droits d'auteur :

Formats disponibles

Aperçu du droit et de la pratique en matière de protection des données en Europe

Section I : Introduction à la protection européenne des données

Section II : Loi et règlement européens sur la protection des données

Vous aimerez peut-être aussi