Académique Documents
Professionnel Documents
Culture Documents
-Le Digital MArket Act (DMA) (concerne GAFAM) et le Digital Service Act (DSA), reflètent la volonté de
l'Union européenne de réglementer de manière plus stricte le secteur numérique, en mettant l'accent sur la
concurrence équitable, la protection des consommateurs et la responsabilité des acteurs du numérique.
Elles sont actuellement en cours d'examen et de négociation au sein des institutions de l'UE avant leur
éventuelle adoption en tant que lois.Le premier est entré en application le 2 mai 2023, le second le 25 août 2023.
On connaît désormais le champ d’application matériel du RGPD ; il faut des DCP (toute info sur une
personne physique identifiée ou identifiable) et un traitement qui ne soit pas dans l’exclusion.
Le critère de ciblage
-Critère posé à l’article 3.2 du RGPD: le critère de ciblage se réfère à la question de savoir si le RGPD
s'applique à une entreprise ou à une organisation qui n'est pas établie physiquement dans l'Union
européenne (UE), mais qui traite des données personnelles de résidents de l'UE ou offre des biens ou
des services à des résidents de l'UE.
-Condition que l’organisme offre des biens ou des services aux résidents de l'UE, ou qu'elle suit leur
comportement en ligne, notamment par le biais de cookies ou de technologies similaires, on a pas besoin
d’être dans le cadre d’une activité commerciale pour que le traitement rentre dans le champs du RGPD (ex: sites
internet, réseaux sociaux etc).
Les acteurs de la protection des données à caractère personnel: personne concernée, RT, sous-traitant,
DPO, AAI,
Les protagonistes de la protection des données
Les cookies
Concernant les cookies, c’est la directive 2002 58 CE modifiée en 2009 et qui est transposée à l’article 82 de
la loi info et liberté.
-Le premier point est que le consentement préalable de l’utilisateur est nécessaire avant le stockage
d’informations sur son terminal, ou l’accès à des infos déjà stockées sur celui-ci.
Une exception qui permet de se dispenser du consentement de la personne concernée : si ces actions sont
strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par
l'utilisateur ou ont pour finalité exclusive de faciliter une communication par voie électronique.
-C’est un fichier qui est stocké sur le terminal d’un utilisateur (ordi, téléphone etc) qui va être associé à un
domaine web, et automatiquement renvoyé en cas de contact ultérieur avec le domaine. Ces petits fichiers vont
contenir des infos variées qui vont être accessibles par exemple par la fashion id (historique d’achat, identifiants
de connexion, pages consultées etc)
Toutes les données enregistrées sont des données à caractère personnel.
-Les cookies internes sont créés et gérés par le site web que l'utilisateur visite directement. Ils sont associés au
domaine spécifique du site web dans la barre d'adresse du navigateur. Ils sont généralement utilisés pour des
raisons techniques ou fonctionnelles liées au bon fonctionnement du site. Par exemple, ils peuvent stocker des
informations de session, des préférences utilisateur ou des paniers d'achat.
-Les cookies tiers sont créés et gérés par des domaines différents de celui du site web que l'utilisateur visite. Ils sont
souvent utilisés par des tiers, tels que des annonceurs ou des services d'analyse, pour collecter des données sur le
comportement de l'utilisateur sur divers sites web, à des fins de suivi, de profilage ou de publicité ciblée.
Par exemple : Lorsque vous visitez un site web d'actualités, et que ce site intègre des publicités provenant d'une
régie publicitaire tierce, les cookies utilisés pour suivre votre comportement de navigation et afficher des publicités
personnalisées sont des cookies tiers.)
La personne concernée
C’est la personne physique à laquelle les données personnelles se rapportent.
Défini à l’article 4§1 du RGPD.
Quelques exemples : un usager qui bénéficie de protection sociale, un salarié qui reçoit son bulletin de paie, un
représentant syndical conduisant une voiture professionnelle muni d'un dispositif de géolocalisation.
Signifie que le responsable du traitement doit être en mesure de rendre des comptes.
-On le retrouve à l’art5§2RGPD ainsi qu’à l’art 24. L’idée derrière ce principe est de laisser une plus grande
marge de manœuvre au responsable de traitement, ce qui va se manifester par des règles de droit souples.
-De l’autre côté, on responsabilise les responsables de traitement en leur imposant de pouvoir démontrer
qu’ils mettent en oeuvre des mesures pour assurer leur conformité au règlement.
-Avec le RGPD, on bascule d’un contrôle à priori à un contrôle à posteriori.
En effet, avant le RGPD, les responsables de traitement étaient principalement soumis à des obligations
préalables à la mise en oeuvre d’un traitement de données à caractère personnel qui conditionnait la licéité du
traitement.
Pour les traitements les plus risqués, un régime d’autorisation, voir d’avis, par l’autorité de contrôle était de mise.
Lorsque le risque était modéré, les responsables de traitement devaient effectuer des déclarations de traitement à
la CNIL. Lorsque le risque était très faible, ils étaient dispensés de déclaration.
Le RGPD met donc fin au régime de formalité préalable et lui substitue le principe d’accountability.
Le principe de responsabilité implique qu’il est attendu des responsables de traitement qu’ils adoptent une
méthode et une stratégie composée de mesures qui vont concrétiser les obligations et principes du RGPD.
➜ méthode en partie composée de formalités obligatoires. C’est notamment le cas de l’établissement d’un registre des
traitements, de la désignation d’un DPO, de la réalisation, dans certains cas, d’une analyse d’impact et de la conclusion de
certains contrats, notamment entre les responsables conjoints de traitement et entre le responsable de traitement et son ou ses
sous-traitants.
-Ce principe de responsabilité implique d’autres mesures. Concernant la nature de ces mesures, le considérant 74
du RGPD précise qu’il appartient au responsable de traitement de « prendre des mesures techniques et
organisationnelles appropriées pour s’assurer de la conformité du traitement ». Ces mesures ne sont pas précisées
en amont car leur caractère adéquat dépends de chaque traitement. On attends du responsable de traitement
qu’il prenne les mesures adaptées.
L’art24§1RGPD précise toutefois qu’il doit prendre en compte le type et le contexte du traitement, la nature des
données traitées, la finalité poursuivie et les risques du traitement pour les droits et libertés.
Ces mesures ne sont pas fixées pour toujours. Le RGPD précise qu’elles doivent « être ré examinées et
actualisées si nécessaire ».
On attends donc du responsable de traitement qu’il désigne les procédures appropriées et qu’elles restent
appropriées au fil du temps.
L’OBLIGATION DE POUVOIR DÉMONTRER SA CONFORMITÉ
Le responsable de traitement doit pouvoir rendre compte des mesures prises et donc disposer des éléments de
preuve qu’il peut présenter. Concrètement, il doit disposer d’une documentation renseignant les mesures prises,
l’explication de ses décisions et lui permettant de justifier ses choix.
Les principes de protection des données dès la production :”Privacy By Design”
LE PRINCIPE DE LA PROTECTION DES DONNÉES DÈS LA CONCEPTION
-Ce principe impose la prise en compte de la protection des données personnelles dès la conception des
traitements.
Autrement dit, la protection des données doit être intégrée dans toutes les étapes du processus de
traitement et donc ne doit pas être seulement conçue comme une étape supplémentaire ou parallèle à la
conception du traitement .
Le responsable de traitement doit mettre en œuvre tant au moment de la détermination des moyens du
traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles
appropriées. On demande à ce dernier de prendre en compte le contexte du traitement et ses risques.
-Exemple : quand la conception d’un logiciel intègre d’emblée la possibilité de supprimer des données personnelles
conformément au droit à l’effacement des personnes concernées.
On distingue 4 catégories d’outils : les outils de chiffrement, les outils de politique de protection des
données, les outils de filtre, les outils d’anonymisation.
Problème à souligner concernant le principe de protection des données dès la conception qui est le fait que
l’obligation pèse sur le responsable de traitement sauf que la plupart du tempos ce dernier ne conçoit pas
le logiciel, il l’achète et les concepteurs de logiciel ne sont pas, eux, concernés par cette obligation. Dès lors, cela implique un
alignement indirect des concepteurs de logiciel. ➜ la cible n’est pas forcément la bonne ici.
Le sous traitant
Définition d’un sous traitant
1. La notion est définie est l'article 4.8 du RGPD « «sous-traitant», la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement;… »
Ca peut être un prestataire de service info, intégrateur de logiciel, société de sécurité informatique, des agents de
marketing etc
-Le sous traitant ne peut pas traiter de données pour son propre compte, et seulement les instructions
documentées du responsable de traitement. Le sous traitant peut voir sa responsabilité engagée.
-Le responsable de traitement doit vérifier que le sous traitant dispose de garanties suffisantes.
-Le sous traitant ne peut pas sous traité sans autorisation du responsable de traitement et le sous traitant doit
prendre des engagements liés à l'article 28 du RGPD « Le traitement par un sous-traitant est régi par un contrat
ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard
du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de
données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du
responsable du traitement. »
Les AAI
Les AAI rebaptisées, autorités de contrôle.
Il y a deux types d’autorités : le CEPD incorporé au sein de l’UE indépendant, et les autorités de contrôle
nationales.
En 2022, la CNIL a déposé 21 sanctions, 13 ont été rendue publiques et 147 mises en demeure.
-Concernant les manquements observés, le plus fréquent est le défaut d’informations, défaut de
coopération avec la CNIL, le non respect du droit des personnes concernées.
-Le tiers des sanctions portent sur des manquements en lien avec la sécurité des données, 4 sanctions sont liées à
une mauvaise gestion des cookies (de traceur) et 3 sont liées à des manquements en lien avec la prospection
commerciale.
-Par exemple, le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE
d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données
médicales de près de 500 000 personnes.
-La CNIL a sanctionné microsoft et tiktok car ces sociétés n’ont pas mis en place des moyens de refuser des
cookies aussi facilement qu’elles sont acceptés.
Les autorités de contrôle et de traitement transfrontalier (interne de l’UE)
L'identification des situations de traitements transfrontaliers
-On parle soit d’un traitement qui se déroule dans le cadre de l'établissement situés dans plusieurs Etats
membres de l’UE, et le RT ou le ST est établi dans plusieurs Etats également.
Deuxième situation : le traitement est lié à un établissement unique situé dans 1 seul Etat membre mais qui
affecte sensiblement des personnes dans plusieurs Etats membres.
(sensiblement=tous les traitements ne sont pas forcément concernés).
Le principe de l'autorité chef de file
L’essence-même du principe de l’autorité chef de file établi par le règlement général est que le contrôle du
traitement transfrontalier ne doit être effectué que par une seule autorité de contrôle dans l’Union. Lorsque
des décisions portant sur différentes activités de traitement transfrontalier sont prises au sein de l’administration
centrale dans l’Union, il n’y aura qu’une seule autorité de contrôle chef de file pour les diverses activités de
traitement de données effectuées par la société multinationale.
-Il se peut toutefois qu’un établissement autre que le lieu de l’administration centrale prenne des décisions
autonomes quant aux finalités et aux moyens d’une activité de traitement spécifique.
-Cela signifie que, dans certaines situations, plusieurs autorités chefs de file peuvent être identifiées à savoir
lorsqu’une société multinationale décide de disposer de différents centres de décision, situés dans différents pays,
pour différentes activités de traitement.
L'autorité chef de file est généralement l'autorité de contrôle de l'État membre où se trouve l'établissement
principal de l'entreprise ou de l'organisation ou bien en fonction du lieu où sont prises les décisions.
Compétences
Concernant ses compétences, en principe elle est le seul interlocuteur d’un responsable de traitement pour
tous les traitements transfrontaliers qu’il effectue. C’est aussi la seule autorité qui adopte des décisions
contraignantes comme des sanctions à l’encontre de ce responsable de traitement et concernant ces traitements.
En cas d’application de plusieurs autorités de contrôle, l’autorité cheffe de file coordonne les autres autorités de
contrôle. Cette dernière prends des décisions valables dans l’UE en concertation avec les autres autorités de
contrôle national.
-Deux exceptions où la compétence de cette dernière peut être détournée : lorsque le traitement litigieux
concerne uniquement un établissement dans l’É membre dont relève l’autorité de protection ou lorsque le
traitement affecte sensiblement les personnes concernées de cet É membre; la deuxième exception c’est en
cas de circonstances exceptionnelles ou d’urgence qui permet à n’importe quelle autorité de prendre des
mesures provisoires. En cas de désaccord entre les autorités nationales, c’est le CEPD qui adopte une décision
contraignante pour l’autorité cheffe de file dans le cadre, toujours, de sa compétence.
Quelques affaires en exemple … META s’était fait épinglé pour ses activités sur Instagram, FB. Concernant FB et
Instagram, ce qui posait problème c’était la licéité et la différence de traitement à des fins d’analysés
comportementales. Concernant WhatsApp, il était question de la licéité du traitement mis en place aux fins
d’améliorations de son service. ➞ mise en application de l’autorité cheffe de file qui devait prendre une
décision sur ces points. Les autorités nationales étaient en désaccord avec la décision de cette autorité
cheffe de file =la procédure de règlement des litiges du CEPD. Le CEPD se prononce alors c/ la commission
irlandaise pour la protection des données; prononce plusieurs décisions en date du 06.12.2022 qui ont poussé
l’autorité irlandaise à s’aligner avec deux décisions du 04.01.2023.
➥ Fb et Instagram faisaient reposer leur traitement de données sur la base légale de l’exécution du contrat et sur
l’intérêt légitime de l’entreprise. Le CEPD considère alors à ce moment que l’exécution de ces traitements devaient
reposer non pas sur le contrat/ l’intérêt légitime mais sur le consentement, indépendamment ou non de leur
inscription sur le réseau social.META se plie que partiellement à la sanction à partir du 05.04 ➞ les utilisateurs
pouvaient alors demander à ne plus voir de publicités qui étaient basées sur les contenus des vidéos qu’ils avaient
visionnés sur le réseau social. Le problème est alors que cette option été accessible seulement après avoir rempli
un formulaire. META se réserve le droit de refuser ces demandes en + et maintien des critères d’âge et des
critères géographiques. Le 04.07.2023, la CJUE condamne META en considérant que l’entreprise privait les
utilisateurs de la possibilité de donner leur consentement libre et éclairé concernant l’utilisation du pistage et du
profilage à des fins de publicité ciblée. Le 14.07, l’autorité norvégienne prends la décision d’interdire provisoirement
et pour 3 mois le marketing comportemental sur FB et Instagram. Le 01.08, META fini par déclarer publiquement
que l’entreprise envisageait de basculer sur un système de consentement volontaire. À suivre…
Juridictions
Ce qu’il faut retenir (la CJUE a un rôle très important sur la protection des données) :
-en France, les juridictions pénales sont aussi compétentes et il y a uj e section sur les atteintes de la personne
victime résultant de l’infraction de traitement de données informatiques.
Dans le domaine de la protection des données, il existe des actions de groupe.
Le retrait du consentement
C’est l’article 7§3 du RGPD : « le consentement doit pouvoir être retiré à tout moment et aussi simplement
qu’il a été donné et sans frais ».
La finalité du traitement
L’exigence d’une finalité déterminée, explicite et légitime.
Les exigences relatives à la finalité du traitement
La finalité doit répondre à 3 exigences cumulatives : elle doit être déterminée, explicite et légitime.
-La finalité déterminée veut dire qu’elle est décidée et connue dès le départ, elle doit être suffisamment précise
pour être comprise.
-La finalité explicite signifie qu’elle ne doit pas être tenue secrète et doit être annoncée sans ambiguïté.
-Sur le plan de la légitimité, d’une part la finalité doit être compatible avec les missions du RT et d'autre part,
elle ne doit pas induire une atteinte disproportionnée aux droits, libertés, et intérêts en jeu.
La loyauté du traitement
-Le principe de loyauté n’est pas défini par les textes et fait l'objet d’assez peu d’études. C’est un principe
transversal qui complète les autres principes et particulièrement le principe de transparence.
-Le principe implique que les données ne soient pas collectées et traitées avec des moyens déloyaux.
Décision CJUE 1er octobre 2015 affaire C201/14 dans laquelle la CJUE condamnait la transmission de données
entre administrations publiques, sans information des administrés.
-Le principe de loyauté est aussi dans le fait de préférer des données collectées directement (auprès de la
personne concernée) et non à travers un intermédiaire. Cette recommandation s’applique notamment dans le
processus de recrutement.
En matière d’IA, pour certains auteurs, ce principe peut être compris comme une limite au développement de
technologies susceptibles de porter atteinte au principe de la dignité humaine, notamment provoquer des
discriminations, ou en prenant la main sur des décisions considérées comme devant appartenir aux humains.
La transparence du traitement
Le principe de transparence est présent dans l’article 5 du RGPD relatif aux principes applicables au traitement, et
est développé dans la chapitre des droits aux personnes concernées aux articles 12,13,14 du RGPD. Par ailleurs, il
fait l’objet des lignes directrices du RGPD et du considérant 39.
Le principe de transparence vise avant tout des informations que le RT doit communiquer aux personnes
concernées. La transparence est à la fois un principe général du RGPD, une obligation du RT, et un droit
pour la personne concernée.
C’est donc à la fois informer la personne concernée qu’elle fait l'objet d’un traitement et lui donner des éléments de
compréhension du traitement.
C’est donner aux personnes concernées une maîtrise sur leur données et leur permettre de jouer un rôle dans le
contrôle de la conformité au traitement.
Dans tous les cas, il va y avoir des limites d’effectivité du droit par rapport à ce que prévoit le RGPD.
-Si une nouvelle finalité ultérieure est envisagée, elle doit être indiquée dès la première collecte
Lorsque l’obtention ou la communication des données est prévue par la loi, ex : on a plus de droit national,
une admin fiscale est soumise à l’obligation d’obtenir, de la part des employeurs, le montant des rémunérations des
salariés. Les données à CP ne sont pas collectées par l’admin fiscale directement auprès de la personne concernée
(c’est l’employeur qui les communique). Mais dès lors que la l’obtention des données par l’admin fiscale auprès des
employeurs est expressément prévue par la loi, l’obligation d’info ne s’applique pas à l'administration fiscale.
Les informations à communiquer après la collecte
-Le RT doit fournir des infos à la personne concernée dans le cadre de la collecte de données mais aussi en
cas de modification substantielle du traitement ou lors de la survenance d’événements particuliers .
-Les modifications substantielles: la création d’une nouvelle finalité de traitement, l’ajout d’un nouveau destinataire
de données, la création de nouvelles modalités d'exercice des droits.
-Concernant les événements particuliers ; c’est la violation des données à CP, définie à l’article 4 du RGPD
comme « une violation de la sécurité entraînait de manière accidentelle ou illicite la destruction, la perte, l’altération,
la divulgation non “autorisée de DCP, transmise conservée ou traitée d’une autre manière ou l’accès non autorisée
à de telles données.
-L’article 34 du RGPD précise que « lorsqu’une violation de DCP est susceptible d'engendrer un risque élevé pour
les droits et libertés d’une personne physique, le RT communique la violation de DCP à la personne concernée
dans les meilleurs délais ».
Cette communication n’est pas nécessaire dans certains cas (on le verra plus tard).
Le RGPD prévoit les droits des personnes concernées individuelles et ensuite une autorité de contrôle, on lui
reproche son côté individualiste alors que le traitement des données est assez collectif (peut concerner des milliers
de personnes)
Le principe d’exactitude
Ce principe est exposé à l’article 5D (ou B ?) qui expose que « les données à caractère personnelles doivent être
exactes et si nécessaire tenue à jour ; toutes les mesures nécessaires doive,nt être prises pour que les données à
caractère personnel qui sont inexactes eu égard aux finalités pour lesquelles selle sont traitées soient effacée ou
rectifiées sans tarder ».
-On demande donc au RT de s’assurer de la qualité des données qu’il traite, et notamment de leur
exactitude, ce qui inclut de s’assurer de leur mise à jour.
-Du côté du RGPD, le principe d'exactitude se rapporte à une obligation de moyen, il ne s’agit pas de traquer
les personnes concernées pour effectuer avant elles la mise à jour de leur données personnelles= on ne demande
pas au RT de ns traquer pour connaître le changements d’adresse par exemple, avant qu’on ne le déclare nous
mêmes (raisonnable est demandé).
-Du côté de la CNIL, c’est la délibération 2016-053 du 1er mars 2016 : cette délibération considère que l’article 6-4
« constitue sans ambiguïté à une obligation de résultat, en ce qu’il impose au RT de garantir l’exactitude des
données à caractère perso qu’il traite en prenant toutes les mesures utiles afin de rectifier ou effacer les données
inexactes… il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs
efforts pour y parvenir »
Les droits d’accès et de rectification sont vrmt les corollaire du ppe d'exactitude :
Le droit de rectification
-Répond au ppe d’exactitude des données. Il est prévu à l'article 16 du RGPD qui informe « la personne concernée
a le droit d’obtenir du RT dans les meilleurs délais, la rectification des DCP la concernant qui sont inexactes
compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à CP
incomplètes soient compléter y compris en fournissant une déclaration complémentaire.
-Le droit de rectification comporte 2 volets ; le droit d’obtenir la correction des données ou de les faire
compléter, le droit d’exiger du RT qu’il fasse suivre cette rectification en la notifiant au destinataire des DCP
sauf si cela exige des efforts distortionnées= appelé l’obligation de notification cad que le RT est tenu de notifier
à chaque destinataire auxquels les DCP ont été communiquées tte rectification effectuées conformément à l’article
16 du RGPD.
Le droit d’opposition
“La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à
un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y
compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère
personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent
sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense
de droits en justice.”
-Le droit d’opposition permet à la personne concernée de remettre en cause l'idée qu’il y a un intérêt légitime= il
impose au RT de se justifier.
Catégories de traitement visées
On retrouve 3 catégories à l’article 21 : lorsque le traitement est nécessaire à la l'exécution de la mission d'intérêt
public ou relevant de l'exercice de l’autorité publique dont est investi le RT.
Le deuxième type de traitement est lorsqu'il est nécessaire au fin d’un intérêt légitime poursuivi par le RT ou par
un tiers.
-3 catégorie : traitement à des fins de recherches scientifiques, historiques ou à des fins statistiques (régime
un peu particulier, le droit d‘OP s’active sauf si le traitement est nécessaire à l'exercice d’une mission d’un
intérêt public).
-décision automatisés et les profilages (droit d’OP particulier aussi)
Préciser le motif
-La personne qui souhaite s'opposer à un traitement de données doit justifier sa demande par des raisons
tenant à sa situation particulière (la personne doit avoir un intérêt à s’opposer au traitement).
Renversement de la charge de la preuve
-Face à l’exercice du droit d’opposition, il appartient au RT de démontrer qu’il existe des motifs légitimes et
impérieux pour le traitement qui prévalent sur les intérêts, droits, et libertés fondamentales de la personne
concernée.
Limite au droit d’opposition
Le droit ne s’applique pas qd le traitement répond à un obligation légale ou dans les conditions prévues à
l’article 23 du règlement
Le droit à la portabilité
Les origines et les raisons d’être de ce droit à la portabilité
Article 20 du RGPD, ce droit existait parallèlement pour certains secteurs ( téléphonie, les opérateurs doivent
assurer la portabilité du numéro de tél des clients depuis 2007, secteur bancaire, avec la mobilité bancaire en
2004 et son renforcement en 2017)
-Aujd, le droit à la portabilité a une portée bcp plus étendue que les exemples cités, c’est devenu un droit du
consommateur destiné à renforcer la concurrence.
Cela vise à lever les obstacles, à un changement d’opérateur, d’assureur, de banque etc
C’est un droit qui cherche à donner du pouvoir aux personnes concernées et assurer une meilleure maîtrise de leur
données, et éviter de se retrouver coincé avec une plateforme.
-3 possibilités à la personne concernées :
-récuperer ses données et les stocker ailleurs
-la possibilité de récupérer ses données et de les transmettre soit même à un autre système
-la possibilité de faire transférer les données entre RT
Les conditions d’exercice de ce droit à la potabilité
-Les personnes concernées (article 20) ont le droit de recevoir les données à caractère personnel les concernant,
fournies, à un responsable du traitement dans un format structuré couramment utilisé et lisible par machine.
-Et elles ont le droit de transmettre ces données à un autre ET sans que le RT auquel les données CP ont
été communiquées y fasse l’obstacle.
Lorsque la personne concernée exerce son droit à la portabilité des données en application du §1, elle a le droit
d’obtenir que les données CP soient transmises directement d’un RT à un autre, lorsque cela est
techniquement possible.
4 conditions sont à dégager de ce droit à la portabilité :
-ne peut avoir lieu que lorsque le traitement repose sur 2 bases légales : le consentement ou l’exécution du
contrat.
-doit être effectué à l’aide de procédés automatisés
-ne concerne que les données fournies par la PC et non les données générées à partir de données brutes.
-la portabilité ne concerne que les données de la PC (exclues les données des tiers).
Les données couvertes par le Droit de la PI et le secret (pro ou médical ) sont exclues de la portabilité
Le transfert des données entre opérateurs est possible que s’il est techniquement possible : pb d'interopérabilité.
Exemple de mise en oeuvre
Initiative et plateforme de réseaux sociaux : datatransfer project : projet créé en 2017 par FB, microsoft et
twitter= plateforme destinée à permettre la portabilité directe des données entre les fournisseurs de
services qui participent à ce projet (portabilité des photos, des informations de comptes et de certains postes).
Le G29 -ancien CEPD) précise que le droit à la portabilité n’impose aucune obligation au RT de conserver des
données à caractère personnel pour une durée plus longue que ce qui est nécessaire au regard de la finalité ou au-
delà de la phase de de conservation qui a été spécifiée.
Droit au déréférencement
Droit de demander à un moteur de recherche de supprimer certains résultats de recherches associés au
nom et prénom de la personne : l'information reste présente sur le site d’origine.
La règle Google spain
-Dans un arrêt du 13 mai 2014, la Cour de Justice de l’Union européenne a confirmé que les moteurs de
recherche sont responsables de traitement. À ce titre, ils doivent respecter le droit européen à la protection des
données personnelles.
- Désormais les personnes peuvent leur demander directement de désindexer une page web associée à
leurs nom et prénom.
-Ce déréférencement ne signifie pas l’effacement de l’information sur le site internet source.
-Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant
d’autres mots-clés de recherche ou en allant directement sur le site à l’origine de la diffusion.
Les faits: un espagnol a remarqué que lorsque son nom était introduit dans google, il s'aperçoit de deux liens de
sites web où il y avait une annonce mentionnant le nom de l'intéressé pour une vente aux enchères immobilière liée
à une saisie pratiquée en recouvrement des dettes de la sécurité sociale.
Il a demandé au site internet de supprimer son nom des pages en question, mais il a aussi demandé à Google de
supprimer les liens vers le site en qst. Il s’est tourné vers l’autorité de contrôle espagnol qui a refusé de faire
suite à sa demande de suppression de ses infos sur le site, mais a fait droit à la demande envers google par
rapport au déréférencement.
La qst posé à la cour était de savoir si le droit de demander le déréférencement à google était possible alors que les
infos sur le site étaient légitimes : la CJUE a fait droit à sa demande considérant que « l'exploitant d'un moteur de
recherche est obligé de supprimer de la liste de résultats, affichées à la suite d'une recherche effectuée à partir du
nom d'une personne, des liens vers des pages Internet, publiées par des tiers et contenant des informations
relatives à cette personne, également dans l'hypothèse où ce nom ou ces informations ne sont pas effacés
préalablement ou simultanément de ces pages Internet, et ce, le cas échéant, même lorsque leur publication en
elle-même sur lesdites pages est licite”
-La CJUE a considéré que l'intérêt de la personne concernée va prévaloir sur l'intérêt économique de
l'exploitant du moteur du recherche mais également dans une certaine mesure sur l'intérêt du public à
accéder à une liste d’informations lorsqu’une recherche porte sur le nom d’une personne ne prévaut pas sur le
droit à l’info dans des situations particulières ( rôle de la personne joué dans la vie publique et justifie l'intérêt
prépondérant du public.)
L’arrêt google spain crée le droit au défournement mais le met immédiatement en lien avec le droit à l'information
notamment lorsque la personne joue un rôle dans la vie publique= contrôle de proportionnalité.
-Sont pris en compte :
-la nature le l'info en qst
-sa sensibilité pour la vie privé de la personne concernée
-l’intérêt du public à disposer de cette info
-en fonction du rôle joué par la personne dans la vie publique
Précisions JP sur le droit au déréférencement
-En principe, ce droit se limite au territoire européen : seulement sur les versions européennes du moteur
de recherche.
-Les autorités de contrôle ou judiciaires peuvent demander au cas par cas à un moteur de recherche de
différencier les résultats sur tout son moteur de recherche, si mise en place de la protection de la vie pv du
demandeur d’une part et le droit à la liberté d’info d’autre part (arrêt CJUE : une autorité de contrôle avait
décidé d’appliquer le defrérencement aux moteurs de recherche de manière absolue, même en dehors à l'UE= mais
permet dans certains cas particuliers de déborder.)
Quelques chiffres et exemples
Google tient une page relative à l’exercice du droit au déréférencement avec des stats (1.4 millions de demandes
pour environ 6 millions de pages internet).
Droit à l’effacement
D’après l’article 17 du RGPD, “la personne concernée a le droit d'obtenir du responsable du traitement l'effacement,
dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a
l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs
suivants s'applique:”
il s’agit de supprimer les données d’origines, ou de les anonymiser.
Le droit à l’E doit s’appuyer sur des motifs qui sont énumérés dans le RGPD (article 17) :
-lorsque le données ne sont plus nécessaires au regard de la finalité du traitement
-lorsque le traitement est fondé sur le consentement et que la personne retire son consentement
-lorsque la personne exerce son droit d’opposition
-découvre qu’aucun motif valable pour maintenir le traitement
-les données à caractère personnel ont fait l'objet d'un traitement illicite;
-les données ont été collectée dans le cas d’une offre de service destinées aux enfants
-Le droit à l’effacement est limité quand un intérêt aux droits de la personne concernée existe.
Ces conditions ne s'appliquent pas dans la mesure où ce traitement est nécessaire:
-à l'exercice du droit à la liberté d'expression et d'information;
- pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par
le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une
mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable
du traitement;
- pour des motifs d'intérêt public dans le domaine de la santé publique;
-à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou
à des fins statistiques,dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre
impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;
-à la constatation, à l'exercice ou à la défense de droits en justice.
La CEI
-Dans le domaine du numérique, il y a un autre organisme que l’ISO, c’est la commission électrotechnique
internationale qui elle est chargée de la normalisation dans un domaine très spécifique: l'électricité, de
l'électronique, de la compatibilité électromagnétique, de la nanotechnologie et des techniques connexes.
-Le CEI et l’ISO produisent ensemble des normes relatives aux technologies de l’info et de la com.
-Donc les normes techniques sont privées, volontaires et non impératives. Si les organismes acceptent
c’est pour gagner du temps (grâce à la standardisation).
-Le RGPD incite au recours à des normes privées mais aussi les modes alternatifs notamment la certification et les
code de conduite.
INTRODUCTION A L’IA
Les décisions automatisées
Des IA vont être mobilisées pour prendre des décisions. C’est le cas du recrutement, du scoring, dans le
système d'appariement de profil sur les sites de rencontre, les prix sur internet en matière de profilage etc.
Def algorithme : il s’agit de la description d’une suite d’opérations règlementaires non ambiguës, il s’achève après
un nombre fini d’étapes et produit un résultat.
Pour fonctionner ce dernier a besoin de données d’entrée auxquelles les opérations simples (instructions) sont
appliquées afin de produire un résultat. C’est en quelque sorte une méthode de résolution de problème.
Un algorithme qui va être transposé dans un système informatique, l’IA étant une forme particulière
d’algorithme. Un algorithme n’est pas forcément informatique.
Toutes les décisions automatisées ne reposent pas forcément sur l’IA.
-D’autres exemples de décisions automatisées, algorithme COMPASS utilisé par les juges pour évaluer des
personnes (cette personne à tel pourcentage de récidive par ex).
L’avancée des techniques liées à l'avancée de l’IA, conduit les entreprises à confier à des programmes
informatiques des décisions de plus en plus complexes initialement prévues par les humains.
-Le responsable du traitement peut refuser l'inspection si cela est nécessaire à la protection des droits et
libertés d'autrui.
L’article 22 du RGPD
Les décisions automatisées font l’objet d’un régime spécifique prévu à l’article 22 du rgpd :
1. « La personne concernée a le droit de ne pas faire l'objet d'une décision fondée
exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets
juridiques la concernant ou l'affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un
responsable du traitement;
b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est
soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts
légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en
œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts
légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une
intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de
contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de
données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9,
paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde
des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »
Dans les cas a) et c), le traitement doit être assorti de garanties, dont au moins : le droit pour la personne
concernée d’obtenir une intervention humaine de la part du responsable de traitement en premier lieu, de
contester la décision en deuxième lieu et d’exprimer son point de vue en troisième lieu (RGPD, art. 22, §3). Il s’agit
ici, entre autres, de ne pas laisser les personnes concernées seules face à une décision entièrement automatisée
les affectant significativement et sans interlocuteur. Par exemple en cas de désactivation d’un compte sur une
plateforme de travail, en cas de rejet d’une candidature à un emploi ou d’un crédit, etc.
Intro
I) algorithme et IA: typologie et définitions
-On peut considérer que les IA sont en quelque sorte une catégorie particulière d’algorithme élaborée avec
des techniques particulières et présentant des caractéristiques particulières.
L’idée d’algorithme est très ancienne, elle tire son nom d’un mathématicien percan AP Khwarizmi, les
premiers algorithmes datent du IVe siècle avant J-C.
-Un algorithme c’est la description d’une suite d’opération élémentaire non ambiguë (contraire de est-ce que
la vie a un sens par exemple). Il s’achève après un nombre fini d’étapes et produit un résultat.
D'après Larousse, il s’agit d’un nombre de règles opératoires dont l’application permet de résoudre un nombre de pb
énoncé au moyen d’un nombre fini d’opérations.
-Pour fonctionner, un algorithme a besoin de données d’entrées auxquelles des opérations simples, des
instructions sont appliquées afin de produire un résultat, c’est en quelque sorte une méthode de résolution de
problèmes informatiques.
-Mais grâce à l’évolution des ordinateurs (qui ne sont que des machines à calculer), les algorithmes et
algorithmes ont connu un essor hors du commun.
Aujourd’hui , on fait des algorithmes qui traitent d’immense masses de données qui traitent très rapidement et en
leur appliquant une quantité phénoménale d'instructions.
Les machines à calculer vont plus vite que les humains pour plein d’opérations, on peut considérer qu’ils sont plus
efficaces que les humains pour certaines tâches, mais il y a également des limites mal perçues de ce qu’on peut
faire avec l’informatique.
-L’IA est une manière de faire des algorithmes plus puissants grâce à l’avancée de l’informatique.
Un programme informatique c’est un ensemble d’instructions et d’opérations destinées à être exécutées par un
ordinateur.
Le logiciel, lui, désigne l’ensemble des programmes nécessaires au fonctionnement d’un système
informatique. Un logiciel c’est donc un ensemble de programmes qui sont les traductions d'algorithmes.
-Il y a deux types de logiciels : ceux d’exploitation qui vont servir à faire fonctionner la terminaux (ordinateurs,
smartphone etc), les plus connus sont windows, android etc.
Les logiciels ? vont être utilisés pour des tâches précises, et une finalité précise.
Concernant le terme robot, il s’agit d’une machine qui allie mécanique, électronique et informatique et est destinée à
effectuer automatiquement des tâches et des actions. La robotique est la discipline scientifiquement qui a pour objet
la conception de ces systèmes.
La notion d’IA
-La notion d’IA est avant tout un projet, tout commence avec un article d’Alan Turing publié en 1950 «
Computing machinery and intelligence ». Il explique comment construire des machines intelligentes et tester
cette intelligence. Le test de Turing serait réussi par la machine si un humain discutant avec la machine en question
est convaincu de discuter avec un humain= on serait ici face à une machine intelligente.
Née l'idée d’IA dans les années 50 (1956), et à partir du moment où elle a été formulée, des mathématiciens vont
chercher à la produire.
-Du point de vue de ce projet, le projet d’IA peut être décrit comme étant la science visant à rendre des machines
intelligentes.
-A la fin des années 60, l'émulsion autour de l’IA s’estompe, et des chercheurs iront jusqu’à dire que l’IA est
impossible à produire.
-Durant l’hiver des années 70, la branche la plus active dans la recherche en IA sera celle qui cherchera à
produire des systèmes experts. Un système expert est un logiciel capable de répondre à des questions, en
effectuant un raisonnement à partir de faits et de règles connues. Il s’agit d’écrire des règles logiques pour faire
raisonner des ordinateurs.
Les systèmes experts sont très forts ou exécutent des tâches précises, mais il est impossible de programmer un
nombre d'instructions suffisante pour générer un nombre de résultats suffisants se rapprochant de l'intelligence
humaine.
A partir des années 80, la recherche sur l’IA se développe à nouveau, les programmes infos se
complexifient grâce à la démocratisation de l’informatique: augmentation puissance ordinateurs, augmentation
de stockage, qui va naturellement favoriser la recherche dans ce domaine. Même logique qu’un système expert.