Le dernière semaine de cours n’entre pas dans le programme des examens.

Contexte technique, social et politique sur l’évolution de l’informatique et d’internet

Histoire ancienne de l’informatique
-La figure reconnue comme fondatrice de l'informatique c’est Alan turing, mais avant lui Ada Lovelace,
pionnière, qui a révélé le premier programme informatique en 1843= premier programme destiné à être
exécuté par une machine, de Charles Babbage, où sera calculé la suite mathématique de nombre rationnels.
-En 1936, Turing publie un article fondamental où il imagine une machine capable de tout calculer en
décomposant l’information en deux valeurs : les 0 et les 1 (langage en base binaire de l’informatique).
Durant la 2ndGM, Turing a reussi à décryoter le code Enigma (code de l’armée nazi)= impact sur la 2ndGM.
-En 1945, John Presper a réalisé le premier ordinateur= machine qui a permi à l’armée américaine
d’effecteur des calculs balistiques.
On a tous les éléments : sous une double impulsion à la fois militaire et universitaire.
Histoire de l’informatique moderne : aux origines d’internet
Internet renvoie à l’idée d’un réseau distribué.
En 1960, le chercheur américain Paul Baron pose les bases de l’idée d’internet= internet serait un réseau
qui permet de transiter des informations.
Le réseau a plusieurs types : celui où les infos transitent vers un centre unique : réseau intelligent au centre et
idiots en périphérique= si pb au centre, tout s’écoule. / réseau distribué : multitude de passages possibles= moins
bonne qualité et le trajet de l’info plus long. / réseau décentralisé : modèle actuel.
Comment créer un réseau distribué ? Pour mettre en place son réseau, Paul Baron va allier informatique et
télécommunications (ensemble des procédés de transmission d’information à distance, ex : télégramme,
téléphone, télévision etc).
L’idée est finalement de connecter les ordinateurs entre eux.
-En 1967 : mis en place par la DARPA d’un projet ( agence du département de la Défense des États-Unis
chargée de la recherche et développement des nouvelles technologies destinées à un usage militaire, créatrice
d’Arpanet, prédécesseur d’internet aux Etats-unis) destiné à mutualiser les meilleurs talents dans les armées
américaines au niveau scientifique.
-En 1968, DARPA a financé 4 université réseaux en reliant 4 ordinateurs entre les universités : faire en sorte que
les ordinateurs communiquent entre eux (29 octobre 1969 premier exploit ).
-Dès lors, il y a la volonté d’élargir ce réseau mais pour cela, s’impose la nécessité d’établir une langue comprise
par l’unanimité, il s’agit des protocoles de communication afin qu’internet puisse voir le jour.
Vint Cerf et Robert Kahn ont développé dans ce projet les principes fondamentaux du protocole TCP/IP
dans les années 1970, qui sont essentiels au fonctionnement d'Internet (ex: c’est l'adresse IP qui permet
d’identifier chaque ordinateur connecté à internet.)
-En 1971, ce réseau appelé Arpanet comporte 15 nœuds d' ordinateurs.

Les premières règles de droit du numérique

L’autonomisation de l’industrie logicielle : une première étape vers le droit de l’informatique
-Il a fallu que les productions de logiciels (ensemble des programmes, procédés et règles et documentations
relatifs au fonctionnement d’un ensemble de traitement de données) et d’ordinateurs soient devenues une
activité économique pour que le droit s’y intéresse.
-Distinction à la fin des années 60, la société IBM (entreprise d'informatique mondiale spécialisée en
enregistrement, traitement, communication, stockage et récupération d'information) possédait 90% des parts du
marché mondial de l’informatique (confié à des machines de calculs). Au début IBM passait à des entreprises
(concurrents) des codes sources (ensemble d’instruction écrite dans un langage de programmation
informatique compréhensible), le système d’exploitation ou logiciel étant le résultat abstrait d’un ensemble de
programmes qui permettent l’utilisation d’un appareil (ex : Windows etc).
-Puis IBM a décidé de ne plus communiquer son code source : les entreprises ont saisi la justice pour abus de
position dominante car les logiciels ne pouvaient plus tourner sur les ordinateurs (adopter un comportement qui
vise à dissuader, éliminer un concurrent et qui a pour but de tuer la concu).
-IBM a alors séparé la fourniture des logiciels (système d’exploitation) et des ordinateurs (2 ventes).
-Texte fondateur : directive du 14 mai 1991 sur la protection des ordinateurs et des logiciels au sein de
l’UE qui établit que les programmes d'ordinateur (logiciels) sont protégés par le droit d'auteur en tant
qu'œuvres littéraires. Elle accorde aux titulaires de droits exclusifs le droit de contrôler la reproduction, la
traduction, l'adaptation, et la distribution de leurs logiciels. Toutefois, à titre d’exceptions, la directive prévoit
certaines exceptions, telles que la possibilité de faire une copie de sauvegarde d'un logiciel et de l'observer,
étudier ou tester son fonctionnement.Les droits exclusifs durent pendant la vie de l'auteur plus 50 ans.

Aux origines de la protections des données à caractère personnel (PDCP)

-Cette question est arrivée très tôt au début des années 1970, certains nombres de services administratifs de
l’Etat et l’INSEE (depuis 1946 gère répertoire national de l’identification des personnes), décident de mettre en
commun des fichiers avec leurs données personnelles. C’est la création du projet safari : associer à un
numéro une variété d’info= 21 mars 1974, Jacques Fauvet publie une chronique dans le monde « Safari ou la
chasse au français ».
-Opinion publique désastreuse= création de la loi du 6 janvier 1978, connue sous le nom de "Loi
Informatique et Libertés". Cette loi est la première loi en France à réglementer la protection des données
personnelles. -Elle a été adoptée pour protéger la vie privée des individus et réglementer la collecte, le
traitement et la conservation des données personnelles.
-La loi définit ce qu'est une donnée personnelle = toute information permettant d'identifier directement ou
indirectement une personne physique est considérée comme une donnée personnelle.
-La loi exige généralement le consentement préalable de la personne concernée pour la collecte et le
traitement de ses données personnelles. Ce consentement doit être libre, éclairé et spécifique.
-La Loi Informatique et Libertés reconnaît certains droits fondamentaux aux individus, tels que le droit
d'accéder à leurs propres données personnelles, de les corriger, de les supprimer, et de s'opposer à leur
traitement. La loi oblige les responsables de traitement de données à déclarer leur traitement à la Commission
nationale de l'informatique et des libertés (CNIL), l'autorité française de protection des données personnelles.
-Elle impose des obligations en matière de sécurité des données pour éviter toute violation de données et
garantir la confidentialité et l'intégrité des informations personnelles.

Quelques avancée importantes et structurantes dans le droit du numérique

Le statut des systèmes informatique en droit pénal : la loi Godfrain du 5 janvier 1988
Le droit pénal est d'interprétation stricte, ainsi à cette époque il y a un vide juridique créé par l’informatique.
La loi Godfrain de 1988, crée la notion de système de traitement automatisé de données, qui n’avait pas de
définition jusque là. Est ainsi crée l'infraction de "fraude informatique" qui couvre un large éventail d'activités
frauduleuses liées aux systèmes informatiques, y compris l'accès non autorisé, la falsification de données, le vol
de mots de passe, etc. C’est le début de la protection des données.
Protection des logiciels et interdiction de compiler : la nécessité de créer un droit à la recherche
d'interopérabilité, directive de 1991
Les logiciels sont protégés par le droit d’auteur= interdiction de compiler un logiciel protégé pour en faire un une
copie servile.
 -Décompiler : essayer avec d’autres logiciels de reproduire un logiciel= permet de le plagier (copier son code
source= imitation illicite (parasitisme= vivre en parasite dans le sillage d’un autre et d’en profiter de ce qu’il a
réalisé et de la réputation de son nom et de ses produits).
La décompilation d’un logiciel est une opération qui permet de reconstituer le code source d’un logiciel à partir
d’un programme exécutable dans un format binaire. On emploie parfois le terme d’ingénierie-inverse (reverse
engineering). En interdisant la décompilation= les entreprises doivent créer leur propre logiciel.
-Or pour que l’informatique fonctionne, il y a une condition d’interopérabilité nécessaire.
L’interopérabilité ou interfonctionnement en informatique est la capacité que possède un système
informatique à fonctionner avec d’autres produits ou systèmes informatiques, existants ou futurs, sans
restriction d’accès ou de mise en œuvre.
-Le législateur européen a trouvé une solution avec la directive de 1991, 91 250 CE concernant la protection
juridique des programmes d’ordinateurs qui établit une exception à l’interdiction de la décompilation en
créant un droit subjectif de rechercher l’interopérabilité avec d’autres logiciels et formats (s’applique à
condition que la décompilation soit limitée aux parties du logiciel nécessaires à l’interopérabilité )
La recherche de responsables pour les actes illicites commis sur internet : la création du statut
d’hébergeur
-Qui est responsable d’un agissement illicite commis sur internet ? A l’époque, il n’y avait pas beaucoup de
moyens pour déceler la vérité.
-En 1996 ; images à caractère pédophile ont été diffusées sur des serveurs d’information= la justice a décidé de
poursuivre les entreprises qui fournissent l’accès à internet (organisme qui fournit une connexion au réseau
informatique= Worldnet
-En 1998 ou 1999 : photos volées d’Estelle Halliday= la justice s’est retournée vers l’hébergeur du forum
(condamnation en instance et appel).
Responsabilités dans ces cas pas très légitimes.
-Proposition de Jospin : obligation pour les hébergeurs de surveiller les hébergés.
Loi pour la confiance dans l’économie numérique du 21 juin 2004= crée un statut juridique d'hébergeur
avec une responsabilité atténuée= les hébergeurs peuvent être tenus responsables s’ils ne suppriment pas le
contenu illicite, sur injonction du juge.
-Loi de 2004 impose de disposer de moyens de filtrages aux FAI.

Enjeux contemporains liés au numérique

Les enjeux de la souveraineté numérique des Etats
-Enjeu majeur , la souveraineté numérique des Etats peut être définie comme la capacité des Etats à faire
respecter leurs règles par les différents acteurs du monde virtuel ; c’est également l’attribut d’une instance
telle que nul organe ne lui impose sa loi.
Les difficultés générales rencontrées par les Etats pour exercer leur souveraineté numérique
-Difficultés des Etats à faire respecter leurs fonctions traditionnelles.
-Réguler les espaces numériques= faire respecter les lois humaines sur internet, protéger le droit des personnes.
-Réguler les nouvelles activités numériques comme on régule les activités traditionnelles.
-Question de contrebalancer le pouvoir colossal que les grandes entreprises ont par rapport au E.
-Le manque d’investissement financier des E dans l’économie numérique, ce qui entraine un réel retard
technologique des E face aux entreprises= pb de souveraineté technologiques car les E vont recourir à des
services à l’étranger et privés pour les traitement de données sensibles.
-Que faire quand les entreprises exercent des missions régaliennes, habituellement monopole des États
(question de production de monnaie, contrôle d’identité et identifications).

Les enjeux économiques du développement numérique

-Pour les Etats: derrière cet acronyme GAFAM se cachent les plus grands géants du web -Google, Apple,
Facebook, Amazon, et Microsoft, qui pèsent, à eux cinq, 6.000 milliards de dollars, soit l'équivalent du troisième
PIB mondial.
-Pour les commerçants et utilisateurs, on peut citer par exemple Amazon qui est une entreprise qui balaye
le plus de pb en termes de droits. Le 2 septembre 2019, le tribunal de commerce de Paris a condamné
Amazon à 4 milliards d’euros d’amende et de 7 clauses abusives qu’elle possédait avec ses fournisseurs. En
effet, en France l’article L442-6 du code de commerce interdit de soumettre ou tenter de soumettre un partenaire
commercial, des obligations créant un déséquilibre significatif dans les droits et obligations des parties=
amazon est condamné après la démonstration que 3 conditions ont été réunies : l’existence d’une soumission
éco entre Amazon et ses fournisseurs, d’une clause contractuelle manifestement déséquilibrée= celle qui
permettait à Amazon de modifier sans préavis à tout moment le contrat qui le lie au vendeur, d’une clause qui
permettait d’imposer des limites. Ce déséquilibre n’était pas compensé par les avantages dont bénéficient les
vendeurs. Il lui a été aussi reproché le fait d’avoir automatisé le processus de recrutement ou le fait de n’avoir
réservé aucun poste de R° pour les femmes.
-L’autorité de la concurrence à sanctionné Apple en mars 2020, à hauteur d’1,1 milliards d’euros pour
entente anticoncurrentielle/ entente commerciale/ entente concertée ayant pour objet d’empêcher, de
restreindre, de fausser le jeu de la concurrence. Apple avait aussi maintenu dans une situation en précarité
ses revendeurs : ne pas distribuer certains produits pour valoriser d’autres vendeurs.
-Google : En 2017, la CJUE a condamné à hauteur de 2.42 milliards d’euros pour avoir fausser la
concurrence. Google privilégiant ses propres produits dans son marketplace, et placer en retrait certains de ses
rivaux.
En 2018, condamnation 4,34 milliards d’euros : abus de position dominante= l’entreprise a imposé aux fabricants
de téléphone de préinstaller certaines applications (google search et navigateur chrome pour utiliser l’apple
store). En 2019 : pratique abusive de publicité en ligne : l’entreprise restreignait les annonces de ses concurrents
et se réservait les meilleurs emplacements publicitaires.

-Le Digital MArket Act (DMA) (concerne GAFAM) et le Digital Service Act (DSA), reflètent la volonté de
l'Union européenne de réglementer de manière plus stricte le secteur numérique, en mettant l'accent sur la
concurrence équitable, la protection des consommateurs et la responsabilité des acteurs du numérique.
Elles sont actuellement en cours d'examen et de négociation au sein des institutions de l'UE avant leur
éventuelle adoption en tant que lois.Le premier est entré en application le 2 mai 2023, le second le 25 août 2023.

Les enjeux démocratiques

-Gros scandale du Cambridge analytica, entreprise spécialisée en gestion et communication de données,
vendait des solutions d'influence politiques.
L'entreprise a été accusée pour avoir manipulé le scrutin de Donald Trump et le Brexit. Pour avoir des données,
l'entreprise avait collecté des données sur des millions d'utilisateurs de manière illégale par le billet d’un quiz sur
facebook avec plus de 270k utilisateurs. Des profils sont ciblés parce que plus sensibles que d'autres et les
exposait à de la désinformation dans l'objectif de les manipuler. Dans le cas du brexit, c'est sur l'immigration
que l'entreprise s'est focalisée.

Grandes lignes du contexte politique du droit de l’UE numérique

L’union est une union politico-éco dans laquelle les E membres confient des compétences afin d’atteindre des
objectifs communs, ex : TUE Maastricht et TFUE Rome).
-Ces traités ne prévoient pas de dispositions spécifiques sur les technologies de l’information et de la
communication jusqu’au traité de Lisbonne en 2007, le TFUE a été modifié et inclut dans son article 16 “toute
personne a le droit à la protection des données personnelles la concernant”, disposition retrouvée dans la charte
des droits fondamentaux de l’UE.
-En 2010, est mise en place une stratégie numérique pour l’Europe (pour 10 ans). L’idée d’un marché unique
numérique surgit, calquée sur l’idée du marché commun de l’UE.
Fondé sur les piliers : amélioration de l'accès aux biens et services numériques pour les consommateurs et
entreprises dans l’UE, création d’un environnement propice au développement des réseaux et services
numériques, maximisation d’un potentiel de croissance économique.
-La deuxième stratégie a été réalisée et se nomme “ façonner l’avenir de l’Europe” (2020) : mettre la
technologie au service des personnes, promouvoir une éco juste et compétitive, aller vers une société durable et
démocratique
-Elle sera complétée par la boussole numérique (2020) avec des objectifs concrets.
-Il y a une recherche de troisième voie fondée sur la confiance et l’excellence.
C’est sur cette voie que sont fondés des textes de l'UE : directive du 6 juillet 2016 relative à la sécurité des
réseaux , directive police justice (à transposer avant 2018): (établit des règles relatives à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à
des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou
d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique, deux
conditions: traitement des activites en matière pénale, et seulement par une autorité mentionnée) , RGPD, directive
PNR sur utilisation des données de passagers aériens etc.
-On assiste à une bascule progressive des directives vers les règlements.
On produit plutôt des règlements car la directive se transpose et donc pose des pbs : directive des protections des
données (1995 et transposition en 2004 en France) avant le RGPD (2016 et mis en vigueur en 2018).
Ce basculement a pour but d’améliorer l’efficacité et assurer l’harmonisation entre tous les pays.

La difficulté d’articulation du droit du numérique

-Matière difficile à saisir car mobilise des éléments différents.
-Construite avec l’idée de co-régulation, la régulation fonctionne bcp avec l’idée de mise en conformité avec
les textes.
-La co-régulation implique d’autres acteurs que les E, il y a aussi les entreprises qui forment parties. Elle
fonctionne avec l’idée
-L’articulation, c’est que tous ces acteurs vont produire des normes (ex : autorités de régulation type CNIL qui vont
éclairer les normes de l’E, secteur privé= produit leur propre norme (ex: normes ISO), organisme de certifications
etc.

Le droit de la protection des données à caractère personnel

La protection des données consiste à protéger toute information, concernant une personne physique,
identifiée ou identifiable.
Elle vise à garantir le traitement loyal des données à caractère personnel, tant par le secteur public que par
le secteur privé.
Histoire de la protection des données personnelles des personnes physiques
-La loi informatique et liberté de 1978 est pionnière dans la protection DCP, qui est la mieux conçue à
l’époque.
L'Allemagne (1971) et la Suède (1973) sont les premiers États à légiférer sur cette question.
-Dans les années 80’s, méfiance envers les E sur ce sujet là. D’une part lors de la WW2, utilisation des registres
nationaux utilisés pour la déportation= projet SAFARI (1974) paraît alors très inquiétant.
-Dans le secteur privé, la prise en compte est beaucoup plus tardive (petite exception en Suède avec le
personnel data qui prenait déjà en compte le secteur privé).
-Dans les années 90, prise de conscience par rapport au secteur privé= l’Etat commence à légiférer= début des lois
sectorielles comme dans le domaine bancaire, domaine de la santé etc.
-On a ensuite un second mouvement de réglementation, il s’agit à partir des années 2000 de lois
transversales.
L’un des principaux moteurs de réglementation est cette nécessité économique, et de répondre aux besoins
juridiques et éco qui découlent des transferts internationaux, ex : directive 46 CE= assurer un équilibre entre la
libre circulation des données sur le territoire de l’UE et assurer la sécurité des personnes.
-La France, à l a fin des années 80, s’est retrouvée impliquée dans un transfert de données, avec l’Italie
(délibération 8978 du 11 juillet 1989= juillet 1989 , la société Fiat France a effectué une décla de traitement de la
CNIL, ce traitement ayant pour finalité la connaissance de cadres supérieurs et la gestion optimale de leur carrière.
Ce traitement consistait à transférer un certains nombres d'infos sur les cadres fr, et de les transmettre en Italie.
La CNIL a relevé deux problèmes, et à refuser de l’autoriser : l’Italie ne disposait d’aucune législation nationale qui
protégeait les données, l’Italie n’avait pas non plus ratifié de conventions permettant d’assurer des garanties.
La CNIL exige alors que la société réalise un engagement contractuel entre Fiat Turin et celle-ci, notamment de
respecter la loi « info et liberté » et la convention 108= cette situation est symbolique car elle n’est pas tenable.
La directive n’était pas suffisante donc création du RGPD pour aligner toute l’UE pour les mettre dans les
mêmes standards.
-La directive, relative à la protection des personnes physiques à l'égard des traitements de données à caractère
personnel, modifie la loi info et liberté de 1978, et est transposée en France du 6 août 2004.

Le champs d'application du règlement général sur la protection des données

Les conditions d’application du RGPD est fixé dans les articles 2 et 3 du texte, repose sur une condition
matérielle d’application «existence d’un traitement de données à caractères personnel » et une condition
territoriale «traitement de données établis dans l’UE »
Le champ d'application matériel du RGPD: 2016
-Déjà en 1975, le Rapport Tricot soulignait la nécessité d’une appréhension extensive du droit d’accès aux
données à caractère personnel “ mais à l’information-résultat produit par combinaison, voire par interprétation des
premières”.
-On a aussi le discours de Jean Foyer qui est rapporteur de la loi info et liberté (JO de 1977).
Conditions matérielles d’application du RGPD
Pour que le RGPD s’applique, il faut des DCP, définies à l’article 4§1 du règlement : « toute information se
rapportant à une personne physique identifiée ou identifiable (ci après dénommée personne concernée) ».
Trois conditions : une information, une personne physique, une identification.
-Une information, ex: nom, prénom, adresse, numéros (carte vitale etc), nationalité, données de localisation,
historique de navigation, temps passé sur internet. Les données relatives à la vie professionnelle, aux activités
commerciales, données d’évaluation personnelle etc sont aussi concernées.
C’est aussi le cas de scoring en matière de crédit : profilage= fait d’attribuer une note sur cette personne sur sa
capacité de remboursement. Le règlement est indifférent à la forme de l'information (immatériel, ex : cheveux
non). Il y aussi des informations sur nos biens : prix d’achat de notre maison etc
-Une personne physique, le RGPD ne s’applique qu’aux personnes physiques= exclusion des personnes
morales, exclusion des embryons et foetus, exclusion des personnes décédées (considérant 27 du texte= «
…mais les E membres peuvent prévoir des règles relatives au traitement des DCP des personnes décédées ».) En
France l’article 85 de la loi informatique et liberté prévoit que les personnes peuvent définir des directives relatives à
la conservation, l'effacement et à la communication des DCP après leur décès. L’article prévoit que les ayants
droits, les héritiers et les proches d’une personne décédée peuvent faire valoir certains droits.
-D’après l’arrêt Satamedia du 16 décembre 2018 CJUE : ce n’est pas parce que les données ont été diffusées
que ces personnes ne bénéficient plus de protection.
-Une information se rapportant à des personnes physiques identifiées et identifiables, le RGPD et toute la JP
qui l’entoure s’entoure vers une appréciation très large, mais dans ce cours on va juste retenir que l’information soit
liée à la personne. Une personne identifiée c’est dire que l’identité de la personne est connue, dans le sens où
cette personne est individualisée= capable de traiter une personne différemment des autres.
Il y a tout un tas de cas tels que la navigation internet où des données sont collectés sur notre personne sans que
notre identité soit connue !
-Le RGPD va viser une personne physique qui va être identifiée directement ou indirectement. Création de la
distinction entre l’anonymat et le pseudonymat.
-Les données anonymes sont les données qui ne concernent pas une personne physique identifiée ou
identifiable.
-Définition de la CNIL d’anonymisation: traitement qui consiste à utiliser un ensemble de techniques de
manière à rendre impossible en pratique, toute identification à la personne par tout moyen que ce soit et de
manière irréversible.
-L’anonymisation permet de ne pas être soumis au RGPD.
-Les données pseudonymisées sont les données qui pourraient être attribuées à une personne physique
par le recours à des infos supplémentaires.
Des nuances peuvent exister entre ces deux définitions, en effet il y a des degrés dans l’anonymat.
-Lorsque l’on s’investit, la plupart des données peuvent être liées à une pp (donc peu d'anonymat en réalité), donc
juridiquement on établit des critères pour relever ce qui relève au sens juridique de l'anonymat (qui écarte
l’application du RGPD) et le pseudonymat (application du RGPD)= tension un peu générale avec des intérêts
des entreprises.
-Critère juridique: le considérant 26 du RGPD, qui permet de statuer la frontière entre ces deux termes « Pour
déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble de
moyens raisonnablement susceptibles d’être utilisés par le responsable de traitement ou par tout autre
personne. »
-Pour les moyens raisonnables susceptibles : on s’appuie sur notamment le coût, les technologie disponibles au
moment du traitement, etc
-Application : décision de Justice de 2017 CJUE Breyer : « la possibilité d’agir en justice pour demander des infos à
un fournisseur d’accès à internet qui permettra l’identification, est considéré comme un moyen raisonnable
susceptible d’être utilisé ». En l'espèce, une personne avait un fichier anonymisé mais qui pouvait obtenir des infos
supplémentaires= basculement de l'anonymat à la pseudonymat donc le juge décide de lui appliquer le
RGPD.
-Arrêt DELOITTE : un organisme a collecté des données par un questionnaire, ces données étaient reliées à un
commentaire fait par cette personne, et le CRU (organisme) a transmis ces données à la société Deloitte (les
commentaires uniquement) pour une analyse des commentaires. Est-ce qu’on considère que ce jeu de données est
un jeu de données anonymisés ou pseudonomisés. Le tribunal ne va pas se prononcer car il vient pour contrôler le
travail de l’autorité de contrôle, l'autorité devait vérifier si Deloitte avait « des moyens légaux et réalisables en
pratique pouvant être raisonnablement mis en œuvre pour identifier les personnes concernées »

Les catégories spéciales de données à caractère personnel

3 catégories de données différentes :
-les données sensibles écrites par le RGPD comme catégories particulières (visé à l’article 9.1 du RGPD «
l’origine raciale ou étnhnique, données biométriques, orientation sexuelle etc). Le traitement de ces données est en
principe interdit.
-les données relatives aux condamnations pénales et infractions : prévues à l’article 10 du RGPD (contrôle très
encadré de l’autorité publique)
-les données relatives à la sécurité sociale (NIR en France bénéficie d’une protection particulière) : le régime du
NIR est fixé à l’article 30 de la loi info et liberté et le décret n°2019 du 19 avril 2019. Ces textes vont fixer les
catégories d’acteur et les finalités permettant de traiter le NIR.
Pour tous les autres cas, le traitement du NIR est interdit.
Le traitement des données à caractère personnel
-Défini à l’article 4 du RGPD : La notion de traitement est définie dans le RGPD comme « toute opération ou
ensemble d'opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou
ensemble de données à caractère personnel ».
-Exemple: les enregistrer, les communiquer, les conserver, les structurer, les modifier, les interconnecter, les
diffuser, en limiter l’accès. (Notion de fichier : ensemble structuré de DCP accessible selon les critères déterminés.)
La moindre action effectuée sur les données est un traitement, soumis au RGPD.

-Il y a aussi un certain nombre de traitements qui seront exclus :

- le cas des traitements effectués dans le cadre des activités strictement personnelles ou domestiques. (ex :
quand on registre un numéro de téléphone d’un collègue on rentre sans cette exception dans l’application du
RGPD).Exception de l’exception : cas des vidéos de surveillance privée (activité en principe strictement
personnelle) mais application si elle déborde sur l’espace public, et le cas si le traitement est largement diffusé.
-2e cas : les activités qui ne relèvent pas du champ d’application de l’UE, cela concerne principalement les
traités affiliés à la sécurité nationale.
-3e cas : tout ce qui relève de la politique étrangère et la PESC ( politique étrangère et de sécurité commune )
(ne relève pas du RGPD).
-4e cas : les traitements liés à la prévention, à la détection d'infractions pénales, aux enquêtes, aux poursuites
en la matière ou d’exécution de sanction pénale. (directive du 27 avril 2016 qui s’applique)
-5e cas : les traitements effectués par les institutions, organes ou organismes de l’UE (règlement 2018 17-25
qui s’applique)

On connaît désormais le champ d’application matériel du RGPD ; il faut des DCP (toute info sur une
personne physique identifiée ou identifiable) et un traitement qui ne soit pas dans l’exclusion.

Le champs d’application territorial du RGPD

Il s’agit ici de l’article 3 qui souligne les critères alternatifs :
-le critère d'établissement (lieu d'établissement du responsable de traitement ou du sous traitant)
-le critère de ciblage (localisation des personnes concernées).
Ces deux critères ont fait l’objet de la ligne directrice (3 2018 relative aux champs d’application territorial du RGPD
version 2.0 du 12 novembre 2019) du comité euro de la protection des données= éclaire les dispositions de l’article 3.
Le critère d’établissement
Prévu à l’article 3.1 du RGPD, le CEPD (équivalent de la CNIL) recommande une approche en trois volets pour
vérifier si le traitement relève du champ d’application de l’article 3.
-Le RGPD s'applique lorsqu'on a l’existence d’un établissement responsable sur le territoire de l’UE (la simple
présence d’un ordinateur/ serveur sur le sol de l’UE ne constitue pas un établissement mais la présence d’une
succursale= établissement.)
-Traitement effectué dans le cadre des activités d’un établissement situé sur le territoire de l’UE: il n’y a pas
nécessairement à être effectué par l'établissement (le RGPD s’applique si le traitement effectué par un
établissement classé dans un pays tiers est inextricablement lié à la l’activité de l'établissement situé dans l’UE).
-Le RGPD s'applique systématiquement aux établissements, d’un responsable de traitement ou d’un sous
traitant qui est sur le territoire de l’UE, que le traitement ait lieu ou non au sein de l'UE (ex: on monte une startup
pour un service pour un autre pays, et on commence à effectuer des traitements pour des personnes à l’étranger,
mais la présence de notre personne sur l’UE fait que le RGPD s’applique même si les données ne concernent
aucune personne présente sur le sol de l’UE.)

Le critère de ciblage
-Critère posé à l’article 3.2 du RGPD: le critère de ciblage se réfère à la question de savoir si le RGPD
s'applique à une entreprise ou à une organisation qui n'est pas établie physiquement dans l'Union
européenne (UE), mais qui traite des données personnelles de résidents de l'UE ou offre des biens ou
des services à des résidents de l'UE.
-Condition que l’organisme offre des biens ou des services aux résidents de l'UE, ou qu'elle suit leur
comportement en ligne, notamment par le biais de cookies ou de technologies similaires, on a pas besoin
d’être dans le cadre d’une activité commerciale pour que le traitement rentre dans le champs du RGPD (ex: sites
internet, réseaux sociaux etc).

Les acteurs de la protection des données à caractère personnel: personne concernée, RT, sous-traitant,
DPO, AAI,
Les protagonistes de la protection des données

Les cookies
Concernant les cookies, c’est la directive 2002 58 CE modifiée en 2009 et qui est transposée à l’article 82 de
la loi info et liberté.
-Le premier point est que le consentement préalable de l’utilisateur est nécessaire avant le stockage
d’informations sur son terminal, ou l’accès à des infos déjà stockées sur celui-ci.
Une exception qui permet de se dispenser du consentement de la personne concernée : si ces actions sont
strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par
l'utilisateur ou ont pour finalité exclusive de faciliter une communication par voie électronique.
-C’est un fichier qui est stocké sur le terminal d’un utilisateur (ordi, téléphone etc) qui va être associé à un
domaine web, et automatiquement renvoyé en cas de contact ultérieur avec le domaine. Ces petits fichiers vont
contenir des infos variées qui vont être accessibles par exemple par la fashion id (historique d’achat, identifiants
de connexion, pages consultées etc)
Toutes les données enregistrées sont des données à caractère personnel.
-Les cookies internes sont créés et gérés par le site web que l'utilisateur visite directement. Ils sont associés au
domaine spécifique du site web dans la barre d'adresse du navigateur. Ils sont généralement utilisés pour des
raisons techniques ou fonctionnelles liées au bon fonctionnement du site. Par exemple, ils peuvent stocker des
informations de session, des préférences utilisateur ou des paniers d'achat.
-Les cookies tiers sont créés et gérés par des domaines différents de celui du site web que l'utilisateur visite. Ils sont
souvent utilisés par des tiers, tels que des annonceurs ou des services d'analyse, pour collecter des données sur le
comportement de l'utilisateur sur divers sites web, à des fins de suivi, de profilage ou de publicité ciblée.
Par exemple : Lorsque vous visitez un site web d'actualités, et que ce site intègre des publicités provenant d'une
régie publicitaire tierce, les cookies utilisés pour suivre votre comportement de navigation et afficher des publicités
personnalisées sont des cookies tiers.)

La personne concernée
C’est la personne physique à laquelle les données personnelles se rapportent.
Défini à l’article 4§1 du RGPD.
Quelques exemples : un usager qui bénéficie de protection sociale, un salarié qui reçoit son bulletin de paie, un
représentant syndical conduisant une voiture professionnelle muni d'un dispositif de géolocalisation.

Le responsable de traitement et le responsable conjoint

La définition du responsable de traitement
-C’est la pp ou morale, l’autorité publique, le service ou un autre organisme qui seul ou conjointement avec un autre
détermine les finalités et les moyens de traitement. Il est défini à l'article 4§7 du RGPD.
-Par finalité du traitement, il faut entendre le but du traitement, parce que les données sont pour un but
légitime et déterminé et elles ne doivent pas être traitées ultérieurement , incompatibles avec cet objectif
initial.
-Les moyens du traitement sont les moyens financiers matériels et humains qui sont affectés au traitement.
-Le responsable de traitement a une R° civile et pénale.
-Il doit s'assurer que le traitement des données est conforme aux dispositions du RGPD, y compris les
principes de licéité, de loyauté et de transparence, de limitation des finalités, de minimisation des données,
d'exactitude, de limitation de la conservation et de sécurité des données.
L’OBLIGATION D’ADOPTER DES MESURES APPROPRIÉES POUR SE CONFORMER: fin au régime de
formalité préalable et lui substitue le principe d’accountability.

Signifie que le responsable du traitement doit être en mesure de rendre des comptes.
-On le retrouve à l’art5§2RGPD ainsi qu’à l’art 24. L’idée derrière ce principe est de laisser une plus grande
marge de manœuvre au responsable de traitement, ce qui va se manifester par des règles de droit souples.
-De l’autre côté, on responsabilise les responsables de traitement en leur imposant de pouvoir démontrer
qu’ils mettent en oeuvre des mesures pour assurer leur conformité au règlement.
-Avec le RGPD, on bascule d’un contrôle à priori à un contrôle à posteriori.
En effet, avant le RGPD, les responsables de traitement étaient principalement soumis à des obligations
préalables à la mise en oeuvre d’un traitement de données à caractère personnel qui conditionnait la licéité du
traitement.
Pour les traitements les plus risqués, un régime d’autorisation, voir d’avis, par l’autorité de contrôle était de mise.
Lorsque le risque était modéré, les responsables de traitement devaient effectuer des déclarations de traitement à
la CNIL. Lorsque le risque était très faible, ils étaient dispensés de déclaration.
Le RGPD met donc fin au régime de formalité préalable et lui substitue le principe d’accountability.
Le principe de responsabilité implique qu’il est attendu des responsables de traitement qu’ils adoptent une
méthode et une stratégie composée de mesures qui vont concrétiser les obligations et principes du RGPD.
➜ méthode en partie composée de formalités obligatoires. C’est notamment le cas de l’établissement d’un registre des
traitements, de la désignation d’un DPO, de la réalisation, dans certains cas, d’une analyse d’impact et de la conclusion de
certains contrats, notamment entre les responsables conjoints de traitement et entre le responsable de traitement et son ou ses
sous-traitants.
-Ce principe de responsabilité implique d’autres mesures. Concernant la nature de ces mesures, le considérant 74
du RGPD précise qu’il appartient au responsable de traitement de « prendre des mesures techniques et
organisationnelles appropriées pour s’assurer de la conformité du traitement ». Ces mesures ne sont pas précisées
en amont car leur caractère adéquat dépends de chaque traitement. On attends du responsable de traitement
qu’il prenne les mesures adaptées.
L’art24§1RGPD précise toutefois qu’il doit prendre en compte le type et le contexte du traitement, la nature des
données traitées, la finalité poursuivie et les risques du traitement pour les droits et libertés.
Ces mesures ne sont pas fixées pour toujours. Le RGPD précise qu’elles doivent « être ré examinées et
actualisées si nécessaire ».
On attends donc du responsable de traitement qu’il désigne les procédures appropriées et qu’elles restent
appropriées au fil du temps.
L’OBLIGATION DE POUVOIR DÉMONTRER SA CONFORMITÉ
Le responsable de traitement doit pouvoir rendre compte des mesures prises et donc disposer des éléments de
preuve qu’il peut présenter. Concrètement, il doit disposer d’une documentation renseignant les mesures prises,
l’explication de ses décisions et lui permettant de justifier ses choix.
Les principes de protection des données dès la production :”Privacy By Design”
LE PRINCIPE DE LA PROTECTION DES DONNÉES DÈS LA CONCEPTION
-Ce principe impose la prise en compte de la protection des données personnelles dès la conception des
traitements.
Autrement dit, la protection des données doit être intégrée dans toutes les étapes du processus de
traitement et donc ne doit pas être seulement conçue comme une étape supplémentaire ou parallèle à la
conception du traitement .
Le responsable de traitement doit mettre en œuvre tant au moment de la détermination des moyens du
traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles
appropriées. On demande à ce dernier de prendre en compte le contexte du traitement et ses risques.
-Exemple : quand la conception d’un logiciel intègre d’emblée la possibilité de supprimer des données personnelles
conformément au droit à l’effacement des personnes concernées.
On distingue 4 catégories d’outils : les outils de chiffrement, les outils de politique de protection des
données, les outils de filtre, les outils d’anonymisation.
Problème à souligner concernant le principe de protection des données dès la conception qui est le fait que
l’obligation pèse sur le responsable de traitement sauf que la plupart du tempos ce dernier ne conçoit pas
le logiciel, il l’achète et les concepteurs de logiciel ne sont pas, eux, concernés par cette obligation. Dès lors, cela implique un
alignement indirect des concepteurs de logiciel. ➜ la cible n’est pas forcément la bonne ici.

LE PRINCIPE DE LA PROTECTION DES DONNÉES PAR DÉFAUT

-Sous-catégorie du principe de protection des données dès la conception.
Ce principe impose aux acteurs de choisir par défaut des modalités de traitement qui portent le moins atteinte à la
protection des données= Art25§2RGPD.
-En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un
nombre incalculables de personnes sans l’intervention de la personne concernée. ➝ ce principe se réfère au principe de
minimisation qui consiste à ne traiter que les données nécessaires au traitement. ➜ implique l’idée d’empêcher les
collectes massives de données.
-Il vise à faire en sorte que les cases à cocher doivent, par défaut, être assurément l’option la plus
protectrice des droits. Ce principe s’oppose alors à la pratique de l’opt out et privilégie le opt in.
D’ailleurs, les profils de réseaux sociaux devraient d’office être paramétrés en profils privés.

La question du représentant du R° de traitement

Il y a des situations où celui-ci n’est pas dans l’UE.
-L’article 27 du RGPD va imposer la désignation d’un représentant dans l’UE, cad établi dans un Etat membre,
dans lequel se trouvent des personnes physiques dont les données à caractère personnel font l’objet d’un traitement.
Les représentants du R° de traitement vont être le point de contact pour les AAI et les personnes concernées au sein
de l'UE.

La définition de la R° conjointe des traitements

1. Prévue à l'article 26 du RGPD « Lorsque deux responsables du traitement ou plus déterminent
conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les
responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins
d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la
personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles
13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le
droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de
contact pour les personnes concernées peut être désigné dans l'accord. »
-Ligne directrice 07/2020 concernant la responsabilité de traitements et de sous traitants dans le RGPD (documents
non contraignants qui visent à faciliter la mise en œuvre des directives européennes.)
-Contrairement au responsable de traitement unique, les responsables conjoints partagent la responsabilité du
traitement des données et doivent coopérer pour garantir le respect des obligations en matière de protection
des données.
La responsabilité des resp de traitement est inégale.
-Première décision : arrêt du CJUE du 5 juin 2018 : c’est l’affaire C 210 / 16=
Principe: les responsables du traitement des données à caractère personnel sont conjointement responsables
seulement pour les opérations de traitement pour lesquelles ils déterminent conjointement les finalités et les
moyens. La CJUE a conclu que l'administrateur de la page Facebook était conjointement responsable avec
Facebook uniquement pour les opérations de traitement sur lesquelles il avait une influence, telles que la collecte de
données statistiques des visiteurs de la page. Les responsables conjoints n'étaient pas responsables des opérations
de traitement effectuées par Facebook en dehors du cadre de cette page..
-Deuxième décision : arrêt du CJUE du 10 juillet 2018: La CJUE a conclu que la communauté religieuse et la
société étaient conjointement responsables uniquement pour les opérations de traitement liées à la collecte et au
transfert de données personnelles des étudiants. Les responsables n'étaient pas responsables conjointement
des opérations de traitement effectuées individuellement par chacun d'entre eux.
La simple communication de données entre différents responsables de traitements, n'entraîne pas de
responsabilité conjointe pour un traitement. Chaque personne reste responsable de son propre traitement.
-Arrêt CJUE du 29 juillet 2019 C40 17 fashion id Dans l'affaire spécifique liée à l'arrêt du 29 juillet 2019, il s'agissait
de la responsabilité conjointe de traitement des données par un moteur de recherche et un opérateur d'un site web
qui avait intégré un bouton "J'aime" de Facebook sur son site. La CJUE a conclu que le moteur de recherche et
l'opérateur du site web étaient conjointement responsables du traitement des données collectées via ce bouton
"J'aime" de Facebook. Ils étaient responsables de toutes les obligations en matière de protection des données
liées à ce traitement, y compris l'obligation d'informer les personnes concernées et de respecter leurs droits de
protection des données

L’articulation entre responsable de traitement et responsabilité conjointe

-L’arrêt Fashion ID: Une asso a remarqué que les extensions (plug-in) facebook permettait les cookies tiers et donc
l’accès à des données personnelles. La simple navigation sur fashion ID indépendamment du fait que la personne
concernée ait un compte facebook ou clique sur le bouton j’aime entraînait un transfert de donnée à caractère
personnel à fb irlandais.
-Fashion id est-elle responsable de traitement ? Oui elle est responsable conjointe car la CJUE considère
qu’on insérait volontairement le plug-in d’un tiers sur son site internet, le gestionnaire du site de vente en ligne
permet l’envoie au réseau social des informations personnelles concernant le visiteur du site.
Mais attention, sa R°est limitée aux seules opérations pour lesquelles la société est co-décideuse des
finalités et des moyens de traitement.
-Donc en l’espèce, précisément pour les activités de traitement correspondant à la collecte et à la transmission des
données. Cela veut dire que le régime juridique de la directive 2002 s’applique et que la société Fashion Id doit
demander le consentement de l’internaute pour collecter et transmettre ses données.
Facebook ne fait plus apparaître les plug-ins sociaux pour les utilisateurs européens.
Pour que ce bouton apparaisse, les utilisateurs doivent avoir un compte facebook et avoir donné leur consentement
pour voir apparaître des demandes.

Les implications de la responsabilité conjointe

-D’après l’article 26 RGPD : Le responsable conjoint de traitement doit définir avec son homologue leur
obligation respective vis-à-vis du RGPD par accord, n’est pas obligatoire si le droit de l’UE ou d’un Etat membre
fixe déjà cette répartition.
-Un point de contact entre les personnes concernées peut être désigné dans l’accord dont les grandes lignes
doivent être mises à sa disposition.
-La portée de cette disposition est grandement atténuée par l’article du RGPD qui précise que la personne
concernée peut exercer les droits que lui confère les règlements, à l'égard de et contre chacun des
responsables de traitement.

Le sous traitant
Définition d’un sous traitant
1. La notion est définie est l'article 4.8 du RGPD « «sous-traitant», la personne physique ou morale, l'autorité
publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement;… »
Ca peut être un prestataire de service info, intégrateur de logiciel, société de sécurité informatique, des agents de
marketing etc
-Le sous traitant ne peut pas traiter de données pour son propre compte, et seulement les instructions
documentées du responsable de traitement. Le sous traitant peut voir sa responsabilité engagée.
-Le responsable de traitement doit vérifier que le sous traitant dispose de garanties suffisantes.
-Le sous traitant ne peut pas sous traité sans autorisation du responsable de traitement et le sous traitant doit
prendre des engagements liés à l'article 28 du RGPD « Le traitement par un sous-traitant est régi par un contrat
ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard
du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de
données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du
responsable du traitement. »

Différence entre sous traitant et responsable de traitement

Il y a une responsabilité solidaire entre ces deux acteurs= pas le même statut, pas de resp conjointe. On peut
se retourner contre l’un des deux.
-La qualification de responsable de traitement ou de responsable conjoint dépend de la détermination de la finalité et
de la détermination des moyens de traitement.
Est-ce que le sous traitant a une marge de manœuvre dans la détermination des moyens de traitement ?
La détermination de la finalité du traitement relève toujours du responsable de traitement, toutefois concernant
la détermination des moyens, on peut distinguer les moyens essentiels, cad les moyens liés à la finalité et portée du
traitement qui dépendent du responsable de traitement , et les moyens non essentiels qui peux relever des deux.
( mesure de sécurité etc).
-Finalité= responsable de traitement
-Moyens essentiels= responsable de traitement
-Moyens non essentiels : responsable de traitement ou le sous traitant

Les tiers autorisés et les destinataires

-Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui
reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers.
-Autrement dit, les tiers autorisés ont le pouvoir de demander l'obtention de données à caractère personnel détenus
par d’autres dans le cadre de l’accomplissement de leur mission.
-La CNIL a fait un grand répertoire des tiers autorisés (dans le cadre des enquêtes judiciaires, les enquêtes
admin etc).
Dans le cadre d’une enquête, le tiers peut demander l’accès à des données : le responsable de traitement est face
à un double enjeu : respecter la loi et fournir les informations demandées, et d’un autre il doit garantir la
sécurité des données.
-La CNIL demande ainsi de vérifier l’existence d’un fondement légal autorisant la demande de la communication
des données, de bien vérifier la qualité de l’organisme à l’origine de la demande, et le périmètre des opérations
ciblées, et de sécuriser la communication des données ou sécurité d’accès par le tiers autorisés.
Il va aussi s’assurer du respect d’autres droits.
Les demandes de tiers autorisées doivent toujours être prévues par la loi, que cela soit le fait d’effectuer la demande ,
ou que cela soit le type de données.

Le DPO (délégué protection des données)

-Le DPO remplace le correspondant informatique instauré par la loi de transposition de 2004. Mission plus
importante que le correspondant info et liberté, le but est de faire de lui un orchestre de la communauté, en matière
de la protection des données au sein d’un organisme.
La désignation du DPO
-Le DPO doit faire l’objet d'une déclaration auprès de la CNIL.
-Sa désignation est obligatoire dans certains cas :
-pour les autorités et organismes publics, à l’exception des juridictions dans l'exercice de leurs fonctions
juridictionnelles
-pour les organes dont les activités de base mènent à réaliser un suivi régulier et systématique de personnes à
grande échelle.
-pour les organes dont les activités de base mènent à traiter à grande échelle des données sensibles ou relatives
à des condamnations pénales et infractions. (NB: la notion traitement à grande échelle dans le RGDP n’est pas
définie précisément, elle relève d’une appréciation au cas par cas qui prend en compte notamment le nb de
personnes concernées par le traitement que ce soit en valeur absolue ou relative par rapport aux persos
concernées).
-Dans d’autres, la désignation peut être recommandée ou encouragée : cas pour organisations privées chargées
de mission de SP ou lorsqu’un responsable de traitement à des difficultés de traitement des données.
-La fonction du DPO peut être internationalisée, externalisée ou mutualisée en fonction des besoins et des
ressources de l'organisation:
-l'internationalisation du DPO :peut être responsable de la conformité à la protection des données dans une
organisation qui opère à l'échelle international, ex: grandes entreprises multinationales qui doivent gérer la conformité
aux lois sur la protection des données dans plusieurs pays.
-l’externalisation du DPO : DPO externe peut être avantageux pour les petites et moyennes entreprises qui ne
disposent pas des ressources internes nécessaires pour nommer un DPO à temps plein.
-la mutualisation du DPO : plusieurs entités au sein d'une même organisation ou d'un même groupe d'entreprises
partagent un DPO commun. Cela peut être efficace lorsque les entités ont des besoins similaires en matière de
protection des données et peuvent partager les coûts associés à la nomination d'un DPO.

Les restrictions à la désignation du DPO

-Il ne doit pas avoir de pouvoir décisionnel dans la détermination et finalité et moyens de traitement= la
fonction de délégué est incompatible avec celle de responsable de traitement. Par ailleurs un DPO, ne doit pas être
en situation de conflits d'intérêts= se retrouver dans une situation ou il a à la fois un intérêt concernant le traitement,
et un intérêt pour la protection des données du fait des fonctions= il doit avoir une certaine indépendance vis à
vios du responsable de traitement.
-Le principe est que le délégué ne peut pas recevoir d’instructions et ne peut être sanctionné dans l’exercice
de sa mission.
-décision de la CJUE Leister AG CONTRE LH du 22 juin 2022 : deux éléments à retenir : le RGPD ne s’oppose pas à
ce qu’une réglementation nationale prévoit qu’un DPO ne peut être licencié que pour motif grave.
La cour relève que les objectifs du RGPD seraient compromis si une réglementation nationale empêchait tout
licenciement d’un DPO même si celui-ci “ne posséderait plus les qualités professionnelles requises pour exercer ses
missions ou ne s'acquitte pas de celle çi , conformément aux dispositions du RGPD”.
-Cette règle a crée un sujet : on a une décision du CE du 21 octobre 2022 numéro 45 9254 qui précise qu’un
salarié de DPO peut être licencié s’il n’a plus les qualités requises pour exercer ses missions ou ne s’acquitte
pas de ses missions en fonction du RGPD.
Le profil du DPO
Il faut une bonne maîtrise de la protection des données et de son environnement. La certification, la CNIl va agrée
des organismes de certification privée.
Les missions du DPO
Il a pour mission d’informer et de conseiller le R° de traitement en matière de protection des données.
Il a aussi pour mission d’informer, et de conseiller les employés, ou le personnel administratif de la structure auquel il
est DPO ;
Il a une mission de conseil, et de vérifications et analyses d’impact. Il coopère avec la CNIL, pour les
personnes concernées et la CNIL ; i réalsie et tient les registres des traitements.
Il contrôle le respect du règlement.
La responsabilité du DPO
Le délégué n’est pas responsable en cas de non respect du règlement, la responsabilité incombe toujours au
responsable de traitement et ne peut être transféré au délégué par délégations de pouvoir.

Les AAI
Les AAI rebaptisées, autorités de contrôle.
Il y a deux types d’autorités : le CEPD incorporé au sein de l’UE indépendant, et les autorités de contrôle
nationales.

1) Le comité européen de la protection des données

2) L’autorité de contrôle française : la CNIL
3) Les autorités de contrôle et traitement transfrontalier : l’autorité chef de fil et le contrôle de cohérence.
Le CEPD est mis en place par le RGPD, il remplace le groupe qui avait été mis en place par l’article 29 de la
directive 95-46 CE.
La composition
Le CEPD est composé de plusieurs acteurs : les chefs des autorités de contrôle de chacun des pays (25
autorités nationales) le contrôleur européen de la protection des données (c’est l’autorité associée au règlement),
s’ajoute sans droit de vote la Norvège, l'Islande et le Lichtenstein.
Les missions
-Garantir l’application cohérente de texte principalement le RGPD et la directive police justice.
-Il faut ainsi adopter des lignes de bonne conduite, rôle du conseil auprès de la commission européenne sur la
protection des données.
-Prendre des décisions contraignantes, émettre des avis, résoudre les litiges dans le cadre d’affaires
transfrontalières, encourager le code conduite et certifications. Il promeut la coopération entre autorités de contrôle
national, il a prononcé fin 2022 décisions contraignantes: méta et tiktok.

L’autorité de contrôle nationale

-Selon l’art. 4§1 de la directive 95/46/CE « chaque Etat membre applique les dispositions nationales qu’il arrête en
vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le
cadre des activités d’un établissement du responsable de traitement sur le territoire de l’Etat membre (…) ».
-Pour que l’autorité de contrôle d’un Etat membre puisse exercer ses pouvoirs de contrôle, deux conditions
doivent donc être réunies : d’une part, la présence sur le territoire, d’un établissement en charge du
traitement des données ; d’autre part, le traitement des données doit être effectué « dans le cadre des
activités » de l’établissement concerné.
-La Cour rappelle toutefois que l’art. 4 de la directive n’exige pas que le traitement des données à caractère
personnel soit exercé « par » l’établissement concerné lui même mais « dans le cadre des activités » de
celui ci.
Or dans la mesure où Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité diffusée sur
les pages web que les utilisateurs créent et auxquels ils accèdent et, d’autre part, que Facebook Germany est destiné à
assurer, en Allemagne, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par
Facebook, les activités de cet établissement doivent, selon la Cour, être considérées comme étant indissociablement liées
au traitement de données personnelles en cause. Un tel traitement doit donc être regardé comme étant effectué dans le cadre
des activités d’un établissement du responsable du traitement. La Cour en déduit que l’autorité de contrôle allemande est donc
compétente pour appliquer le droit allemand à l’établissement situé sur son territoire et précise que cette compétence s’exerce
en toute indépendance à l’égard de l’autorité de contrôle située en Irlande.

L’autorité de contrôle française : la CNIL

Les missions de la CNIL en bref
-Créée par la loi de 1978, et aujd elle remplit un rôle fixé par le RGPD : celui de d’autorité de contrôle
nationale (article 5& et suivant du RGPD).
La CNIL publie un rapport d’activité annuel, imposé par l’article 59 du RGPD et découpé en 4 missions:
-La première est informer et protéger les droits
-La deuxième est d’accompagner la conformité des RT, conseiller et réglementer.
-La troisième est innover et prospecter en participant à la construction d’un débat de société
-La quatrième est contrôler et sanctionner.
Au sein de la CNIL, un service d’IA a été crée en juillet 2023 : les missions de ce services sont transversales et
visent à faciliter la compréhension des systèmes d’IA au sein de la CNIL, mais aussi des professionnels et des
particuliers, consolider l’expertise de la CNIL sur le sujet, préparer l’entrée en application de l’IA act.
Faire un pont entre les différents acteurs de l’IA ;
Des détails non exhaustifs sur les missions de la CNIL
-Elle est amenée à donner son avis sur certains traitements , notamment ceux qui sont mis en œuvre pour le
compte de l’Etat.
Elle va produire énormément de documentations, elle va produire des recommandations, des référentiels , des
codes de conduite.
Elle peut aussi homologuer et publier des méthodes issues du privé.
Elle peut aussi traiter les réclamations et plaintes introduites par une personne concernée, un organisme, une
organisation ou une association.
Elle répond à des demandes d’avis du pouvoir public.
Puis, elle peut procéder à des vérifications de n’importe quel traitement de données à caractère personnel.
- C’est celle qui va certifier des personnes, des produits, des données de procédure, et traiter les données à
risques élevées.

Focus sur les pouvoirs de la CNIL pouvant aboutir à une sanction

Le pv de contrôle de la CNIL= vérifier la mise en œuvre concrète du droit de la PDCP et la conformité des
règlements et de prononcer des sanctions en cas de non conformité.
Le contrôle
-Il vise à comprendre la nature du traitement et de vérifier que sa mise en œuvre et conforme la loi info et
liberté et au RGPD, il peut viser n’importe quel organisme de traitement, disposant d’un établissement en France,
ou concernant des personnes résidentes en France, que cela soit le un responsable de traitement ou d’un sous
traitant.
-Le contrôle peut être effectué de 4 manières différentes : soit sur place, soit en audition suite à une
convocation, soit en ligne, soit sur pièce.
-L’origine du contrôle va être variée : suite à une déclaration ou signalement que cela soit une personne
concernée, ou une association. Il peut aussi s'inscrire dans le contrôle annuel de la CNIL qui porte chaque année
sur des thèmes différents. La CNIL peut de sa propre initiative initier un contrôle.
Pour mener ses contrôles, la CNIL dispose de grands pouvoirs d’enquêtes, notamment la possibilité
d’ordonner la co dont elle a besoin, la possibilité d’obtenir l’accès à toutes les données à caractère personnel et
toute info nécessaire à l'accomplissement de ses missions, et obtenir l’accès à tous le local du RT et du sous
traitant (installation et moyens comme ordi).
Il y a 345 contrôles sur le territoire en 2023 , 183 sur place, 128 en lignes, 43 sur pièces, et 31 sur audition. La
moitié est à l’initiative de la CNIL et l’autre à l’issue de plaintes ;
Les mesures correctrices et les sanctions
-Lorsque le contrôle et l’instruction n’appellent pas d’observations particulières= procédure clôturée par un courrier
du Président de la CNIL.
-Lorsque des manquements peu significatifs= procédure clôturée de la même manière avec des observations.
- Lorsque des manquements significatifs= mise en demeure par la CNIL (possibilité d’être publique) pour
que l’organisme adopte des mesures pour se mettre en conformité.
-Elle peut engager des mesures de sanctions et transmettre le dossier à la formation restreinte de la CNIL sui
s’occupe des cas les plus complexes.
-La CNIL peut aussi dénoncer les manquements au parquet si infractions pénales.
La CNIL n’indemnise pas les personnes ayant subi un préjudice.
-Depuis 2022, une procédure simplifiée existe, pour les éléments de concepts= possible d’y recourir lorsqu’une
affaire ne présente pas de difficultés particulières. Ce qui arrive dans 3 situations, lorsqu’une JP établie existe déjà
sur le sujet, la deuxième lorsqu’une décision a déjà été rendue par la formation restreinte, et la 3 e est lorsque les
questions de droits et de faits sont simples.
-La CNIL peut proposer des sanctions qui peuvent être pécuniaires et/ou être publiques, sachant que la
publicité des sanctions est puissante (atteinte à l’image de marque), qui peuvent être pécuniaires ou non.
-Concernant les sanctions non pécuniaires= rappel à l’ordre, d’injonctions sous restreintes.
-Sur les sanctions pécuniaires, dans le cadre de procédure ordinaire, elles peuvent s’élever à 20 millions d’euros ou
4% du chiffre d'affaires mondial concernant les grandes entreprises.
Dans le cadre de la procédure simplifiée, les amendes ne peuvent dépasser 20k euros.

En 2022, la CNIL a déposé 21 sanctions, 13 ont été rendue publiques et 147 mises en demeure.
-Concernant les manquements observés, le plus fréquent est le défaut d’informations, défaut de
coopération avec la CNIL, le non respect du droit des personnes concernées.
-Le tiers des sanctions portent sur des manquements en lien avec la sécurité des données, 4 sanctions sont liées à
une mauvaise gestion des cookies (de traceur) et 3 sont liées à des manquements en lien avec la prospection
commerciale.
-Par exemple, le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE
d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données
médicales de près de 500 000 personnes.
-La CNIL a sanctionné microsoft et tiktok car ces sociétés n’ont pas mis en place des moyens de refuser des
cookies aussi facilement qu’elles sont acceptés.
Les autorités de contrôle et de traitement transfrontalier (interne de l’UE)
L'identification des situations de traitements transfrontaliers
-On parle soit d’un traitement qui se déroule dans le cadre de l'établissement situés dans plusieurs Etats
membres de l’UE, et le RT ou le ST est établi dans plusieurs Etats également.
Deuxième situation : le traitement est lié à un établissement unique situé dans 1 seul Etat membre mais qui
affecte sensiblement des personnes dans plusieurs Etats membres.
(sensiblement=tous les traitements ne sont pas forcément concernés).
Le principe de l'autorité chef de file
L’essence-même du principe de l’autorité chef de file établi par le règlement général est que le contrôle du
traitement transfrontalier ne doit être effectué que par une seule autorité de contrôle dans l’Union. Lorsque
des décisions portant sur différentes activités de traitement transfrontalier sont prises au sein de l’administration
centrale dans l’Union, il n’y aura qu’une seule autorité de contrôle chef de file pour les diverses activités de
traitement de données effectuées par la société multinationale.
-Il se peut toutefois qu’un établissement autre que le lieu de l’administration centrale prenne des décisions
autonomes quant aux finalités et aux moyens d’une activité de traitement spécifique.
-Cela signifie que, dans certaines situations, plusieurs autorités chefs de file peuvent être identifiées à savoir
lorsqu’une société multinationale décide de disposer de différents centres de décision, situés dans différents pays,
pour différentes activités de traitement.
L'autorité chef de file est généralement l'autorité de contrôle de l'État membre où se trouve l'établissement
principal de l'entreprise ou de l'organisation ou bien en fonction du lieu où sont prises les décisions.
Compétences
Concernant ses compétences, en principe elle est le seul interlocuteur d’un responsable de traitement pour
tous les traitements transfrontaliers qu’il effectue. C’est aussi la seule autorité qui adopte des décisions
contraignantes comme des sanctions à l’encontre de ce responsable de traitement et concernant ces traitements.
En cas d’application de plusieurs autorités de contrôle, l’autorité cheffe de file coordonne les autres autorités de
contrôle. Cette dernière prends des décisions valables dans l’UE en concertation avec les autres autorités de
contrôle national.
-Deux exceptions où la compétence de cette dernière peut être détournée : lorsque le traitement litigieux
concerne uniquement un établissement dans l’É membre dont relève l’autorité de protection ou lorsque le
traitement affecte sensiblement les personnes concernées de cet É membre; la deuxième exception c’est en
cas de circonstances exceptionnelles ou d’urgence qui permet à n’importe quelle autorité de prendre des
mesures provisoires. En cas de désaccord entre les autorités nationales, c’est le CEPD qui adopte une décision
contraignante pour l’autorité cheffe de file dans le cadre, toujours, de sa compétence.

Le mécanisme de contrôle de la cohérence

Le contrôle de la cohérence est effectué par le CEPD et vise à promouvoir une application cohérente du
RGPD par les autorités de contrôle européennes.

Ce contrôle repose sur 3 leviers :

Les avis : le CEPD les adoptent régulièrement
Les décisions contraignantes : plusieurs autorités de contrôle ont des décisions convergentes, le CEPD peut
prendre une décision contraignante que l’autorité nationale devra respecter.
La gestion des urgences : art66RGPD.

Quelques affaires en exemple … META s’était fait épinglé pour ses activités sur Instagram, FB. Concernant FB et
Instagram, ce qui posait problème c’était la licéité et la différence de traitement à des fins d’analysés
comportementales. Concernant WhatsApp, il était question de la licéité du traitement mis en place aux fins
d’améliorations de son service. ➞ mise en application de l’autorité cheffe de file qui devait prendre une
décision sur ces points. Les autorités nationales étaient en désaccord avec la décision de cette autorité
cheffe de file =la procédure de règlement des litiges du CEPD. Le CEPD se prononce alors c/ la commission
irlandaise pour la protection des données; prononce plusieurs décisions en date du 06.12.2022 qui ont poussé
l’autorité irlandaise à s’aligner avec deux décisions du 04.01.2023.
➥ Fb et Instagram faisaient reposer leur traitement de données sur la base légale de l’exécution du contrat et sur
l’intérêt légitime de l’entreprise. Le CEPD considère alors à ce moment que l’exécution de ces traitements devaient
reposer non pas sur le contrat/ l’intérêt légitime mais sur le consentement, indépendamment ou non de leur
inscription sur le réseau social.META se plie que partiellement à la sanction à partir du 05.04 ➞ les utilisateurs
pouvaient alors demander à ne plus voir de publicités qui étaient basées sur les contenus des vidéos qu’ils avaient
visionnés sur le réseau social. Le problème est alors que cette option été accessible seulement après avoir rempli
un formulaire. META se réserve le droit de refuser ces demandes en + et maintien des critères d’âge et des
critères géographiques. Le 04.07.2023, la CJUE condamne META en considérant que l’entreprise privait les
utilisateurs de la possibilité de donner leur consentement libre et éclairé concernant l’utilisation du pistage et du
profilage à des fins de publicité ciblée. Le 14.07, l’autorité norvégienne prends la décision d’interdire provisoirement
et pour 3 mois le marketing comportemental sur FB et Instagram. Le 01.08, META fini par déclarer publiquement
que l’entreprise envisageait de basculer sur un système de consentement volontaire. À suivre…

Juridictions
Ce qu’il faut retenir (la CJUE a un rôle très important sur la protection des données) :
-en France, les juridictions pénales sont aussi compétentes et il y a uj e section sur les atteintes de la personne
victime résultant de l’infraction de traitement de données informatiques.
Dans le domaine de la protection des données, il existe des actions de groupe.

Le respect des principes généraux du RGPD

Les principes applicables au traitement

La licéité du traitement : les bases légales

Ce traitement doit être licite : cad reposé sur l’une des bases légales énumérées à l’article 6 §1 du RGPD.
La base légale peut être définie comme ce qui autorise légalement la mise en œuvre du traitement de
données, cad ce qui donne le droit à un organisme de collecter ou d’utiliser des données personnelles.

L’ensemble de ces bases légales dans le traitement de données personnelles

-Les bases légales conditionnant la licéité du traitement sont énoncées à l’article 6 du RGPD.
Elles sont au nombre de 6 : on retrouve le consentement de la personne concernée, le contrat, l’obligation
légale, la sauvegarde d'intérêts vitaux, l’intérêt public, l'intérêt légitime du RT.
Concernant le contrat, on peut avoir des traitements qui permettent d’assurer les garanties légales et contractuelles
liées à un bien ou à un service fourni, visant à gérer les intérêts.
Les traitements pré contractuels visent à assurer à partir d’un code postal qu’un service peut bien être fourni à la
personne concernée.
-Concernant l’obligation légale, on retrouve la gestion de la paye, des cotisations sociales, tout comme les tiers
autorisés, il faut que cette obligation soit prévue par le droit de l’UE ou d’un EM.
-Concernant l’intérêt légitime du RT : il doit répondre à 3 conditions : l’intérêt poursuivi doit être légitime
(cad manifestement licite, déterminé de façon claire et précise, intérêt réel et présent pour l’organisme et non fictif). -
L’intérêt doit aussi être nécessaire, cad qu’il ne doit pas exister de moyens moins intrusifs pour la vie privée
d’atteindre cet objectif. L’intérêt ne doit pas heurter les droits et intérêts des personnes compte tenu de leur
attente raisonnable. Ex : traitement mis en œuvre à des fins de prévention de la fraude, qui vise à garantir la
sécurité d’un réseau, nécessaire à la protection commerciale pour les clients, qui portent sur les client sou les
employées, au sein d’un groupe d’entreprises à des fins de gestion admin interne.
-L’intérêt légitime est le plus souvent utilisé pour fonder un traitement lorsqu’en réalité c’est le
consentement qui devrait servir de base légale.
-Dans la délibération du 21 janvier 2019 (voir internet).

Les critères de consentement

-Les articles 4 et 7 définissent les conditions de consentement de la personne concernée : il s’agit de toute
manifestation de volonté libre, spécifique, éclairée, et univoque, par laquelle la personne concernée accepte par une
déclaration ou un acte positif clair, que les DCP la concernant fassent l’objet d’un traitement.
-4 critères de validité cumulatif du consentement : doit être libre, spécifique, éclairé, et doit être univoque.
L’objectif est d’essayer de garantir la qualité du consentement, c’est les lignes directrices du G29 (ancien CEPD) qui
les éclairent.
-Le consentement libre : la personne concernée doit disposer d’une véritable liberté de choix, elle doit être en
mesure de refuser ou retirer son consentement sans subir de préjudice= il ne doit pas y avoir de risque de
tromperie, d’intimidation ou de coercition, ou de conséquences négatives significatives. Une situation de
vulnérabilité ou de déséquilibre ou de pouvoir entre la personne concernée et le RT peut exclure la liberté
de consentement, c’est notamment le cas de la relation employeur salarié (le consentement du salarié est libre de
manière très exceptionnelle (seulement quand il n’y a aucune conséquence négative à son refus).
-Le consentement spécifique : Le consentement de la personne concernée ne peut correspondre qu’à un
seul traitement pour une finalité déterminée= on ne peut pas collecter le consentement d’une personne pour un
bouquet de traitements sans permettre à mla personne de refuser le traitement indépendamment des uns des
autres.Délibération de la CNIL du 6 septembre 2018 portant adoption d'une recommandation concernant le
traitement des données relatives à la carte de paiement, en matière de vente de biens.
-Pour que le consentement soit considéré comme éclairé: il faut que le responsable de traitement fournisse
certaines informations à la personne concernée. Ces infos recouvrent celles relatives à la transparence et au
droit de l’information (article 12 et 14 du RGPD).
Dans les grandes lignes, elles recouvrent l’identité du RT, les finalités poursuivies par le traitement, les catégories
de données collectées, l’existence d’un droit de retrait du consentement.
Et si les données seront utilisées dans le cas de traitement individualisé qui feront l’objet d’un transfert vers un pays
hors UE ; Le but de ces infos est de permettre à la personne concernée , à quoi va servir le traitement de ces DCP.
Ces infos doivent être concises, transparentes, compréhensive set aisément accessibles aux personnes
concernées.
-Le consentement doit être univoque :donné par une déclaration ou un acte positif clair et non ambiguë ce
qui exclut de fait les cases pré-cochées, les paramétrages par défaut.

Le consentement des mineurs

En raison de leur vulnérabilité, le consentement des mineurs fait l’objet d’un caractère spécifique énoncé à l’article 8
du RGPD ; En dessous d’un âge seuil, le consentement doit être donné ou autorisé par le titulaire d’une
autorité parentale (16 par le RGPD mais le EM peuvent abasiser jusqu’à 13ans).
En France l’article 45 de la loi info et liberté fixe cet age à 15ans.
Le paragraphe 2 de l’article précise bien qu’il est demandé au RT de s’efforcer de vérifier que le consentement est
donné par le titulaire de l’autorité parentale (compte tenu des moyens technologiques disponibles.

Le retrait du consentement
C’est l’article 7§3 du RGPD : « le consentement doit pouvoir être retiré à tout moment et aussi simplement
qu’il a été donné et sans frais ».

Cas pratique : le retour des cookies

Les cookies Walls et les PAYWALLS.
-En juillet 2019, la CNIL avait publié des lignes directrices dans lesquelles elle considérait que l’internaute ne devant
pas subir de conséquences en cas d'absence ou de retrait de consentement, l’accès à un site internet ne pouvait
être conditionné à l’acceptation des cookies. Ces lignes directrices de la CNIL suivaient celles du RGPD.
-Mais le 19 juin 2020, le CE saisi par des associations pro, a annulé partiellement ces lignes directrices,
estimant que l'exigence d’un consentement libre ne pouvait pas justifier l’interdiction générale des cookies walls : le
CE ne se prononce pas sur le fond. Il considère seulement qu’un acte de droit souple, ne peut énoncer une
telle interdiction générale et absolue.
A la suite de cette annulation partielle de ces lignes directrices , la CNIL a publié de nouvelle lignes directrices le 29
septembre 2020 dans lesquelles elle considère que le fait de subordonner la fourniture d’un service ou l’accès à un
site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur est susceptible de porter
atteinte dans certains cas à la liberté du consentement.
Le 16 mai 2022, la CNIL finit par proposer des critères d’évaluation de la légalité des cookies WALLS dans
l’attente d’une législation ou d’une décision de la CJUE.
-Pour la Cnil, à l’heure actuelle, l'internaute doit disposer d’une alternative réelle et équitable pour accéder
au contenu, qui n’implique pas de consentir à un traitement de données à CP.
Interdire le service si pas d’acceptaion des cookies:
-Concernant les PAYWALLS, la contrepartie monétaire ne doit pas être de nature à priver les internautes
d’un véritable choix, il s’agit donc de déterminer un tarif raisonnable.
La CNIL recommande que les éditeurs s'assurent que l’obligation de créer un compte est justifiée par rapport à la
finalité visée.
Il faut que le consentement soit spécifique, la personne doit vraiment consentir à un traitement spécifié, le
consentement doit être éclairé, le consentement doit être univoque.

La finalité du traitement
L’exigence d’une finalité déterminée, explicite et légitime.
Les exigences relatives à la finalité du traitement
La finalité doit répondre à 3 exigences cumulatives : elle doit être déterminée, explicite et légitime.
-La finalité déterminée veut dire qu’elle est décidée et connue dès le départ, elle doit être suffisamment précise
pour être comprise.
-La finalité explicite signifie qu’elle ne doit pas être tenue secrète et doit être annoncée sans ambiguïté.
-Sur le plan de la légitimité, d’une part la finalité doit être compatible avec les missions du RT et d'autre part,
elle ne doit pas induire une atteinte disproportionnée aux droits, libertés, et intérêts en jeu.

Les conséquences du principe de finalité : les catégories de traitement interdites

-les traitement des données à des fins indéterminées
-la réutilisation et donnée pour d’autre traitements

La loyauté du traitement
-Le principe de loyauté n’est pas défini par les textes et fait l'objet d’assez peu d’études. C’est un principe
transversal qui complète les autres principes et particulièrement le principe de transparence.
-Le principe implique que les données ne soient pas collectées et traitées avec des moyens déloyaux.
Décision CJUE 1er octobre 2015 affaire C201/14 dans laquelle la CJUE condamnait la transmission de données
entre administrations publiques, sans information des administrés.
-Le principe de loyauté est aussi dans le fait de préférer des données collectées directement (auprès de la
personne concernée) et non à travers un intermédiaire. Cette recommandation s’applique notamment dans le
processus de recrutement.
En matière d’IA, pour certains auteurs, ce principe peut être compris comme une limite au développement de
technologies susceptibles de porter atteinte au principe de la dignité humaine, notamment provoquer des
discriminations, ou en prenant la main sur des décisions considérées comme devant appartenir aux humains.

La transparence du traitement
Le principe de transparence est présent dans l’article 5 du RGPD relatif aux principes applicables au traitement, et
est développé dans la chapitre des droits aux personnes concernées aux articles 12,13,14 du RGPD. Par ailleurs, il
fait l’objet des lignes directrices du RGPD et du considérant 39.
Le principe de transparence vise avant tout des informations que le RT doit communiquer aux personnes
concernées. La transparence est à la fois un principe général du RGPD, une obligation du RT, et un droit
pour la personne concernée.
C’est donc à la fois informer la personne concernée qu’elle fait l'objet d’un traitement et lui donner des éléments de
compréhension du traitement.
C’est donner aux personnes concernées une maîtrise sur leur données et leur permettre de jouer un rôle dans le
contrôle de la conformité au traitement.
Dans tous les cas, il va y avoir des limites d’effectivité du droit par rapport à ce que prévoit le RGPD.

Les informations à communiquer à la personne concernée

Les informations à fournir à la personne concernée
Le RGPD distingue la collecte de données effectuées directement auprès de la personne concernée (art. 13) et les
données collectées indirectement (art. 14). Dans les deux cas, les infos sont à peu près similaires.
Les infos à communiquer :
-celles relatives au RT : l’identité et ses coordonnées (le cas échéant ceux de son représentant s’il y en a), les
coordonnées du DPO s’il y en a.
-les infos sur le traitement de données
-la base légale du traitement
-les catégories de données concernées ( le cas échéant les catégories de destinataires de données, ou l’existence
d’un transfert dans un pays tiers).
-Le droit d’accès, le droit de rectification, le droit d’effacement, le droit à la limitation, le droit à l’opposition et le droit
à la portabilité.
-Ensuite le droit de retirer son consentement pour le traitement des données à CP.

-Si une nouvelle finalité ultérieure est envisagée, elle doit être indiquée dès la première collecte

Les exceptions du droit à l’info

-Quand l’information est collectée auprès de la pc, il n’y a pas d’obligation quand la personne est informée.
Attention, le principe de R° exige des RT qu’ils démontrent quelles infos étaient déjà en possession de la personne
concernée, comment et quand elle a reçu, et qu’il démontre qu'aucune modification n’a été apportée à ces infos
susceptibles de les rendre obsolètes.
Si la personne est déjà informée, si l’info relève du secret pro, si on est dans une situation d'impossibilité, si l’info de
la personne concernée demande un effort disproportionné si l’atteinte de l’objectif du traitement se trouve
gravement compromis.

Lorsque l’obtention ou la communication des données est prévue par la loi, ex : on a plus de droit national,
une admin fiscale est soumise à l’obligation d’obtenir, de la part des employeurs, le montant des rémunérations des
salariés. Les données à CP ne sont pas collectées par l’admin fiscale directement auprès de la personne concernée
(c’est l’employeur qui les communique). Mais dès lors que la l’obtention des données par l’admin fiscale auprès des
employeurs est expressément prévue par la loi, l’obligation d’info ne s’applique pas à l'administration fiscale.
Les informations à communiquer après la collecte
-Le RT doit fournir des infos à la personne concernée dans le cadre de la collecte de données mais aussi en
cas de modification substantielle du traitement ou lors de la survenance d’événements particuliers .
-Les modifications substantielles: la création d’une nouvelle finalité de traitement, l’ajout d’un nouveau destinataire
de données, la création de nouvelles modalités d'exercice des droits.
-Concernant les événements particuliers ; c’est la violation des données à CP, définie à l’article 4 du RGPD
comme « une violation de la sécurité entraînait de manière accidentelle ou illicite la destruction, la perte, l’altération,
la divulgation non “autorisée de DCP, transmise conservée ou traitée d’une autre manière ou l’accès non autorisée
à de telles données.
-L’article 34 du RGPD précise que « lorsqu’une violation de DCP est susceptible d'engendrer un risque élevé pour
les droits et libertés d’une personne physique, le RT communique la violation de DCP à la personne concernée
dans les meilleurs délais ».
Cette communication n’est pas nécessaire dans certains cas (on le verra plus tard).

La forme des informations à communiquer

-On sait depuis longtemps qu’il ne suffit pas de présenter aux yeux pour toucher conscience.
-L’article 12 prévoit que le RT doit communiquer d ‘une façon concise, transparente, compréhensible et aisément
accessible en d’autres termes clairs et simples. Dans le G29, les dispositions sont éclaircies.
-Il est exigé que les RT fassent des efforts dans les méthodes d’info utilisées, telles que prioriser l'information
(image, vidéo etc).
-Deux délibérations de la CNIL : celle de la formation restreinte du 21 janvier 2019 numéro SAN-19-00 : ici on
reproche à Google d’avoir éparpiller , d'annexer des infos cruciales, dans sa politique de confidentialité, et
d’utiliser des expressions trop équivoques. La CNIL critique les choix de l'ergonomie de la société qui entraine une
fragmentation de l’info obligeant les utilisateurs à multiplier les clics et à devoir identifier eux-mêmes les § pertinents
au regard d’une multiplicité d’infos.
-délibération SAN-2023-008 du 8 juin 2023. Ici la CNIL reproche à la société que le formulaire de la création de
compte ne comprenait pas d’info relative au traitement de données ni de lien permettant d’y accéder.
La CNIL relève que l'utilisateur, pour accéder aux infos liées à la protection des données, doit quitter le formulaire
de la création du compte, aller sur la plage d'accueil et défiler, cliquer sur les conditions générales de vente, et
rechercher lui-même les infos nécessaires.
Or le CEPD recommande que ces infos soient accessibles sur la page de collecte, et séparer ces infos qui ne sont
pas liées à la vie privée.

Les limites du droit à l’information du droit à la transparence

-Il manque probablement bcp d’informations à communiquer aux personnes concernées, il y a assez peu par
exemple d’informations sur les objectifs de certains traitements, et on a aucune justification de l'intérêt d’un
traitement en comparaison d’un traitement manuel. On a aussi aucune garantie des données exprimées sur la prise
en compte des risques d’erreurs, encore sur les choix de méthode.
-Le destinataire d’information: le contrôle du RGPD repose sur les autorités de contrôle et les personnes
concernées (c’est assez peu face aux centaines de milliers de traitements).

Le RGPD prévoit les droits des personnes concernées individuelles et ensuite une autorité de contrôle, on lui
reproche son côté individualiste alors que le traitement des données est assez collectif (peut concerner des milliers
de personnes)

Principe de minimisation des données

-Principe aussi connu sous le nom de principe de proportionnalité, exposé à l'article 5C du RGPD. Ce principe exige
que les données perso soient adéquates, pertinentes, et non excessives au regard des finalités pour
lesquelles elles sont collectées et de leur traitement ultérieur= le Responsable ne doit collecter que des données
qui sont utiles pour atteindre la finalité visée.
-Le ppe de proportionnalité a donc pour objet de limiter le nb de données collectées.
Les données adéquates et pertinentes
Pour être jugées pertinentes, les données doivent présenter un lien nécessaire et suffisant avec les finalités
poursuivies.
Les données limitées à ce qui nécessaire
-Eclairé par le considérant 39 du RGPD, l’exigence de nécessité signifie que l’on ne peut traiter des données à
caractère perso que lorsqu’il n’y a pas raisonnablement moyen d’atteindre la finalité sans cela.

Le principe d’exactitude
Ce principe est exposé à l’article 5D (ou B ?) qui expose que « les données à caractère personnelles doivent être
exactes et si nécessaire tenue à jour ; toutes les mesures nécessaires doive,nt être prises pour que les données à
caractère personnel qui sont inexactes eu égard aux finalités pour lesquelles selle sont traitées soient effacée ou
rectifiées sans tarder ».
-On demande donc au RT de s’assurer de la qualité des données qu’il traite, et notamment de leur
exactitude, ce qui inclut de s’assurer de leur mise à jour.
-Du côté du RGPD, le principe d'exactitude se rapporte à une obligation de moyen, il ne s’agit pas de traquer
les personnes concernées pour effectuer avant elles la mise à jour de leur données personnelles= on ne demande
pas au RT de ns traquer pour connaître le changements d’adresse par exemple, avant qu’on ne le déclare nous
mêmes (raisonnable est demandé).
-Du côté de la CNIL, c’est la délibération 2016-053 du 1er mars 2016 : cette délibération considère que l’article 6-4
« constitue sans ambiguïté à une obligation de résultat, en ce qu’il impose au RT de garantir l’exactitude des
données à caractère perso qu’il traite en prenant toutes les mesures utiles afin de rectifier ou effacer les données
inexactes… il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs
efforts pour y parvenir »
Les droits d’accès et de rectification sont vrmt les corollaire du ppe d'exactitude :

Les principes de limitation de la conservation des données

-Ce principe est exposé à l’article 5E du RGPD et dispose que « les données personnelles doivent être conservées
sous une forme permettant l’identification des personnes concernées pdt une durée qui n’excède pas la durée
nécessaire aux finalité pour lesquelles elle sont collectées et traitées »
Cela implique qu’au début du traitement, le responsable de traitement doit indiquer la durée et conservation
des données, il doit l’invoquer dans le registre des traitements et communiquer cette durée à la personne
concernée.
-Les données peuvent être conservées à la fin du traitement : notamment lorsqu’elles présentent certains
intérêts pour l’organisme ou que le RT est tenue de les conserver par la loi, ex : données de facturation,
bulletin de salaires.
-Une fois que la durée de conservation est atteinte, le RT doit effacer les données ou les anonymiser.
-En dehors des hypothèses prévues par la loi, c’est au RT de fixer ces durées.
La CNIL a des guides pratiques qui aident à fixer ces délais.
-Il y a 3 référentiels pour les traitements relatifs à la santé.

La sécurité des données : le principe d'intégrité et de confidentialité

-Ce ppe est prévu à l'article 5 F du RGPD : « le RT doit mettre en œuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques ». Le terme sécurité
s’entend pour la sécurité des données en elle-même mais aussi dans son ensemble y compris le matériel.
- Il s’agit d’une obligation de moyens particulièrement contrôlé par la CNIL qui s’attache à vérifier les mesures
mises en œuvre au regard de l'état des connaissances, des couts de mise en oeuvre de la nature, de la
portée, du contexte et des finalités du traitement, ainsi que des risques dont le degré de probabilité et de gravité
varient pour les droits et libertés des personnes physiques ».

L’exercice des droits de personnes concernées

Les modalités d'exercice des droits de la personne concernée
-Faciliter l’exercice des droits : en vertu de l’article 12 du RGPD, le RT doit faciliter l’exercice des droits
conférées de la personne. L’exercice de ces droits passe en premier lieu par l’information des personnes
concernées. Il s’agit pour le RT, d’indiquer où et comment il est possible d'exercer ces droits. C’est délivré au
moment de l'information à la personne.
Concernant l’exercice des droits en eux même, la voie la plus simple est l’implémentation (intégrer) de formulaire
d’exercice de droits directement dans les applications et logiciels développés.
-Les délais pour donner suite.
-Le RT doit fournir à la personne concernée les infos demandées ou respecter le droit de demande « dans les
meilleurs délais » qui est au plus un délai d’1 mois. Si la demande est complexe et les demandes nombreuses,
ce délai peut être prolongé de 2 mois. Dans ce dernier cas, le RT devra informer la personne concernée des motifs
du report dans un délai d’un mois.
-Le refus de donner suite : dans les cas où le RT n’a pas à donner suite à la demande la personne concernée, le
RT doit motiver son refus dans un délai d’1 mois et informer la personne concernée de la possibilité d’introduire une
réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
-la gratuité : l’exercice des droits de la personne concernée doit être gratuit mais il y a une exception (article
12) « lorsque les demandes sont manifestement infondées ou excessives en raison de leur caractère
répétitif ». Le RT peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs
supportés pour fournir les informations et procéder aux communications ou prendre les mesures demandées ou
refuser de donner suite à ces demandes. C’est au RT de démontrer le caractère infondé ou excessif de la demande.
-Sur la forme de la réponse : la forme de la réponse est en principe sous la forme électronique mais la
personne concernée peut demander à ce qu’il en soit autrement (infos par téléphone)
-La vérification de l’identité et authentification : Le RT a le droit de chercher à s’assurer de l'identité de la personne
concernée et s’il est dans la possibilité d'identifier la personne (le RT est en droit de refuser la demande)

Les limites générales à la portée des droits de la personne concernée

Les domaines de limitations générales aux droits de la pc
Ces limites peuvent être prévues par la loi ou le RGPD.
-article 23 du RGPD : sécurité nationale, sécurité publique, défense nationale, la prévention et détection
d'infraction pénale, divers domaines publiques (eco , monétaire, fiscal), la santé publique, la sécurité sociale,
protection de l’indépendance de la justice et des procédures judiciaires, la déontologie des professions
réglementées, l'exécution des demandes de droit civil, et la protection des personne concernées des droits et
libertés d’autrui.
Dans ces domaines, les EM et le droit de l’UE peuvent restreindre la possibilité pour les personnes
d'exercer leur droit et aménager les obligations du RT.
-Le droit à l’info ne s’applique pas dans certains cas pour les traitements mis en œuvre pour le compte de l’Etat et
qui intéressent la sécurité publique.
-Article 52 de la la loi info et libertés : sur les droits d’accès, de rectification et d’effacement : ces droits sont limités
en tout ce qui concerne les admins qui ont pour but de recouvrer le d'impôts (on ne peut les effacer).

La prévisibilité, condition de licéité de la limitation des droits de la personne concernée

-La personne concernée doit être en mesure de prévoir les effets potentiels des lois limitant leur droit.
Les diètes dispositions légales doivent contenir un certain nb d’infos concernant notamment la finalité du traitement,
les catégories de données à caractère personnel, l’étendue des limitations introduites par la loi et des garanties
destinées à prévenir les abus, ou accès de transfert illicites de données…
-En 2000, la Roumanie a été sanctionnée par la CEDH sur le fondement de la prévisibilité, était mise en cause
une loi qui habillait certaines autorités nationales à autoriser les ingérences nécessaires afin de prévenir ou
contrecarrer les menace pour la sécurité nationale. La CEDH informait que les motifs de ces ingérences
n’étaient pas définis par la loi.

Si les droits n’ont pas été respectés par le RT ?

-En cas d'absence de réponse, erronée, ou incomplète de la par du RT, la réclamation se fait auprès de la
CNIL, qui peut être effectuée en ligne ou par courrier postal.
Elle doit répondre à un certain nb de conditions, de formes, et contenir différentes info. Les identités et coordonnées
du RT et du demandeur, les infos utiles sur la situation, et une copie des pièces nécessaires à la compréhension de
la plainte.
-La CNIL demande la preuve des actions exercées pour nos droits (tuto capture d’écran).
-La CNIL ne peut prononcer que des mesures correctrices (rappel à l’ordre, sanctions etc)= la réparation des
dommages causés à la personne concernée du fait de l'irrespect de ses droits relèvent des juridictions
judiciaires. La condamnation du RT relève du pénal et la CNIL peut effectuer des signalements directement auprès
du procureur de la R°.

Le droit des personnes concernées au sein du RGPD

Le droit d’accès
Généralités sur le droit d’accès
-Il est consacré à l’article 15 du RGPD mais aussi à l'article 9 de la convention 108 et l’article 8 de la CEDH.
-C’est le droit de prendre connaissance des données personnelles traitées par le RT, et de se voir
communiquer ses données ou voir recevoir une copie de ces données, autrement dit les personnes concernées
ont le droit d’accéder aux données à CP détenue par le RT.
-Seules les données de la personne concernée doivent être communiquées et pas celles des tiers (l droit d’accès ne
doit pas porter atteinte aux d et lib d’autrui).
-Le droit d’accès permet à la personne concernée de connaître les données disposbiles sur lui.
-C’est aussi un préalable à l'exercice du droit à la rectification et au droit à l’effacement.
-droit particulièrement utile pour constituer des éléments de preuves dans d’autres domaines (images de
surveillance, géolocalisation etc).
-Sur le contenu : le contenu du droit d’accès et aligné à celui du droit à l’information (cf article droit à l’information).
-En principe, le droit d’accès est direct au RT.
-Le droit d’accès désigne en premier lieu la consultation ou la visualisation des DCP sur place ou en ligne.

Articulation avec d’autres droits et principes du RGPD

-L'articulation avec le principe de limitation et de conservation des données des personnes concernées
dont dispose le RT (une personne concernée peut avoir intérêt à avoir accès à ces données) avec le principe
d’imposer au RT de limiter la conservation de données.
-Conserver des données en archives intermédiaires peut avoir un coût. Certaines méthodes d'archives sont
incompatibles avec le respect du droit des personnes.
-Une fois utilisée on passe en archivage intermédiaire, on déplace les données (implique par ex que les pers qui y
avait accès que pour l'utilisation courante n'en ont plus accès) et ensuite archivage définitif, fin de la vie de la
donnée.
-Décision arrêt CJUE 7 mai 2009 affaire 553/07 Rijkeboer CJUE sanctionne un mécanisme ds la mesure où le RT
a encore accès aux données. La C explique que la seule raison valable pour limiter le droit d'accès par la
personne est que l'accès + long serait une charge excessive pour le RT.

L'articulation avec le droit à la portabilité

-Il se distingue du droit à la portabilité qui ne concerne que les DCP numérisées. Le droit d’accès ne concerne pas
que les données CP numérisées peut être sur papier par ex, le droit à la portabilité vise bcp la transmission directe.

Le droit de rectification
-Répond au ppe d’exactitude des données. Il est prévu à l'article 16 du RGPD qui informe « la personne concernée
a le droit d’obtenir du RT dans les meilleurs délais, la rectification des DCP la concernant qui sont inexactes
compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à CP
incomplètes soient compléter y compris en fournissant une déclaration complémentaire.
-Le droit de rectification comporte 2 volets ; le droit d’obtenir la correction des données ou de les faire
compléter, le droit d’exiger du RT qu’il fasse suivre cette rectification en la notifiant au destinataire des DCP
sauf si cela exige des efforts distortionnées= appelé l’obligation de notification cad que le RT est tenu de notifier
à chaque destinataire auxquels les DCP ont été communiquées tte rectification effectuées conformément à l’article
16 du RGPD.

Le droit d’opposition
“La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à
un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y
compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère
personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent
sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense
de droits en justice.”
-Le droit d’opposition permet à la personne concernée de remettre en cause l'idée qu’il y a un intérêt légitime= il
impose au RT de se justifier.
Catégories de traitement visées
On retrouve 3 catégories à l’article 21 : lorsque le traitement est nécessaire à la l'exécution de la mission d'intérêt
public ou relevant de l'exercice de l’autorité publique dont est investi le RT.
Le deuxième type de traitement est lorsqu'il est nécessaire au fin d’un intérêt légitime poursuivi par le RT ou par
un tiers.
-3 catégorie : traitement à des fins de recherches scientifiques, historiques ou à des fins statistiques (régime
un peu particulier, le droit d‘OP s’active sauf si le traitement est nécessaire à l'exercice d’une mission d’un
intérêt public).
-décision automatisés et les profilages (droit d’OP particulier aussi)
Préciser le motif
-La personne qui souhaite s'opposer à un traitement de données doit justifier sa demande par des raisons
tenant à sa situation particulière (la personne doit avoir un intérêt à s’opposer au traitement).
Renversement de la charge de la preuve
-Face à l’exercice du droit d’opposition, il appartient au RT de démontrer qu’il existe des motifs légitimes et
impérieux pour le traitement qui prévalent sur les intérêts, droits, et libertés fondamentales de la personne
concernée.
Limite au droit d’opposition
Le droit ne s’applique pas qd le traitement répond à un obligation légale ou dans les conditions prévues à
l’article 23 du règlement

Le droit à la tranquillité : l’opposition discrétionnaire contre la prospection

-L'article 21§2 du RPD prévoit un régime spécifique pour l'opposition du traitement à des fins de prospection. La
prescription n’est pas définie par les textes, mais on peut ici considérer qu’elle couvre à minima la prospection
commerciale et la prospection électorale. La particularité d'opposition à ces traitements est qu’il n'a pas
besoin de motifs pour s’y opposer.
La meilleure illustration du droit d’opposition : SMS ARRETEUUU
-Ce droit d'opposition n’est pas du tout absolu, il disparaît complètement lorsque le traitement répond à une
obligation légale ou en présence d’un motif impérieux pour celui qui collecte les données. Quand il existe, son
efficacité est subordonnée à l'existence d’une situation particulière, ce qui signifie que l’efficacité du droit
d’opposition mérite vrmt d’être interrogée.

Droit à la limitation du traitement

Prévu à l’article 18 du RGPD, il permet à la personne de bloquer l’utilisation de ses données qui seront alors
seulement conservées (geler temporairement).
Les conditions d’exercice du droit à la limitation du traitement
-Ce droite existe dans certains cas :
- l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une
durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel;
-le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place
la limitation de leur utilisation;
-le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement
mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la
défense de droits en justice;
-la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la
vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du
traitement prévalent sur ceux de la personne concernée.
Les conséquences de l’exercice du droit à la limitation du traitement
Lorsque les données ont été gelées, celles-ci ne peuvent servir que dans certains cas :
-lorsque la personne a donné son accord
-constatation, l'exercice ou défense des droits ou justice
-protection des droits d’une autre personne physique ou morale
-pour des motifs importants d'intérêt public ou de l’UE
(Comme pour le droit à la rectification, le droit à la limitation est assorti à un droit de suite). Le RT est tenu de
notifier à chaque destinataire auquel les DCP ont été collecté, toute limitation du traitement effectuée
conformément à l’article 16 du RGPD.

Le droit à la portabilité
Les origines et les raisons d’être de ce droit à la portabilité
Article 20 du RGPD, ce droit existait parallèlement pour certains secteurs ( téléphonie, les opérateurs doivent
assurer la portabilité du numéro de tél des clients depuis 2007, secteur bancaire, avec la mobilité bancaire en
2004 et son renforcement en 2017)
-Aujd, le droit à la portabilité a une portée bcp plus étendue que les exemples cités, c’est devenu un droit du
consommateur destiné à renforcer la concurrence.
Cela vise à lever les obstacles, à un changement d’opérateur, d’assureur, de banque etc
C’est un droit qui cherche à donner du pouvoir aux personnes concernées et assurer une meilleure maîtrise de leur
données, et éviter de se retrouver coincé avec une plateforme.
-3 possibilités à la personne concernées :
-récuperer ses données et les stocker ailleurs
-la possibilité de récupérer ses données et de les transmettre soit même à un autre système
-la possibilité de faire transférer les données entre RT
Les conditions d’exercice de ce droit à la potabilité
-Les personnes concernées (article 20) ont le droit de recevoir les données à caractère personnel les concernant,
fournies, à un responsable du traitement dans un format structuré couramment utilisé et lisible par machine.
-Et elles ont le droit de transmettre ces données à un autre ET sans que le RT auquel les données CP ont
été communiquées y fasse l’obstacle.
Lorsque la personne concernée exerce son droit à la portabilité des données en application du §1, elle a le droit
d’obtenir que les données CP soient transmises directement d’un RT à un autre, lorsque cela est
techniquement possible.
4 conditions sont à dégager de ce droit à la portabilité :
-ne peut avoir lieu que lorsque le traitement repose sur 2 bases légales : le consentement ou l’exécution du
contrat.
-doit être effectué à l’aide de procédés automatisés
-ne concerne que les données fournies par la PC et non les données générées à partir de données brutes.
-la portabilité ne concerne que les données de la PC (exclues les données des tiers).

Les données couvertes par le Droit de la PI et le secret (pro ou médical ) sont exclues de la portabilité
Le transfert des données entre opérateurs est possible que s’il est techniquement possible : pb d'interopérabilité.
Exemple de mise en oeuvre
Initiative et plateforme de réseaux sociaux : datatransfer project : projet créé en 2017 par FB, microsoft et
twitter= plateforme destinée à permettre la portabilité directe des données entre les fournisseurs de
services qui participent à ce projet (portabilité des photos, des informations de comptes et de certains postes).
Le G29 -ancien CEPD) précise que le droit à la portabilité n’impose aucune obligation au RT de conserver des
données à caractère personnel pour une durée plus longue que ce qui est nécessaire au regard de la finalité ou au-
delà de la phase de de conservation qui a été spécifiée.

Droit à l'oubli, à l’effacement et au déréférencement

Se retrouve en jeu, les droits des individus qui consiste à effacer les données les concernant après un certain
laps de temps, lorsqu’il n’est plus justifié de les maintenir dans un système d’information. On dit souvent
qu’internet n'oublie jamais mais on peut essayer de limiter la diffusion de certaines DCP grâce à l’exercice de deux
droits : le droit à l’effacement et le droit au déréférencement. L’idée sociale derrière est qu’il serait intolérable de
laisser toutes les données ad vitam eternam sur internet.
-Le droit au déréférencement demande au moteur de recherche découper le lien entre l’info et le nom et prénom de
la personne.
-Le droit à l'effacement est le droit à la suppression des données.

Droit au déréférencement
Droit de demander à un moteur de recherche de supprimer certains résultats de recherches associés au
nom et prénom de la personne : l'information reste présente sur le site d’origine.
La règle Google spain
-Dans un arrêt du 13 mai 2014, la Cour de Justice de l’Union européenne a confirmé que les moteurs de
recherche sont responsables de traitement. À ce titre, ils doivent respecter le droit européen à la protection des
données personnelles.
- Désormais les personnes peuvent leur demander directement de désindexer une page web associée à
leurs nom et prénom.
-Ce déréférencement ne signifie pas l’effacement de l’information sur le site internet source.
-Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant
d’autres mots-clés de recherche ou en allant directement sur le site à l’origine de la diffusion.
Les faits: un espagnol a remarqué que lorsque son nom était introduit dans google, il s'aperçoit de deux liens de
sites web où il y avait une annonce mentionnant le nom de l'intéressé pour une vente aux enchères immobilière liée
à une saisie pratiquée en recouvrement des dettes de la sécurité sociale.
Il a demandé au site internet de supprimer son nom des pages en question, mais il a aussi demandé à Google de
supprimer les liens vers le site en qst. Il s’est tourné vers l’autorité de contrôle espagnol qui a refusé de faire
suite à sa demande de suppression de ses infos sur le site, mais a fait droit à la demande envers google par
rapport au déréférencement.
La qst posé à la cour était de savoir si le droit de demander le déréférencement à google était possible alors que les
infos sur le site étaient légitimes : la CJUE a fait droit à sa demande considérant que « l'exploitant d'un moteur de
recherche est obligé de supprimer de la liste de résultats, affichées à la suite d'une recherche effectuée à partir du
nom d'une personne, des liens vers des pages Internet, publiées par des tiers et contenant des informations
relatives à cette personne, également dans l'hypothèse où ce nom ou ces informations ne sont pas effacés
préalablement ou simultanément de ces pages Internet, et ce, le cas échéant, même lorsque leur publication en
elle-même sur lesdites pages est licite”
-La CJUE a considéré que l'intérêt de la personne concernée va prévaloir sur l'intérêt économique de
l'exploitant du moteur du recherche mais également dans une certaine mesure sur l'intérêt du public à
accéder à une liste d’informations lorsqu’une recherche porte sur le nom d’une personne ne prévaut pas sur le
droit à l’info dans des situations particulières ( rôle de la personne joué dans la vie publique et justifie l'intérêt
prépondérant du public.)
L’arrêt google spain crée le droit au défournement mais le met immédiatement en lien avec le droit à l'information
notamment lorsque la personne joue un rôle dans la vie publique= contrôle de proportionnalité.
-Sont pris en compte :
-la nature le l'info en qst
-sa sensibilité pour la vie privé de la personne concernée
-l’intérêt du public à disposer de cette info
-en fonction du rôle joué par la personne dans la vie publique
Précisions JP sur le droit au déréférencement
-En principe, ce droit se limite au territoire européen : seulement sur les versions européennes du moteur
de recherche.
-Les autorités de contrôle ou judiciaires peuvent demander au cas par cas à un moteur de recherche de
différencier les résultats sur tout son moteur de recherche, si mise en place de la protection de la vie pv du
demandeur d’une part et le droit à la liberté d’info d’autre part (arrêt CJUE : une autorité de contrôle avait
décidé d’appliquer le defrérencement aux moteurs de recherche de manière absolue, même en dehors à l'UE= mais
permet dans certains cas particuliers de déborder.)
Quelques chiffres et exemples
Google tient une page relative à l’exercice du droit au déréférencement avec des stats (1.4 millions de demandes
pour environ 6 millions de pages internet).

Droit à l’effacement
D’après l’article 17 du RGPD, “la personne concernée a le droit d'obtenir du responsable du traitement l'effacement,
dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a
l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs
suivants s'applique:”
 il s’agit de supprimer les données d’origines, ou de les anonymiser.
Le droit à l’E doit s’appuyer sur des motifs qui sont énumérés dans le RGPD (article 17) :
-lorsque le données ne sont plus nécessaires au regard de la finalité du traitement
-lorsque le traitement est fondé sur le consentement et que la personne retire son consentement
-lorsque la personne exerce son droit d’opposition
-découvre qu’aucun motif valable pour maintenir le traitement
-les données à caractère personnel ont fait l'objet d'un traitement illicite;
-les données ont été collectée dans le cas d’une offre de service destinées aux enfants
-Le droit à l’effacement est limité quand un intérêt aux droits de la personne concernée existe.
Ces conditions ne s'appliquent pas dans la mesure où ce traitement est nécessaire:
-à l'exercice du droit à la liberté d'expression et d'information;
- pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par
le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une
mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable
du traitement;
- pour des motifs d'intérêt public dans le domaine de la santé publique;
-à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou
à des fins statistiques,dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre
impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;
-à la constatation, à l'exercice ou à la défense de droits en justice.

Fin pour le partiel blanc

Les outils généraux de mise en conformité

Les documents et formalités obligatoire

Les registres des activités de traitement
-Document interne à un organisme avec des infos ( base légales, finalités de traitement, catégories de
destinataires, catégories de personnes concernées etc) qui doit être rempli et tenu à jour.
- Il est utile pour les personnes concernées et à la CNIL en cas de contrôle ou même la justice.
L’analyse d’impact
Il est prévu à l’article 35 du RGPD, elle vise à évaluer les risques que le traitement fait peser sur les droits et
libertés de personnes concernées : elle est obligatoire quand le traitement est susceptible d'engendrer un risque
élevé pour les droits et libertés des personnes physiques.
Les situations où l'AIPD est obligatoire
Le G29 a donné 9 critères qui permettent d’évaluer cela et si deux de ces critères sont remplis= on
considère que l'apd est obligatoire :
-notation ou évaluation des personnes concernées y compris le profilage et des activités de prédiction.
-les prises de décisions automatisées avec effet juridique et effet similaire significatif
-la surveillance systématique
-le traitement de données sensibles ou de données à caractère autant personnel
-le traitement de données à grande échelle (soit bcp de personnes soit bcp de données)
-le croisement ou la combinaison d’ensemble de données (ex : fb et google)
-le traitement qui concerne les personnes vulnérables
-L’utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles
-les traitements qui empêchent d'exercer un droit ou d'en bénéficier d’un service ou d’un contrat
Les exceptions à l’obligation d'AIPD (analyse d’impact sur la protection des données)
Globalement, les traitements très courants sont épargnés.
Le contenu de l’AIPD
L’article 35§7 prévoit que l'aide doit contenir 4 éléments :
-une description des opérations de traitement et des finalités et le cas échéant l'intérêt légitime poursuivi
-une évaluation de la nécessité et de la proportionnalités des opérations du traitement au regard de la
finalité
-une évaluation de risques pour les droits et libertés de personnes*
-les mesures envisagées pour faire face aux risques.

Les organismes internationaux de normalisation

Les normes iso par l’organisation internationale de normalisation
-Les normes ISO sont des docs officiels qui permettent d'unifier à l'échelle internationale, des procédures et
des critères de qualité dans de très nombreux domaines TRÈS !
-Les normes isos sont issues de l’organisation internationale de normalisation.
Ces normes techniques contiennent des spécifications techniques et des critères qui assurent que les produits et
matériaux, programmes info, sont adaptés à leur utilisation.
-Elles visent à assurer la cohérence des produits sur le marché.
-Ces normes sont volontaires, elles ne sont pas impératives (seulement si un Etat ou l’UE y fait référence=
impératives). C'est pour cela que les juristes ne se sont pas s'intéresser à ces normes.
Par exemple: La norme ISO 31000 qui porte sur le management du risque : c’est sur elle que s’appuie
l'analyse d’impact.
-La norme ISO 27701 international sur la gouvernance et les mesures de sécurité à mettre en place pour les DCP.

La CEI
-Dans le domaine du numérique, il y a un autre organisme que l’ISO, c’est la commission électrotechnique
internationale qui elle est chargée de la normalisation dans un domaine très spécifique: l'électricité, de
l'électronique, de la compatibilité électromagnétique, de la nanotechnologie et des techniques connexes.
-Le CEI et l’ISO produisent ensemble des normes relatives aux technologies de l’info et de la com.
-Donc les normes techniques sont privées, volontaires et non impératives. Si les organismes acceptent
c’est pour gagner du temps (grâce à la standardisation).
-Le RGPD incite au recours à des normes privées mais aussi les modes alternatifs notamment la certification et les
code de conduite.

Les modes alternatifs de régulation privées

Les codes de conduites
-S’appliquent à des domaines particuliers et à des petites structures.
-Ils vont donner des docs concerts avec des exemples de techniques etc ;
- Le but est l’harmonisation dans un secteur d’activité.
- Les codes de conduite ne sont obligatoires que pour les adhérents mais le RGPD incite et la CNIL publie
après avoir été approuvée (tampon RGPD valide).
-La certification
Elle permet d’établir qu’un produit, service, processus ou un système de données a été évalué
conformément aux critères d’un référentiel.
La certification c’est un peu l’examen de validation d’une norme technique ou privée.
2 types : celles spécifiques aux normes techniques (ex : ISO 27701 qui un mécanisme d certification mais qui est
différente de celle du RGPD)

INTRODUCTION A L’IA
Les décisions automatisées
Des IA vont être mobilisées pour prendre des décisions. C’est le cas du recrutement, du scoring, dans le
système d'appariement de profil sur les sites de rencontre, les prix sur internet en matière de profilage etc.
Def algorithme : il s’agit de la description d’une suite d’opérations règlementaires non ambiguës, il s’achève après
un nombre fini d’étapes et produit un résultat.
Pour fonctionner ce dernier a besoin de données d’entrée auxquelles les opérations simples (instructions) sont
appliquées afin de produire un résultat. C’est en quelque sorte une méthode de résolution de problème.
Un algorithme qui va être transposé dans un système informatique, l’IA étant une forme particulière
d’algorithme. Un algorithme n’est pas forcément informatique.
Toutes les décisions automatisées ne reposent pas forcément sur l’IA.
-D’autres exemples de décisions automatisées, algorithme COMPASS utilisé par les juges pour évaluer des
personnes (cette personne à tel pourcentage de récidive par ex).
L’avancée des techniques liées à l'avancée de l’IA, conduit les entreprises à confier à des programmes
informatiques des décisions de plus en plus complexes initialement prévues par les humains.
-Le responsable du traitement peut refuser l'inspection si cela est nécessaire à la protection des droits et
libertés d'autrui.

L’article 22 du RGPD
Les décisions automatisées font l’objet d’un régime spécifique prévu à l’article 22 du rgpd :
1. « La personne concernée a le droit de ne pas faire l'objet d'une décision fondée
exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets
juridiques la concernant ou l'affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un
responsable du traitement;
b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est
soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts
légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en
œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts
légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une
intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de
contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de
données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9,
paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde
des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »
Dans les cas a) et c), le traitement doit être assorti de garanties, dont au moins : le droit pour la personne
concernée d’obtenir une intervention humaine de la part du responsable de traitement en premier lieu, de
contester la décision en deuxième lieu et d’exprimer son point de vue en troisième lieu (RGPD, art. 22, §3). Il s’agit
ici, entre autres, de ne pas laisser les personnes concernées seules face à une décision entièrement automatisée
les affectant significativement et sans interlocuteur. Par exemple en cas de désactivation d’un compte sur une
plateforme de travail, en cas de rejet d’une candidature à un emploi ou d’un crédit, etc.

La notion de décision fondée exclusivement sur un traitement automatisé de données

La décision fondée exclusivement sur un traitement automatisé de données
Le profilage consiste à utiliser les données personnelles d’un individu en vue d'analyser et de prédire son
comportement, par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses
préférences, ses habitudes de vie etc.
-Une entreprise de crédit à la consommation, demande le scoring (fait de s’appuyer sur les caractéristiques d’une
personne pour établir un score, une note, ex : capacité de remboursement d’un crédit), il faut prendre la décision
d’attribuer un crédit de consommation à des clients, l’entreprise demande à une autre établissement l’établissement
d’un score, la décision finale prise par un humain est-elle considérée comme une décision fondée
exclusivement sur un traitement automatisé de données ?
-Dans l’affaire C 634/21, un score de crédit est prévu par la SCHUPPA, suite au score établi, la personne
concernée n’a pas obtenu le prêt qu’elle a sollicité auprès d’un établissement de crédit. Après avoir essuyé ce refus,
la cliente a demandé à la SHUPPA de lui communiquer le score qui lui a été attribué, les infos détenues à son sujet
ainsi que la manière dont le score a été interprété.
Le score a été communiqué mais pas les infos car cela relève du secret des affaires. La pc a formé un
recours en invoquant ses droits RGPD.
-Pas encore de réponse, mais il y a un avis de l’avocat général de la CJUE «l’aspect qui me semble jouer un
rôle crucial est celui lié à la question de savoir si la procédure de prise de décision est conçue de telle manière que
le scoring effectué par la société d’information commercial pré déterminé la décision de l’établissement financier
d’accorder oui de refuser le crédit. Si le score devant être effectué sans intervention humaine qui puisse le cas
échéant vérifier son résultat et la justesse de la décision à prendre à l’égard du demandeur de crédit il parait logique
de considérer qu’il constitue lui même une décision visée à l’art 22 RGPD »
—> accent sur la pré détermination, est ce que le score emporte automatiquement résultat sans intervention
humaine —> alors entièrement automatisé.
L'avocat général pense à l'hypothèse d'une intervention humaine dans la décision de l'établissement de crédit.
Selon lui « si cette intervention humaine n'a aucune marge de manoeuvre quant à l'application du score à une
demande de crédit qu'elle n'est pas en mesure d'influencer le lien de causalité entre le score et la décision finale de
l'établissement de crédit alors le score doit être considéré comme une décision non humaine »
Une décision produisant des effets juridiques
-Le droit ou le refus d'un avantage social particulier accordé par la loi mais aussi l'admission ou le refus de
l'admission dans un pays ou le refus de citoyenneté.
-Concernant le traitement qui va affecter la personne d'une manière similaire à un effet juridique : rejet d'une
demande de crédit en ligne, les décisions qui affecte l'accès d'une personne à des soins ou qui exclut l'accès
d'une personne à l'université.
Droits de la personne concernée et interdiction
Formulation à l’article 22, au sein du chapitre 3 du RGPD, laisse penser que cet article relève des droits de la
personne concernée plutôt qu’une restriction envers le RT (visiblement d’après l’article 22, c’est ce que
considère l’avocat général de la CJUE, PIKAMAE, qui prend la position de dire que l’article 22 ne requiert pas que la
pc invoque activement ce droit.
- Il invite la CJUE a interpréter les dispositions de cet article à la lumière du considérant 71 du règlement et
considère que l’article prévoit une interdiction générale d'effectuer de tels traitements.
-La loi info et liberté s’inscrit elle clairement dans une perspective d restriction : “aucune décision produisant
des effets juridiques à l'égard d’une personne ou l’affectant de manière significative, ne peut être prise sur le seul
fondement, d’un traitement automatisé de données CP y compris le profilage.”
-L’article 22 RGPD et 47 LIL prévoit les exceptions et un régime spécifique au traitement de données
sensibles dans une perspective préventive notamment des discriminations.
-L’interdiction présente des garanties qu'un droit devant être mis en œuvre par la pc a titre individuel ne saurait
assumer.
-Par ailleurs, les décisions fondées exclusivement sur un traitement automatisé emportent des règles de
transparence et d’information spécifiques concernant « l'existence d'une prise de décision automatisée, y
compris un profilage (…) et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente,
ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée » (RGPD, art. 14,
§2, g) et art. 15, §1, h)).

L'interprétation de la décision fondée exclusivement sur un traitement automatisé et ses effets

On notera que les considérations sur le droit d’obtenir une intervention humaine recoupent en grande partie la
question de la délimitation de la notion de décision exclusivement automatisée.
- Les lignes directrices du G29 précédemment citées donnent quelques indications sur les caractères que doit
présenter cette intervention humaine. Mais on l’a vu plusieurs fois en cours : ces lignes directrices n’ont pas de force
obligatoire. De manière plus affirmée, l’article 14 de la proposition d’IA Act, portant spécifiquement sur le «
contrôle humain » des systèmes d’intelligence à haut risque contient de nombreuses dispositions sur les
conditions dans lesquelles doivent être effectué ce contrôle.

Effets sur la base légale

-Les prises de décision automatisées ne sont évidemment pas absolues, elles se concrétisent principalement par la
limitation des bases légales, au sens du RGPD, permettant de recourir à ces traitements.
Ces bases légales sont au nombre de 3, la première est lorsque la décision est autorisée par le droit de l’UE ou par
celui d'un Etat membre, lorsque la décision est nécessaire à la conclusion ou l’exécution d’un contrat.
Lorsque la décision est fondée sur le consentement de la personne concernée.

Les garanties assorties au traitement automatisé

Les règles de transparence spécifiques
-Les décisions fondées exclusivement sur les traitement automatisées emportent des règles d etransparence
spécifique “ concernant la prise de décision automatisée, y compris un profilage et au moins en pareil cas, les
informations utiles concernant la logique sous jacente, ainsi que l’importance des conséquences prévues de ce
traitement, pour la personne concernée”.
-La proposition de l’IA actuelle contient également des obligations d’infos et transparence spécifique, y compris
l’obligation de tenir une documentation particulière.
Le deuxième point est le RGPD? à travers l’article 22 va prévoir des garanties spécifiques par le traitement
desaison (exclusivement ?) automatisées: lorsque le traitement est nécessaire à la conclusion ou l’exécution d’un
contrat, ou lorsque cela est fondé sur le consentement de la personne concernée.
-Ces garanties sont au nombre de 3, la personne concernée a le droit d'obtenir une intervention humaine éd la part
du repsonsbale d etraietment, a le droit de contester la décision,
a le droit d’exprimer son point de vue?
But de cet garanties: ne pas laisser seules les personnes concernées, face à une décision entièrement automatisée
les affectant significativement.
Une partie de la doctrine s’est interrogée sur la spécificité du droit à l'intervention humaine prévue à l’article 22, dès
lors que les conditions de cette intervention ne font l’objet d’aucune précision dans le RGPD.
Si l’intervention humaine consiste seulement pour un humain à valider mécaniquement , le résultat de l’algorithme,
alors la garantie d’intervention humaine se retrouve vidée de sa substance.
-Le G29 a formulé quelques pistes sur les lignes directrices relatives aux décisions automatisées concernant les
critère à remplir pour que l’intervention humaine soit reconnue.
Le contrôle de la décision doit être significatif et ne pas constituer un geste symbolique, par ailleurs ce contrôle
devrait être effectué par une personne qui a l’autorité et la compétence pour modifier la décision.
L’article 14 est relatif au contrôle humain des systèmes d’IA à haut risque, et ce contrôle serait obligatoire pour
toutes les IA à haut risque, Attention ce contrôle n’est pas une intervention visant spécifiquement à intervenir sur les
décisions exclusivement automatisées prévues à l’article 22 du RGPD.
Le contrôle humain, de l’article 14 vise à instaurer au sein du système de gestion de risque obligatoire, une
supervision humaine, durant l’utilisation d’un SIA (système IA). Ce contrôle vise à prévenir ou réduire, au minimum
les risques pour la santé, la sécurité ou les droits fondamentaux qui peuvent apparaître, lorsqu’un SIA à haut risque
est utilisé conformément à sa destination, ou dans des conditions de mauvaises utilisations raisonnablement
prévisibles.
La personne chargée de contrôler doit pouvoir appréhender la capacité des limites du SIA pour pouvoir détecter les
signes d’anomalies, de dysfonctionnement, et de performance, elle doit comprendre un minimum comme cela
fonctionne.
-elle doit avoir conscience d’une éventuelle tendance, à se fier automatiquement, ou excessivement, au résultat
produit par un SIA à haut risque (les billets d’automatisation.
La personne doit être en mesure d'interpréter la SIA, notamment grâce à l’utilisation d'outils de méthode
d'interprétation.
-la personne doit être en mesure de décider de ne pas utiliser le système, de négliger, de passer outre, et d’inverser
le résultat.
-le dernier point est que la personne doit être capable d'interrompre le fonctionnement du SIA.
Il faut être un minimum informé sur les IA, les algorithmes, leurs risques, et avoir un recul sur l'intégration humaine
et le biais des contrôleurs et des humains en général vis-à -vis des technologies.

Les décisions automatisées

-Les admin notamment françaises font une utilisation massive des décisions automatisées : calcul de la caf ; calcul
des impôts ; les APL ; parcours up,…
-C’est un acte par lequel une autorité admin décide d’octroyer ou de refuser un avantage à une seule personne
nommément désignée
L'interdiction initiale des décisions administratives individuelle entièrement automatisées
Depuis la LIL de 1978 et jusqu’à la loi du 20 juin 2018, des décisions administratives individuelles entièrement
automatisées étaient strictement interdites, le secteur public est soumis à des exigences plus fortes vis-à-vis du
public pour protéger les droits et libertés des administrés. Cela signifie que seul les décisions prises à l’aide d’un
traitement automatisé de données étaient interdites, cela renvoi à l’intervention humaine.
Affaire en 1980 -> la CNIL avait eu à connaître d’un projet du ministère de la santé et des affaires sociales visant à
automatiser le signalement d’enfants présentant des risques psycho-sociaux. Fichier GAMIN -> visait à procéder à
une exploitation systématique des certificats de santé obligatoire délivrés au cours de la grossesse et de la première
année de l’enfant dans le but d’identifier des profils à risque devant faire l’objet d’une surveillance particulière des
services de protection maternaire et infantile . Sur la base de 170 données différentes, le système devait relever les
cas à examiner en priorité alors que même la détermination automatique d’un profil n’était qu’un élément d’aide à la
décision, la cnil a émis un avis défavorable à l’utilisation de ce fichier. Elle a relevé que l’intervention humaine
prévue n’avait qu’une apparence d’intervention humaine, la cnil précède ainsi ce qu’a affirmé le CE dans une étude
annuelle de 2014 sur le numérique et les droits fondamentaux qui au sujet de l’intervention humaine et que celle-ci
ne devait pas être formelle. Il faut éviter que des systèmes présentés comme des aides à la décision soient presque
toujours suivis, l’intervention humaine n’étant qu' apparente.
-L’étude d’impact réalisé par le CE relatif à la loi de la protection des données : l’enjeu principal en définitive n’est
pas celui d’une intervention humaine entre la décision algorithmique et sa notification dont on peut interroger la
réelle effectivité mais d’une intervention humaine ab initio (au départ) dans la fixation des règles et de leur
implémentation dans l’algorithme et d’une intervention humaine à posteriori pour reformer des décisions dans
certaines situations particulières qui seront portés le cas échéant à la connaissance de l’administration.

L’ouverture aux décisions administrative individuelles automatisées

La loi du 20 juin 2018 a ouvert aux admin françaises la possibilité de prendre des décisions entièrement
automatisées, elle complète les dispositions prévues de la loi pour une république numérique qui prévoit elle des
dispositions relatives à la transparence des algo dès admin.
Le régime des décisions automatisées en France est prévu à l’article 10 de la LIL aujourd’hui :
-les décisions entièrement automatisées sont en principe autorisées
-sur des données sensibles interdites
-l’existence d’une décision automatisée doit être mentionné à l'administré
-lorsque l'intéressé en fait la demande, le responsable du traitement doit être en mesure d’expliquer les principales
caractéristiques de la mise en œuvre de ce traitement
-l’article 10 impose au responsable de traitement de s’assurer de la maîtrise du traitement algorithmique et ses
évolutions afin de pouvoir expliquer en détail et sous une forme intelligible à la personne concernée la manière dont
la décision a été mise en œuvre

Les exigences portant sur les décisions de l’admin

Le CE a eu l’occasion d’acter les contours donnés par l’article 10 de la LIL dans le cadre de la décision 2018765DC
du 12 juin 2018 sur la loi relative à la protection des données personnelles.
En premier lieu. La situation individuelle de l’admin par le seul moyen d’un algo ne peut se faire qu’en fonction des
règles et critères définis à l’avance par le responsable du traitement. Cela signifie en premier lieu que les décisions
individuelles automatisées doivent reposer sur une base légale et poursuivre une finalité bien définie. En second
lieu, ce quel'on entend par IA a l’heure actuelle est exclu car il faut que les règles et critères soient définis à
l’avance.
CE : « ne peuvent être utilisés comme fondement d’une décision administrative individuelle les algorithmes
susceptibles de réviser les règles qu’ils appliquent sans le contrôle et la validation du responsable de traitement.
Les exigences en matière de transparence et d’information
Il y a des exigences spécifiques :
-les admin doivent faire figurer une mention explicite de l’existence d’une telle décision
-les admin doivent être en mesure de choisir une décision individuelle à la demande de l'intéressé
-Pour les admin qui ont plus de 3500 hab + 50 équivalent temps pleins -> doivent publier en ligne les règles
définissant les principaux algorithmes dans l’accomplissement de ces admin lorsque ces admin font des décisions.
2.parcours up
Parcours Up fonctionne avec l’algorithme national qui est publié depuis la création du site. L’algorithme local
également des universités, la question se pose.
TA de guadeloupe a été obligé de publier l’algo. Une saisine du CE par QPC le CE a effectivement précisé qu’il
fallait publier l’algo local mais uniquement à la personne concernée. Secret des délibérations.
Les universités doivent donner les critères chaque année mais si la personne concernée demande, alors l’uni doit
donner plus d’information.
Le cadre imposé à ces décisions

Partie 2: introduction à l’intelligence artificielle

Intro
I) algorithme et IA: typologie et définitions
-On peut considérer que les IA sont en quelque sorte une catégorie particulière d’algorithme élaborée avec
des techniques particulières et présentant des caractéristiques particulières.
L’idée d’algorithme est très ancienne, elle tire son nom d’un mathématicien percan AP Khwarizmi, les
premiers algorithmes datent du IVe siècle avant J-C.
-Un algorithme c’est la description d’une suite d’opération élémentaire non ambiguë (contraire de est-ce que
la vie a un sens par exemple). Il s’achève après un nombre fini d’étapes et produit un résultat.
D'après Larousse, il s’agit d’un nombre de règles opératoires dont l’application permet de résoudre un nombre de pb
énoncé au moyen d’un nombre fini d’opérations.
-Pour fonctionner, un algorithme a besoin de données d’entrées auxquelles des opérations simples, des
instructions sont appliquées afin de produire un résultat, c’est en quelque sorte une méthode de résolution de
problèmes informatiques.
-Mais grâce à l’évolution des ordinateurs (qui ne sont que des machines à calculer), les algorithmes et
algorithmes ont connu un essor hors du commun.
Aujourd’hui , on fait des algorithmes qui traitent d’immense masses de données qui traitent très rapidement et en
leur appliquant une quantité phénoménale d'instructions.
Les machines à calculer vont plus vite que les humains pour plein d’opérations, on peut considérer qu’ils sont plus
efficaces que les humains pour certaines tâches, mais il y a également des limites mal perçues de ce qu’on peut
faire avec l’informatique.
-L’IA est une manière de faire des algorithmes plus puissants grâce à l’avancée de l’informatique.
Un programme informatique c’est un ensemble d’instructions et d’opérations destinées à être exécutées par un
ordinateur.
Le logiciel, lui, désigne l’ensemble des programmes nécessaires au fonctionnement d’un système
informatique. Un logiciel c’est donc un ensemble de programmes qui sont les traductions d'algorithmes.
-Il y a deux types de logiciels : ceux d’exploitation qui vont servir à faire fonctionner la terminaux (ordinateurs,
smartphone etc), les plus connus sont windows, android etc.
Les logiciels ? vont être utilisés pour des tâches précises, et une finalité précise.
Concernant le terme robot, il s’agit d’une machine qui allie mécanique, électronique et informatique et est destinée à
effectuer automatiquement des tâches et des actions. La robotique est la discipline scientifiquement qui a pour objet
la conception de ces systèmes.

La notion d’IA
-La notion d’IA est avant tout un projet, tout commence avec un article d’Alan Turing publié en 1950 «
Computing machinery and intelligence ». Il explique comment construire des machines intelligentes et tester
cette intelligence. Le test de Turing serait réussi par la machine si un humain discutant avec la machine en question
est convaincu de discuter avec un humain= on serait ici face à une machine intelligente.
Née l'idée d’IA dans les années 50 (1956), et à partir du moment où elle a été formulée, des mathématiciens vont
chercher à la produire.
-Du point de vue de ce projet, le projet d’IA peut être décrit comme étant la science visant à rendre des machines
intelligentes.
-A la fin des années 60, l'émulsion autour de l’IA s’estompe, et des chercheurs iront jusqu’à dire que l’IA est
impossible à produire.
-Durant l’hiver des années 70, la branche la plus active dans la recherche en IA sera celle qui cherchera à
produire des systèmes experts. Un système expert est un logiciel capable de répondre à des questions, en
effectuant un raisonnement à partir de faits et de règles connues. Il s’agit d’écrire des règles logiques pour faire
raisonner des ordinateurs.
Les systèmes experts sont très forts ou exécutent des tâches précises, mais il est impossible de programmer un
nombre d'instructions suffisante pour générer un nombre de résultats suffisants se rapprochant de l'intelligence
humaine.
A partir des années 80, la recherche sur l’IA se développe à nouveau, les programmes infos se
complexifient grâce à la démocratisation de l’informatique: augmentation puissance ordinateurs, augmentation
de stockage, qui va naturellement favoriser la recherche dans ce domaine. Même logique qu’un système expert.

“Le machine learning”

-C’est dans les années 2010, que les techniques au fondement du l'IA se développent. Deux facteurs sont à
l'origine de ce nouvel argument:
-Les processeurs de lecture graphique pour accélérer le calcul d'algorithmes d’apprentissage, qui servent une
démarche appelée machine learning= consiste à permettre à des machines d’apprendre, sans passer par une
phase de programmation, il s’agit de faire en sorte que les programmes se programment presque tout seul.
Avec le machine learning, on fait travailler des machines d'apprentissage, qui sont des représentations de la réalité,
les conclusions tirés par exemple de la récurrence statistique, de certaines données, et une fois le modèle
d'inférence établi, il peut être utilisé avec de nouvelles données.
En matière d’IA, l'inférence fait référence au processus par lequel un modèle formé ou entraîné est utilisé
pour faire des prédictions sur des données après sa phase d’apprentissage.
On ne peut pas protéger un algorithme en soit, cela ne se protège pas en tant que tel, mais on peut protéger la
base de données, le modèle, ou même encore le logiciel / le programme, qui sont conditionnées, les frontières
d’après la prof sont floues.
-Résumé : la création du modèle va reposer non pas sur des qst de causalités, mais sur des corrélations
(statistiques).
La conception de ces modèles repose sur des analyses statistiques et non pas logiques.
Il s’agit pour l’algorithme d’apprentissage, de repérer des liens de corrélation entre les domaines, et non pas
des liens de causalité, cela signifie que l’algorithme peut connecter entre elles d'informations qui sont parfaitement
déconnectées des unes des autres.

“Le deep learning”

-Une sous catégorie de machine learning c’est le deep learning -> apprentissage par réseau de neurones.
-En tout état de cause, ces techniques permettent de produire très rapidement des systèmes très complexes
et efficaces grâce à la rapidité des ordinateurs.
-En revanche ces techniques d’apprentissages font que les programmes qui en découlent deviennent opaques,
inexplicables car complexes, longs et s'appuient sur des données ou des bribes de données qui ne font plus sens
pour des humaines. Effet boîte noire ou black box.
Cela pose des problèmes majeurs pour détecter les erreurs commises par les intelligences artificielles et
les biais qu’ils contiennent. On retiendra ici que l’apprentissage automatique a opéré un changement complet de
paradigme par rapport à la précédente génération d’IA donc les systèmes experts en apportant une approche
inductive et non déductive. Il ne s’agit plus pour un informaticien de coder les règles à la main de laisser les
ordinateurs de les découvrir par corrélation sur des quantités massives de données.
L’objectif de l’apprentissage n’est pas d'acquérir des connaissances déjà formalisées mais de comprendre la
structure de données et de l'intégrer dans des modèles notamment pour automatiser des tâches.
Se dessinent alors une limite de l’IA, elle est finaliste, elle répond à un objectif, elle sert un but déterminé par
des humains.

Notion d’IA forte et faible.

-L’IA forte est une IA qui peut tout faire, image de l’IA dans les films.
-L’IA faible est conçue pour effectuer des tâches précises.
L’IA n’existe pas vraiment, c’est un abus de langage. L’IA désigne avant tout des techniques informatiques
complexes et des manières de concevoir des algorithmes. Parmi les critiques intéressantes de ce terme, on peut
relever celui de la CNDH qui relève que le terme même d’intelligence et réseau de neurones ou encore
algorithme d’apprentissage reflète un excès d’anthropisation.

La définition juridique de l’IA

L’opération de définition juridique de l’IA n’est pas simple. Les difficultés majeures de définitions :
-les technologies évoluent, si on décrit l’IA avec trop de techniques il y a un risque d’obsolescence du droit.
-à partir du moment où on a dit que l’IA n’existait pas mais qu’il y a un degré de complexité des programmes, il
devient difficile de distinguer ce qui relève d’un traitement de données classique que ce qui relève de l’IA.
A l’heure actuelle il n’y a seulement que des propositions de définitions de l’IA.
-Pour le parlement UE -> c’est une machine avec des outils pour imiter le comporter des humains tels que le
raisonnement, la planification, etc
La définition dans la proposition d’IA act art 3 est plus complète -> «on entend par système d’intelligence
artificielle un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à
l’annexe 1 et qui peut pour un ensemble d’objectifs définis par l’homme générer des résultats tels que des
contenus, des prédictions, des recommandation ou des décisions influençant les environnements avec lesquels il
interagit. »
Annexe 1 : les approches d’apprentissage automatique ; approches de logique et de connaissances ; fondées sur
les statistiques.
-le projet d’IA act n’est pas encore sorti mais le parlement UE souhaite ajouter deux notions
supplémentaires à la définition proposée par la commission : la notion d’IA à finalité générale et système
d’IA à usage général
-Système d’IA à finalité générale -> un système entraîné sur de vastes données conçu pour la généralité des
résultat et qui peut être adapté à un large éventail de tâches distinctes
-à usage général -> système d’IA qui peut être utilisé et adapté à un large éventail d'applications pour lesquelles il
n’a pas été conçu intentionnellement et spécifiquement.

Les grandes lignes du droit de l’IA

-Les normes dans le domaine de l’intelligence artificielle ont d’abord été des normes de droit souple :
charte, éthique, recommandation, etc. Le recours à ce type de norme volontaire en lieu et en place d’une
réglementation contraignante s’appuyait sur l’idée qu’il était impossible d’appréhender avec les outils du droit
des technologies si mouvantes avec des contours difficiles à saisir.
C’est donc au départ l’auto régulation, le recours à l’éthique par les acteurs eux-mêmes qui a marqué cela.
-Les institutions juridiques ont produit des rapports destinés à orienter les pratiques et aussi à montrer les risques
des IA et à réfléchir à des propositions de réglementations.
-Celles de l’UE et du conseil de l'Europe ont été actives= réfléchir aux manières d’encadrer l’IA juridiquement
mais cette manière de réguler qui est l’autorégulation ont vite trouvé leur limites car des acteurs majeurs
pouvaient choisir de ne pas suivre le droit souple tout en ayant des activités parfois préjudiciables que le droit
commun ne pouvait pas saisir.
-On a une bascule qui tend à s'opérer= d’une réglementation exclusivement éthique on passe à une
réglementation hybride en passant par la mise en conformité mais aussi de l'éthique et des normes
d’applications volontaires (ISO 2382 de 2015 relative à l’information).