QUEL AVOCAT POUR LA PROTECTION DE VOS DONNEES ?

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Mai 2021/

L’utilisation des nouvelles technologies est autant une source de progrès que de risques d’immixtion dans la vie privée, qui a nécessité – compte tenu de l’état d’avancement de leur développement dans le quotidien d’adapter la réglementation par phase successive.

La loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, est venue encadrer l’informatique afin que celle-ci ne porte pas atteinte à l’identité humaine, aux droits de l’homme, à la vie privée ou encore aux libertés individuelles ou publiques.

Par ailleurs, une autorité administrative indépendante, la Commission nationale de l’informatique et des libertés (CNIL), a été instituée par cette même loi, afin notamment d’exercer un contrôle de la conformité des fichiers et des traitements au regard des principes édictés par la loi.


Besoin de l'aide d'un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


La loi n° 2018-493 du 20 juin 2018 a adapté la loi « Informatique et libertés » de 1978 au paquet européen de protection des données. Ce paquet comprend le règlement général sur la protection des données (RGPD), un règlement du 27 avril 2016 directement applicable dans tous les pays européens au 25 mai 2018, ainsi qu’une directive datée du même jour sur les fichiers en matière pénale, dite directive « Police ».

La loi reprend en partie les dispositions du RGPD, dont elle n’est pas une transposition en droit français, le règlement étant d’application immédiate.

Toutes les entreprises qui recueillent, traitent et conservent des données personnelles et dont font partie les sociétés d’assurance, quelle que soit leur forme juridique, et les mutuelles - doivent ainsi se conformer à cette nouvelle réglementation et adapter en conséquence leur dispositif de lutte contre la fraude.

La loi et le RGPD visent tous deux le « traitement des données à caractère personnel » qui, par son caractère automatique (absence d’intervention humaine) ou manuel (à partir de 2004), comporte des risques certains quant aux traitements et usages excessifs qui pourraient en être faits par détournement de finalité.

Ainsi, l’article 2 de la loi dite « Informatique et libertés » précise qu’elle s’applique « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 ».

La loi et le RGPD définissent les données à caractère personnel comme « toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

En outre, le développement des nouvelles technologies constitue un progrès indéniable. Dans de nombreux cas, leur utilisation facilite en effet le quotidien.

Force est de constater que tous ces systèmes informatisés sont enfin une source riche d’informations, y compris pour soi-même avec le développement des objets connectés. En effet, à bien y regarder, l’utilisation des nouvelles technologies, aussi généralisée et banale soit-elle, n’est pas sans risques : Risques d’immixtion dans la vie privée.

Comment protéger ses données à caractère personnel ? Quel spécialiste de la protection des données à caractère personnel est habilité à vous conseiller voire à protéger vos données ?

Pour répondre à toutes ces préoccupations, l’avocat spécialisé en droit de la protection des données à caractère personnel devient un recours indispensable pour la défense de vos droits.

Le cabinet d’Avocats de Maître Murielle-CAHEN, spécialisé (e) en droit internet et informatique ainsi qu’en droit de la Propriété intellectuelle intervient dans de nombreux domaines du droit des données personnelles, au-delà de la mise en conformité RGPD et accompagne ses clients au titre du conseil et en cas de contentieux (assistance en cas de contrôle, assistance suite à mise en demeure, sanctions).

I) L’avocat en droit des données à caractère personnel vous aide dans la mise en conformité RGPD

A) Objet et objectifs du RGPD

L’avocat en droit des données à caractère personnel vous aidera à la mise en conformité RGPD. En effet, depuis le 25 mai 2018, le RGPD ou règlement général sur la protection des données en vigueur depuis le 25 mai 2016 est directement applicable dans notre législation (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016).

Le RGPD est applicable dans toutes ses dispositions et obligations depuis le 25 mai 2018, mais les États membres ont sur certains points une latitude pour le mettre en œuvre. En effet, dix articles de la loi exploitent les 57 marges de manœuvre permises par le RGPD, règlement sui generis qui, bien que d’application directe, compte plus de cinquante dispositions renvoyant au droit des États.

Il abroge la directive 95/46/CE du 24 octobre 1995 du même nom et ses dispositions sont prises en compte dans la nouvelle Loi informatique et libertés du 20 juin 2018 (L. n° 2018-493, 20 juin 2018 : JO, 21 juin), dont l’objet de responsabiliser le responsable de traitement afin que les principes relatifs au traitement de données à caractère personnel soient respectés et que ces données soient traitées de manière licite, loyale et transparente.

La loi du 20 juin 2018 conformément à la logique de renforcement du contrôle a posteriori du RGPD, supprime la plupart des démarches préalables auprès de la CNIL, en adoptant un système de contrôle a posteriori. En passant d’une logique de déclaration préalable à un régime de mise en conformité, la réforme fait ainsi peser de nouvelles responsabilités sur les entreprises.

L’ordonnance du 12 décembre 2018 est venue réécrire la loi informatique et libertés, dans une 4e version, compte tenu des nombreuses incohérences qu’elle comportait encore à la suite de la synthèse difficile qu’elle avait opérée entre la directive et le RGPD (Ord. n° 2018-1125, 12 déc. 2018 : JO, 13 déc.).

B) Traitements de données à caractère personnel visés

Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (RGPD, 27 avr. 2016, art. 2, § 1). Cette définition reprend mot pour mot celle de la directive de 1995 (Dir. 95/46/CE, art. 3, § 1).

Le règlement européen protège les données à caractère personnel de personnes physiques telles, que par exemple les clients, les salariés d’une entreprise, données qui permet d’identifier la personne ou de la rendre identifiable.

Pour ce qui concerne les données personnelles, le RGPD vise les données ou informations se rapportant à une personne physique identifiée ou identifiable. À titre d’exemples, sont des données directement identifiantes les noms et prénom, une photographie, un e-mail nominatif, tandis que les données indirectement identifiantes sont un identifiant de compte, un numéro de téléphone, le NIR (le numéro de sécurité sociale), une empreinte digitale, une adresse IP (1).

Quant au traitement, ce n’est pas uniquement un fichier, une base de données ou un tableau Excel ; il peut aussi s’agir d’une installation de vidéosurveillance, d’un système de paiement par carte bancaire ou de reconnaissance biométrique (RGPD, art. 4, 2).

II) L’avocat en droit des données à caractère personnel défend votre consentement pour l’utilisation de vos données

L’avocat pourra défendre vos droits au consentement RGPD devant les juridictions. En effet, le responsable peut procéder à un traitement de données personnelles dès lors que la personne concernée a consenti à ce traitement pour une ou plusieurs finalités spécifiques. Le consentement doit ici être compris au sens donné par la RGPD qui indique qu’il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, § 11).

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire.

Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

Le consentement doit encore être spécifique en ce sens qu’il doit être donné pour un traitement en particulier pour une finalité donnée. Dès lors que plusieurs finalités sont visées, la personne concernée devrait pouvoir consentir indépendamment pour l’une ou l’autre des finalités. Le G29 préconisait en ce sens une granularité des consentements en fonction des finalités (Lignes directrices CEPD n° 05/2020, 4 mai 2020).

Troisièmement, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

Enfin, le consentement doit être univoque. Cela signifie qu’il doit être exprimé sans aucune ambiguïté.

Pour cette raison, le RGPD édicte que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (RGPD, art. 7, § 2).

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante (2).

De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non. S’agissant des cookies, rappelons qu’en juillet 2019, la CNIL a adopté une délibération par laquelle elle a modifié sa doctrine en matière de recueil de consentement au moment de déposer les cookies pour exiger un consentement conforme à celui du RGPD (3).

Il est à noter que la décision de la CNIL de reporter d’un an l’application de cette exigence de consentement conforme au RGPD en matière de cookies a fait l’objet d’un recours devant le Conseil d’État qui a été rejeté le 16 octobre 2019 (CE, 16 oct. 2019, n° 433069).

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptés par la CNIL le 4 juillet 2019, mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Cette pratique consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion (CE, 19 juin 2020, n° 434684).

III) L’avocat en droit des données à caractère personnel vous accompagne dans votre recours en cas de non-respect de vos droits

A) Droit de saisir la CNIL

L’avocat pourra saisir la CNIL pour la défense des droits de son client. En effet, toute personne concernée a le droit d’introduire une réclamation, une pétition ou une plainte auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel (RGPD, art. 77).

Si elle estime que la réclamation est fondée, la CNIL peut désormais demander au Conseil d’État d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée.

Elle doit alors assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision d’adéquation et les actes pris par la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt Schrems (4) dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du « Safe Harbor » (L. n° 78-17, 6 janv. 1978, art. 39).

Pour l’année 2018, la CNIL indique avoir enregistré 11 077 plaintes de personnes concernées, soit une hausse de 32,5 % par rapport à l’année précédente. La CNIL précise que, le plus souvent, elle « intervient auprès du responsable du fichier pour l’informer des manquements soulevés par le plaignant et des textes applicables, afin qu’il se mette en conformité et respecte les droits des personnes ». Pour 2018, ces plaintes portent sur la diffusion de données sur internet (373 demandes de déréférencement), sur le secteur marketing/commerce, sur celui des ressources humaines, sur les secteurs de la banque et du crédit ou encore de la santé et du social (CNIL, Rapp. D’activité 2018, La Documentation française, avr. 2019, p. 42 et s.).

B) Droit de saisir les juridictions des ordres administratifs et judiciaires

L’avocat pourra saisir les juridictions de l’ordre administratif et judiciaire. En effet, l’’action peut être exercée pour lutter contre une décision de la CNIL (RGPD, art. 78) ou du responsable de traitement ou sous-traitant (RGPD, art. 79). Dans le cadre d’un litige transfrontalier, l’action est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique (RGPD, art. 79, § 2).

Le recours peut être formé à titre individuel ou collectif. Cette possibilité de mettre en œuvre une action de groupe en cas de violation des règles inhérentes au traitement de données personnelles est une innovation du RGPD (RGPD, art. 80). Elle a été intégrée dans le corpus juridique français aux articles 37 et suivants de la loi du 6 janvier 1978.

Pour l’intenter, il est nécessaire que plusieurs personnes physiques placées dans une situation similaire aient subi « un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD ou de la loi informatique et libertés par un responsable du traitement ou un sous-traitant » (L. n° 78-17, 6 janv. 1978, art. 37, II). Quant à ses modalités, l’action peut être portée à l’encontre d’un responsable de traitement ou d’un sous-traitant devant une juridiction administrative ou civile par trois catégories de personnes morales.

Il peut s’agir d’une association régulièrement déclarée depuis au moins cinq et ayant dans son objet statutaire la protection de la vie privée ou la protection des données à caractère personnel, d’une association de défense des consommateurs représentative au niveau national et agréé dès lors que le manquement en cause affecte un consommateur ou d’une organisation syndicale de salariés, de fonctionnaires ou de magistrats de l’ordre judiciaire représentative quand le traitement affecte les intérêts des personnes dont elles ont la défense en vertu de leurs statuts. Les cabinets d’avocats en sont par conséquent exclus.

La CNIL doit être tenue informée de la procédure. Pour que l’action aboutisse, le manquement doit être intervenu après le 24 mai 2018 et être de même nature pour toutes les personnes concernées qui décident d’engager la procédure. Si l’action est fondée, le responsable ou le sous-traitant peut se voir contraint de cesser le manquement et/ou, et c’est une nouveauté, d’indemniser les préjudices moraux et matériels subis par les personnes concernées.

Le dispositif encadrant les recours ouverts à la personne concernée est complété par la possibilité pour toute personne de mandater une association ou une organisation afin qu’elle agisse en son nom et pour son compte. Ici, le mandataire peut être l’une des personnes visées dans le cadre de l’action de groupe ou une association ou organisation dont l’objet statutaire est en relation avec la protection des droits et libertés ou encore une association dont la personne concernée est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.

L’éventail des personnes susceptibles d’agir en qualité de mandataire est donc plus large. Il faut noter qu’en matière pénale, cette action peut être portée devant la CNIL, contre la CNIL ou devant un juge contre un responsable de traitement ou un sous-traitant (L. n° 78-17, 6 janv. 1978, art. 38).

C) Conséquences de l’action - Engagement de la responsabilité du responsable et/ou du sous-traitant

Aux termes de l’article 82, § 2 du RGPD, il suffit qu’un responsable ait participé au traitement pour que sa responsabilité puisse être engagée en cas de dommage causé par une violation du règlement, à moins de prouver que le fait qui a provoqué le dommage ne lui est nullement imputable. À la lecture du texte, la responsabilité du responsable semble donc pouvoir être retenue largement.

Ce cadre diffère pour le sous-traitant dont la responsabilité peut désormais être engagée avec le RGPD. Tel est le cas s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. À l’image du responsable du traitement, le sous-traitant peut s’exonérer s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (RGPD, art. 82, § 2).

Pour la personne concernée, ce partage de la responsabilité n’est pas le système le plus protecteur. Pour cette raison, l’article 82, § 4 du RGPD instaure un mécanisme de solidarité lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement.

Dans cette situation, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celui qui a réparé intégralement le préjudice dispose dans un second temps, d’une action récursoire à l’encontre de ses codébiteurs (RGPD, art. 82, § 5).

Cette action récursoire n’est pas superflue au regard du renforcement des sanctions pécuniaires pouvant être prononcées par une autorité de contrôle. En effet, le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme qui ne respecterait pas le texte.

Cette amende varie en fonction de l’infraction commise, la CNIL pouvant tantôt sanctionner à hauteur de 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’organisme fautif, tantôt sanctionner à hauteur de 20 M€ ou 4 % du chiffre d’affaires annuel mondial, la plus haute des deux étant à chaque fois retenue comme amende maximum pouvant être prononcée (RGPD, art. 83, § 4 et 5).

Pouir lire une version plus courte pour téléphone mobile de cet article sur l'aide d'un avocat pour protéger vos données personelles , cliquez

 

ARTICLES QUI POURRAIENT VOUS INTÉRESSER :

SOURCES :

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Connexion sécurisé ssl 256
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d’effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut