Telechargé par Levendeur Dugrenier

DROIT EUROPEEN DU NUMERIQUE

publicité
DROIT EUROPEEN DU NUMERIQUE
Exam : tous types d’exams possible cas pratique, dissertation, commentaire arrêt, article).
Regarder chaque semaine actu juridique du numérique.
Qu’est-ce que le droit numérique ? On le retrouve dans tous les secteurs, partout dans la vie
courante, le commerce, la santé, le droit etc. Les fichiers, les dossiers, les informations personnelles,
les logiciels, les applis, les données, les objets connectés, tous présentent des avantages mais aussi
des inconvénients. La matière du droit du numérique est une matière éclatée. Le numérique a des
impacts sur le monde, parfois on peut parler de rupture du numérique, selon les domaines. ERP :
système d’information dans les entreprises, il permet par de dire que les stocks sont épuisés et va de
lui-même à un réapprovisionnement. Il y a un rôle important du numérique en entreprise. Dans le
cadre de la maintenance aussi le numérique est omniprésent et s’avère être important. Dans le
monde agricole, les choses ont bcp changé grâce au numérique. Dans le cadre de la recherche en
biologie également. Dans le domaine juridique le numérique est présent et il faut que le juriste
s’adapte. Ex : Smart contract = contrat s’appliquant de lui-même. Clause particulière insérée dans le
contrat. La machine détecte automatiquement et gère les délais etc. Ex : la justice prédictive (aide à
la décision), c’est intégrer toutes les décisions de justice dans une base de données. Le magistrat
peut se rapporter à celle-ci pour se baser sur ces décisions afin de rendre son jugement. La décision
est-elle prise par la machine ou l’être humain ? = problème d’actualité. Dans le cadre du numérique,
de nouveaux métiers voient le jour. Ex : comunity manager, chargé de relations publiques digitales,
web designer etc. Qu’est-ce que la blog chaine ? ( à rechercher).
L’expression la plus utilisée c’est « droit du numérique » avant on parlait de droit de l’informatique.
Comment en sommes-nous arrivé là ? cf : Loi 6 janvier 1978 informatique fichier et liberté : au départ
on s’intéressait à l’informatique matériel. A l’époque peu de particuliers avaient des ordinateurs. Puis
cela s’est démocratisé. Le vocabulaire a évolué ensuite. La notion a changé lorsque la technologie
informatique a permis de nouvelles formes de communication. La numérisation a entrainé une
globalisation des informations, tout est numérisé dans la vie courante. On va donc s’intéressé à tout
ce qui tourne autour. Tout est presque numérisable aujourd’hui grâce aux algorythmes etc. Ensuite le
réseau arpanet (précurseur d’internet) a été créer, il s’agissait à la base d’un outil utilisé par l’armée
américaine et les universités américaines pour échanger des infos. En France, l’internet commence
par le minitel par l’INRAA. Cela a développé la notion de réseau. Ce qui explique la domination des
USA sur l’internet. Elle pose la réaction des autres pays du monde. L’Europe ne s’est fermée face à ce
tsunami informatique américain, elle a voulu faire appliquer son propre droit. L’idée était d’être
attractif envers les entreprises. La capacité de consommation Européenne est supérieure aux
américains. La stratégie a bien marché. Le marché européen a bien fonctionné.
Mais cette stratégie a présenté aussi des faiblesses. Tous les membres de l’Union E n’ont pas les
mêmes lois. L’Europe aimerai avoir une retombée éco positive de l’activité des géants d’internet. Des
enquêtes sont menées sur Apple. L’internet d’aujourd’hui n’a plus rien à voir avec l’internet de ses
débuts. On le remarque dans les termes employés pour qualifier le réseau. Le web 1.0 = la toile
lorsqu’elle se contente de donner des infos sans intéractivités, sans dynamisme. Le web 2.0 =
l’internaute peut poster du contenu ou intéragir avec la toile. Le web 3.0 = le stade futur du web, qui
reposera sur le développement de la 3G, le web sémantique (adapter la réponse sur la base des
requêtes effectuées précédement) ou sur l’internet des objets (qui communiquent par le biais
d’internet). Deep web = résultats qu’on ne retrouve plus. Page référencées qui ne remontent pas
dans les résultats de recherche du fait d’un mauvais référencement ou d’une absence de mise à jour.
Dark web = le web caché. Il sert souvent à faire des transactions illicites. C’est un monde à part.
L’internet est de façon générale, est en perpétuel mouvement. La technologie s’affirme et se
réinvente sans cesse. Pour cette raison, le droit peine à proposer un système de régulation à jour et
homogène. Le droit est toujours en retard par rapport à la technologie. De nouvelles pratiques se
forment, des domaines naissent sans cesse et ne sont pas encore régularisable. Parfois, il vaut mieux
attendre plutôt que de réguler directement à l’apparition de nouvelles pratiques. Il faut pouvoir
mettre en place une loi pertinente et en calculer les conséquences. Le droit est parcellaire, composé
d’un ensemble de textes, dont bcp sont issus du droit européen, dont certains s’empilent sans
véritable mise à plat au préalable. Ces textes encadrent des pratiques diverses et variées. Parmi ces
sources on peut citer :
-
-
-
La loi du 6 janvier 1978 sur la protection des données personnelles.
La loi du 3 juillet 1985 sur la protection des logiciels par les droits d’auteur.
La loi du 5 janvier 1988 sur la prod’ informatique.
La loi du 1er Juillet 1998 sur la protection des bases de données.
La loi du 13 Mars 2000 sur l’adaptation du droit de la preuve aux technologies de
l’information et la signature electronique.
La loi du 1er Août 2000 sur la responsabilité des fournisseurs d’hébergement sur l’internet.
La loi du 21 Juin 2004 sur la confiance en l’économie numérique. Transposition de la directive
du 8 juin 2000 relative aux commerces électronique.
La loi du 6 août 2004 Relative à la protection des personnes physque sà l’égard de traitement
de données à caractère personnel et modifiant la loi du 6 janvier 1978 relative à l’info et
libertés et prise pour la directive du ….. .
Le réglement du 23 juillet 2014 sur l’identification electronique et les services de confiance
pour les transaction életronique au sein du marché intérieur. (règlement Eidas).
Le règlement du 26 avril 2016 sur la circulation et la protection des données personnelles. Il a
été publié en même temps que 2 directives l’une sur le traitement des données perso en
matière pénale, et l’autre sur l’utilisation des données des passagers aériens.
Directive 6 juillet 2016 Nis sur les mesures adoptées des systèmes d’information.
D’autres textes sont en cours de discussion dans le cadre européen. Il y a des propositions de
directives comme celle du 14 janvier 2017 sur le droit d’auteur par exemple. La réforme vie
privée aussi. Bcp de travail en perspective, bcp de textes à décrypter etc. Certains de ces
textes s’inscrivent dans le programme de la comission européenne dans la construction d’un
marché unique numérique. « stratégie pour un marché unique numérique en europe ».
Elle souhaite améliorer l’accès aux biens et aux services numériques. Elle souhaite instaurer
un environnement propice au développement des réseaux et des services numériques. Elle
souhaite faire du numérique, un moteur de …. . Pour y parvenir elle a fixé plusieurs objectifs,
comme stimuler le commerce électronique. Moderniser les règles européennes en matière
de droit d’auteur pour les adapter à l’air numérique. Et actualiser la réglementation de
l’union en matière audiovisuelle et collaborer avec des plateformes afin de créer un
environnement plus équitable pour tous, pour protéger les enfants et de mieux lutter contre
les discours incitant à la haine. Garantir la sécurité. Veiller à ce que tous les citoyens de
l’union disposent de la meilleure connexion internet possible. Adapter au nouvel
environnement numérique les règles de la protection des données personnelles. Aider les
entreprises de toutes tailles, les chercheurs, les citoyens, les pouvoirs publics, à tirer le
meilleur parti des nouvelles technologies.
Bibliographie : « droit du numérique » de Lamy, « La France dans la transformation numérique,
quelle protection des droits fondamentaux ? » colloque par le C.E, « numérique de la révolution au
naufrage » ? de F. Lorvo. Des ouvrages comme « droit de l’internet » Jean Bruiguière. « de la
gouvernance à la régulation de l’internet » thèse de Berger Levrault 2016. « droit de l’internet droit
français et européen » Céline Caster Renard. « informatique télécom et internet » de Alan
Bensoussan.
Dés qu'il y a un obstacle au développement du marché, avec les différences de législations la commission
europ est compétente en matière de numérique. L'union a aussi acquis des compétences en matière de
libertés avec l'ELSJ. Avant elle n'avait pas cette compétence mais depuis le traité de Lisbonne oui.
Réglement + directive 27 avril 2016.
Conclu : la multiplicité des règles et leur éparpillement a posé la question de savoir si il ne faudrait pas faire
du droit du numérique une branche autonome du droit comme le droit du travail, pénal etc. Dès ses
prémices le droit de l'informatique ne constituait pas une branche autonome, avec ses sources et son
fonctionnement spécifique. Néanmoins on ne peut nier aujourd'hui que le numérique soulève des pbs
spécifiques auquel le législateur a répondu en mettant en place des règles propres au numérique.
L'internaute va bénéficier de droits spécifiques. Les hébergeurs de données ont une législation spécifique
en matière de responsabilité par exemple.
Ce particularisme justifie t il la création d'un droit spécial ? La question reste ouverte.
Ces spécificités alliées à l'omniprésence du numérique justifie qu'un cours en droit du numérique soit
dispensé.
Plusieurs themes vont être traités : les données perso, cybersécurité, les contrats informatique ecommerce, la responsabilité contractuelle délictuelle, le droit du travail, l'accès à la justice avec mode
alternatifs de règlements des conflits.
Partie 1 : La protection des données personnelles
Bibliographie- Anne Debet et Nathalie Metalinos "droit de l'informatiques et libertés". Guillaume Desgenspasanau Lexis Nexis
Comment en est-on arrivé à protéger les données personnelles ?
Point de départ : le fichier SAFARI. C’est la volonté de l’Etat de créer un énorme fichier nommé « safari ». Il
interconnecterait tous les fichiers administratifs en un seul, concernant l’ensemble de la population
française. Son accès se ferait par le numéro « NIR » qui est le numéro d’inscription au répertoire. Cela vient
de l’acronyme qui est : le répertoire national d’identification des personnes physiques = numéro de sécu
sociale. La population apprend cela et cela devient un véritable débat de société. Les français ne sont pas
très favorables à la création de ce tel fichier car l’Etat n’est pas toujours bienveillant selon notre histoire
antérieure. Cf : le régime de Vichy.
Le fichier représente un vrai danger. L’Etat fait donc marche arrière et créer une commission pour discuter
et déterminer comment on allait réguler l’informatique. Cela aboutit au vote d’une loi : la loi 78-17 du 6
janvier 1978 relative à l’informatique, aux fichiers et au libertés. On l’appellera la loi « informatique et
libertés ».
L’esprit de cette législation : Cette législation a pour but de permettre l’utilisation de donnée personnelle
dans le respect de la vie privée et de la liberté » des personnes concernées. On cherche un équilibre entre
l’utilisation des données et leur protection ainsi que le respect des droits fondamentaux. L e principe posé
par le droit est : la possibilité de collecter les données. Et on y ajoute des exceptions et des limites. On
valide l’explication et on encadre.
Pourquoi est-ce que la loi a été rédigée dans cet esprit là ?
24 octobre 1995 directive sur la protection des données personnelles : il faut la transposer en droit français.
Délai de 3 ans. Elle a été transposé en 2004 avec une loi qui vient modifier la loi de 1978. Ces textes
présentent des qualités mais on.commencé à etre obsoletes rapidement. La comission a sorti un projet de
réforme en Janvier 2012.
Pourquoi tant de temps entre un projet et l'adoption définitive ?
À cause des Lobbys. Des milliers d'amendements ont été deposé. On essaie de reporter, de repousser,
pour avoir un parlement qui soit en accord davantage avec les entreprises plutôt qu'avec la population. Leur
business c'est de collecter nos données. Elles ont tout intérêt à lutter contre une trop grande protection.
Le reglement du 27 avril 2016 est entré finalement en application le 25 Mai 2018, avec des amendement.
Puis la directive.
Les entreprises sont sous l'eau qui on pris conscience de l'enormité de la tâche qui les attend. Les contrôle
et sanctions augmentent.
Le règlement doit s'appliquer en plus du règlement. La loi de 1978 ne disparaît pas. Comment arrive t-on a
utiliser les textes ensemble ? ( règlement + loi ) afin qu'il y ait une cohérence. Ces textes sont au cours de
la problématique des données perso. Mais il existe des textes annexes qui viennent se greffer à eux.
Tous ces textes mettent en place un dispositif juridique complexe. Qu'il faut étudier, en plusieurs étapes.
On va chercher à déterminer quand et par qui ces textes doivent être appliqué et dans quelle conditions les
données peuvent elles être collectées et utilisées.
Section 1 : le champs d'application de la légilstation en matière de données personnelle (loi + règlement)
A) Les conditions matérielles
La législation va s’appliquer dès lors qu’il y a un traitement de données à caractère
personnel ; 2 conditions : existences d’un traitement et de données à caractère personnelle.
1 – le traitement
Art 2 al 3 de la loi 1978 : ces textes constituent un traitement, tout opération automatisée ou non ou
tout ensemble d’opérations quelques soit le procédé utilisé. Opération de Traitement = la collecte,
l’enregistrement, l’organisation, la conservation, l’adaptation, ; la modification, l’utilisation, la
communication, le rapprochement ou l’interconnexion, le verrouillage, la destruction de donnée. Dès
lors que l’on agit, la moindre opération va être qualifié de traitement. Toute action sur la donnée
relève de la définition de traitement.
2- la donnée personnelle
= 4 conditions cumulatives sont nécessaires pour être face à une donnée à caractère personnel. Il
faut une information, relative à une personne physique (née vivante et viable), cette personne doit
être identifiée ou identifiable, cette identification peut se faire de façon directe ou indirecte.
Toute info, sur tout support, peut être une donnée personnelle. Sont exclus les données concernant
les personnes morales, les personnes décédées et les personnes à naitre. Sauf que en réalité ça ne
marche pas comme ça. Pour la personne morale, d’autres textes ont élargi la protection des données
personnelles aux personne morales. Pour la personne à naitre, il peut y avoir des droits reconnus à
une personne pas encore né, et on lui retirera si la personne née non viable etc. Pour les personnes
décédées, il y a des données qui peuvent être protégé car elles peuvent concerner le reste de la
famille. Ensuite la personne doit être individualisée par tous types d’info. Il faut ensuite un lien
directe ou indirecte : ex cela peut concerner un objet à la personne, une plaque d’immatriculation.
Il y a tout de même des exceptions. IL Y A DES données pour lesquelles la loi ne va pas s’appliquer.
-
Les traitements mis en œuvre pour l’exercice d’activité exclusivement personnelle. Ex :
collecte de données pour un enterrement de vie de garçon ou fille.
Les copies temporaires faites uniquement dans le cadre d’activité de transmission et de
fourniture à un réseau numérique.
-
-
Le traitement de données anonymes. Il faut bien être sur qu’on est face à des données
anonymes. La CNIL retient la notion de donnée anonymisées. Elles ont fait l’objet d’un
processus d’anonymisation dont le but est de rompre le lien entre la personne et la donnée.
Dès lors que la personne redevient indentifiable, la loi revient à être appliquée.
L’anonymisation est très utilisée.
Les données personnalisées. Dégagées par la jurisprudence dans le cadre de réponses
données à des sondages. Ce sont des données personnalisées pour les personnes ayant
répondu au sondage et elles bénéficient de la législation protectrice car elles reflètent les
opinions de ces gens-là. MAIS ce sont des données personnalisées à la personnalité politique
car cette personne est l’objet de ce sondage.
B) La condition territoriale
Aujourd’hui la loi nous dit 2 cas où elle s’applique territorialement. Dans le cas où le
responsable de traitement est établi en France. Le second, le responsable recours à des
moyens de traitement situés en France sauf si ces moyens n’ont pour seul but que d’assurer
le transit des données. Le règlement va s’appliquer dans 3 cas :
-
Lorsque le traitement se fait dans le cadre des activités de traitement d’un établissement
situé dans l’union européenne.
Quand les activités de traitement sont liées à l’offre de bien ou de service, à des personnes
situées dans l’union.
Quand les activités de traitement sont liées, à l’observation du comportement de personnes
quand ce comportement à lieu dans l’union européenne.
Le règlement va davantage nous protéger. Le critère au cœur de l’application du règlement
c’est l’individu. C’est une augmentation de la protection.
Pour appliquer les textes il faut se poser 3 questions :
Est-ce que je suis face à un traitement ? Au regard de la définition du traitement.
Est-ce que ce traitement concerne des données personnelles ?
Est-ce que le traitement vise une personne située dans l’union ? suis-je dans l’union ?
Si oui à ces 3 questions, alors la réglementation s’applique.
Les acteurs chargés de l’application de la loi
A) Les acteurs intéressés au traitement
IL s’agit de la personne concernée par le traitement. Ensuite la personne qui va traiter les
données. 3 types de personnes :
-
le responsable de traitement = la personne, l’autorité publique, le service ou l’organisme qui
détermine les finalités c’est-à-dire les buts et les moyens du traitement, qui va prendre les
décisions et les moyens financiers et humains. C’est lui tenu responsable en cas de nonconformité du traitement. Le responsable peut nommer un correspondant informatique et
libertés. Il peut être choisi en interne ou en externe. C’est souvent une personne nommée en
interne. Elle consacrera 2 jours par mois à cette mission. Il peut être mutualisé, c’est-à-dire
utilisé pour plusieurs filiales. Jusqu’au règlement il était facultatif, avec le règlement il
devient obligatoire dans certains cas. Il s’appellera le DPO ou déléguée à la protection des
données. Pour les activités de profilage : DPO obligatoire. Pour le traitement à grandes
échelle de données sensibles ou de données relatives à des infractions pénale : DPO
obligatoire. Fonction qui n’existait pas, donc qui va prendre de l’importance dans les années
à venir. Le DPO (CIL) sera l’objet d’un appel d’offre au niveau de l’emploi lorsque le
règlement entrera en vigueur. Le rôle des correspondant informatique et liberté (CIL -DPO) :
il doit établir un registre de traitement des données perso utilisées par l’organisme qui
l’emploi dans les 3 mois de sa désignation. C’est compliqué à tenir en fonction de la
sensibilisation de la boîte et de sa taille. C’est donc un délai relativement court. Ensuite il doit
veiller au respect de la loi, à la conformité des traitements. Puis diffuser l’actualité
informatique et libertés au sein de la structure. Il doit aussi faire les recommandations
nécessaires et donner son avis au traitement mis en œuvre. A défaut d’être entendu il
dispose d’un droit d’alerte, pour contacter le responsable de traitement. Il peut aussi alerter
la CNIL s’il n’est pas entendu. Il peut aussi établir chaque année un bilan d’activité qu’il tient
à disposition de la CNIL. Il faut qu’il y a ait une demande de la CNIL.
-
le destinataire des données
le sous-traitant.
Téléchargement
Explore flashcards