DROIT EUROPEEN DU NUMERIQUE Exam : tous types d’exams possible cas pratique, dissertation, commentaire arrêt, article). Regarder chaque semaine actu juridique du numérique. Qu’est-ce que le droit numérique ? On le retrouve dans tous les secteurs, partout dans la vie courante, le commerce, la santé, le droit etc. Les fichiers, les dossiers, les informations personnelles, les logiciels, les applis, les données, les objets connectés, tous présentent des avantages mais aussi des inconvénients. La matière du droit du numérique est une matière éclatée. Le numérique a des impacts sur le monde, parfois on peut parler de rupture du numérique, selon les domaines. ERP : système d’information dans les entreprises, il permet par de dire que les stocks sont épuisés et va de lui-même à un réapprovisionnement. Il y a un rôle important du numérique en entreprise. Dans le cadre de la maintenance aussi le numérique est omniprésent et s’avère être important. Dans le monde agricole, les choses ont bcp changé grâce au numérique. Dans le cadre de la recherche en biologie également. Dans le domaine juridique le numérique est présent et il faut que le juriste s’adapte. Ex : Smart contract = contrat s’appliquant de lui-même. Clause particulière insérée dans le contrat. La machine détecte automatiquement et gère les délais etc. Ex : la justice prédictive (aide à la décision), c’est intégrer toutes les décisions de justice dans une base de données. Le magistrat peut se rapporter à celle-ci pour se baser sur ces décisions afin de rendre son jugement. La décision est-elle prise par la machine ou l’être humain ? = problème d’actualité. Dans le cadre du numérique, de nouveaux métiers voient le jour. Ex : comunity manager, chargé de relations publiques digitales, web designer etc. Qu’est-ce que la blog chaine ? ( à rechercher). L’expression la plus utilisée c’est « droit du numérique » avant on parlait de droit de l’informatique. Comment en sommes-nous arrivé là ? cf : Loi 6 janvier 1978 informatique fichier et liberté : au départ on s’intéressait à l’informatique matériel. A l’époque peu de particuliers avaient des ordinateurs. Puis cela s’est démocratisé. Le vocabulaire a évolué ensuite. La notion a changé lorsque la technologie informatique a permis de nouvelles formes de communication. La numérisation a entrainé une globalisation des informations, tout est numérisé dans la vie courante. On va donc s’intéressé à tout ce qui tourne autour. Tout est presque numérisable aujourd’hui grâce aux algorythmes etc. Ensuite le réseau arpanet (précurseur d’internet) a été créer, il s’agissait à la base d’un outil utilisé par l’armée américaine et les universités américaines pour échanger des infos. En France, l’internet commence par le minitel par l’INRAA. Cela a développé la notion de réseau. Ce qui explique la domination des USA sur l’internet. Elle pose la réaction des autres pays du monde. L’Europe ne s’est fermée face à ce tsunami informatique américain, elle a voulu faire appliquer son propre droit. L’idée était d’être attractif envers les entreprises. La capacité de consommation Européenne est supérieure aux américains. La stratégie a bien marché. Le marché européen a bien fonctionné. Mais cette stratégie a présenté aussi des faiblesses. Tous les membres de l’Union E n’ont pas les mêmes lois. L’Europe aimerai avoir une retombée éco positive de l’activité des géants d’internet. Des enquêtes sont menées sur Apple. L’internet d’aujourd’hui n’a plus rien à voir avec l’internet de ses débuts. On le remarque dans les termes employés pour qualifier le réseau. Le web 1.0 = la toile lorsqu’elle se contente de donner des infos sans intéractivités, sans dynamisme. Le web 2.0 = l’internaute peut poster du contenu ou intéragir avec la toile. Le web 3.0 = le stade futur du web, qui reposera sur le développement de la 3G, le web sémantique (adapter la réponse sur la base des requêtes effectuées précédement) ou sur l’internet des objets (qui communiquent par le biais d’internet). Deep web = résultats qu’on ne retrouve plus. Page référencées qui ne remontent pas dans les résultats de recherche du fait d’un mauvais référencement ou d’une absence de mise à jour. Dark web = le web caché. Il sert souvent à faire des transactions illicites. C’est un monde à part. L’internet est de façon générale, est en perpétuel mouvement. La technologie s’affirme et se réinvente sans cesse. Pour cette raison, le droit peine à proposer un système de régulation à jour et homogène. Le droit est toujours en retard par rapport à la technologie. De nouvelles pratiques se forment, des domaines naissent sans cesse et ne sont pas encore régularisable. Parfois, il vaut mieux attendre plutôt que de réguler directement à l’apparition de nouvelles pratiques. Il faut pouvoir mettre en place une loi pertinente et en calculer les conséquences. Le droit est parcellaire, composé d’un ensemble de textes, dont bcp sont issus du droit européen, dont certains s’empilent sans véritable mise à plat au préalable. Ces textes encadrent des pratiques diverses et variées. Parmi ces sources on peut citer : - - - La loi du 6 janvier 1978 sur la protection des données personnelles. La loi du 3 juillet 1985 sur la protection des logiciels par les droits d’auteur. La loi du 5 janvier 1988 sur la prod’ informatique. La loi du 1er Juillet 1998 sur la protection des bases de données. La loi du 13 Mars 2000 sur l’adaptation du droit de la preuve aux technologies de l’information et la signature electronique. La loi du 1er Août 2000 sur la responsabilité des fournisseurs d’hébergement sur l’internet. La loi du 21 Juin 2004 sur la confiance en l’économie numérique. Transposition de la directive du 8 juin 2000 relative aux commerces électronique. La loi du 6 août 2004 Relative à la protection des personnes physque sà l’égard de traitement de données à caractère personnel et modifiant la loi du 6 janvier 1978 relative à l’info et libertés et prise pour la directive du ….. . Le réglement du 23 juillet 2014 sur l’identification electronique et les services de confiance pour les transaction életronique au sein du marché intérieur. (règlement Eidas). Le règlement du 26 avril 2016 sur la circulation et la protection des données personnelles. Il a été publié en même temps que 2 directives l’une sur le traitement des données perso en matière pénale, et l’autre sur l’utilisation des données des passagers aériens. Directive 6 juillet 2016 Nis sur les mesures adoptées des systèmes d’information. D’autres textes sont en cours de discussion dans le cadre européen. Il y a des propositions de directives comme celle du 14 janvier 2017 sur le droit d’auteur par exemple. La réforme vie privée aussi. Bcp de travail en perspective, bcp de textes à décrypter etc. Certains de ces textes s’inscrivent dans le programme de la comission européenne dans la construction d’un marché unique numérique. « stratégie pour un marché unique numérique en europe ». Elle souhaite améliorer l’accès aux biens et aux services numériques. Elle souhaite instaurer un environnement propice au développement des réseaux et des services numériques. Elle souhaite faire du numérique, un moteur de …. . Pour y parvenir elle a fixé plusieurs objectifs, comme stimuler le commerce électronique. Moderniser les règles européennes en matière de droit d’auteur pour les adapter à l’air numérique. Et actualiser la réglementation de l’union en matière audiovisuelle et collaborer avec des plateformes afin de créer un environnement plus équitable pour tous, pour protéger les enfants et de mieux lutter contre les discours incitant à la haine. Garantir la sécurité. Veiller à ce que tous les citoyens de l’union disposent de la meilleure connexion internet possible. Adapter au nouvel environnement numérique les règles de la protection des données personnelles. Aider les entreprises de toutes tailles, les chercheurs, les citoyens, les pouvoirs publics, à tirer le meilleur parti des nouvelles technologies. Bibliographie : « droit du numérique » de Lamy, « La France dans la transformation numérique, quelle protection des droits fondamentaux ? » colloque par le C.E, « numérique de la révolution au naufrage » ? de F. Lorvo. Des ouvrages comme « droit de l’internet » Jean Bruiguière. « de la gouvernance à la régulation de l’internet » thèse de Berger Levrault 2016. « droit de l’internet droit français et européen » Céline Caster Renard. « informatique télécom et internet » de Alan Bensoussan. Dés qu'il y a un obstacle au développement du marché, avec les différences de législations la commission europ est compétente en matière de numérique. L'union a aussi acquis des compétences en matière de libertés avec l'ELSJ. Avant elle n'avait pas cette compétence mais depuis le traité de Lisbonne oui. Réglement + directive 27 avril 2016. Conclu : la multiplicité des règles et leur éparpillement a posé la question de savoir si il ne faudrait pas faire du droit du numérique une branche autonome du droit comme le droit du travail, pénal etc. Dès ses prémices le droit de l'informatique ne constituait pas une branche autonome, avec ses sources et son fonctionnement spécifique. Néanmoins on ne peut nier aujourd'hui que le numérique soulève des pbs spécifiques auquel le législateur a répondu en mettant en place des règles propres au numérique. L'internaute va bénéficier de droits spécifiques. Les hébergeurs de données ont une législation spécifique en matière de responsabilité par exemple. Ce particularisme justifie t il la création d'un droit spécial ? La question reste ouverte. Ces spécificités alliées à l'omniprésence du numérique justifie qu'un cours en droit du numérique soit dispensé. Plusieurs themes vont être traités : les données perso, cybersécurité, les contrats informatique ecommerce, la responsabilité contractuelle délictuelle, le droit du travail, l'accès à la justice avec mode alternatifs de règlements des conflits. Partie 1 : La protection des données personnelles Bibliographie- Anne Debet et Nathalie Metalinos "droit de l'informatiques et libertés". Guillaume Desgenspasanau Lexis Nexis Comment en est-on arrivé à protéger les données personnelles ? Point de départ : le fichier SAFARI. C’est la volonté de l’Etat de créer un énorme fichier nommé « safari ». Il interconnecterait tous les fichiers administratifs en un seul, concernant l’ensemble de la population française. Son accès se ferait par le numéro « NIR » qui est le numéro d’inscription au répertoire. Cela vient de l’acronyme qui est : le répertoire national d’identification des personnes physiques = numéro de sécu sociale. La population apprend cela et cela devient un véritable débat de société. Les français ne sont pas très favorables à la création de ce tel fichier car l’Etat n’est pas toujours bienveillant selon notre histoire antérieure. Cf : le régime de Vichy. Le fichier représente un vrai danger. L’Etat fait donc marche arrière et créer une commission pour discuter et déterminer comment on allait réguler l’informatique. Cela aboutit au vote d’une loi : la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et au libertés. On l’appellera la loi « informatique et libertés ». L’esprit de cette législation : Cette législation a pour but de permettre l’utilisation de donnée personnelle dans le respect de la vie privée et de la liberté » des personnes concernées. On cherche un équilibre entre l’utilisation des données et leur protection ainsi que le respect des droits fondamentaux. L e principe posé par le droit est : la possibilité de collecter les données. Et on y ajoute des exceptions et des limites. On valide l’explication et on encadre. Pourquoi est-ce que la loi a été rédigée dans cet esprit là ? 24 octobre 1995 directive sur la protection des données personnelles : il faut la transposer en droit français. Délai de 3 ans. Elle a été transposé en 2004 avec une loi qui vient modifier la loi de 1978. Ces textes présentent des qualités mais on.commencé à etre obsoletes rapidement. La comission a sorti un projet de réforme en Janvier 2012. Pourquoi tant de temps entre un projet et l'adoption définitive ? À cause des Lobbys. Des milliers d'amendements ont été deposé. On essaie de reporter, de repousser, pour avoir un parlement qui soit en accord davantage avec les entreprises plutôt qu'avec la population. Leur business c'est de collecter nos données. Elles ont tout intérêt à lutter contre une trop grande protection. Le reglement du 27 avril 2016 est entré finalement en application le 25 Mai 2018, avec des amendement. Puis la directive. Les entreprises sont sous l'eau qui on pris conscience de l'enormité de la tâche qui les attend. Les contrôle et sanctions augmentent. Le règlement doit s'appliquer en plus du règlement. La loi de 1978 ne disparaît pas. Comment arrive t-on a utiliser les textes ensemble ? ( règlement + loi ) afin qu'il y ait une cohérence. Ces textes sont au cours de la problématique des données perso. Mais il existe des textes annexes qui viennent se greffer à eux. Tous ces textes mettent en place un dispositif juridique complexe. Qu'il faut étudier, en plusieurs étapes. On va chercher à déterminer quand et par qui ces textes doivent être appliqué et dans quelle conditions les données peuvent elles être collectées et utilisées. Section 1 : le champs d'application de la légilstation en matière de données personnelle (loi + règlement) A) Les conditions matérielles La législation va s’appliquer dès lors qu’il y a un traitement de données à caractère personnel ; 2 conditions : existences d’un traitement et de données à caractère personnelle. 1 – le traitement Art 2 al 3 de la loi 1978 : ces textes constituent un traitement, tout opération automatisée ou non ou tout ensemble d’opérations quelques soit le procédé utilisé. Opération de Traitement = la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, ; la modification, l’utilisation, la communication, le rapprochement ou l’interconnexion, le verrouillage, la destruction de donnée. Dès lors que l’on agit, la moindre opération va être qualifié de traitement. Toute action sur la donnée relève de la définition de traitement. 2- la donnée personnelle = 4 conditions cumulatives sont nécessaires pour être face à une donnée à caractère personnel. Il faut une information, relative à une personne physique (née vivante et viable), cette personne doit être identifiée ou identifiable, cette identification peut se faire de façon directe ou indirecte. Toute info, sur tout support, peut être une donnée personnelle. Sont exclus les données concernant les personnes morales, les personnes décédées et les personnes à naitre. Sauf que en réalité ça ne marche pas comme ça. Pour la personne morale, d’autres textes ont élargi la protection des données personnelles aux personne morales. Pour la personne à naitre, il peut y avoir des droits reconnus à une personne pas encore né, et on lui retirera si la personne née non viable etc. Pour les personnes décédées, il y a des données qui peuvent être protégé car elles peuvent concerner le reste de la famille. Ensuite la personne doit être individualisée par tous types d’info. Il faut ensuite un lien directe ou indirecte : ex cela peut concerner un objet à la personne, une plaque d’immatriculation. Il y a tout de même des exceptions. IL Y A DES données pour lesquelles la loi ne va pas s’appliquer. - Les traitements mis en œuvre pour l’exercice d’activité exclusivement personnelle. Ex : collecte de données pour un enterrement de vie de garçon ou fille. Les copies temporaires faites uniquement dans le cadre d’activité de transmission et de fourniture à un réseau numérique. - - Le traitement de données anonymes. Il faut bien être sur qu’on est face à des données anonymes. La CNIL retient la notion de donnée anonymisées. Elles ont fait l’objet d’un processus d’anonymisation dont le but est de rompre le lien entre la personne et la donnée. Dès lors que la personne redevient indentifiable, la loi revient à être appliquée. L’anonymisation est très utilisée. Les données personnalisées. Dégagées par la jurisprudence dans le cadre de réponses données à des sondages. Ce sont des données personnalisées pour les personnes ayant répondu au sondage et elles bénéficient de la législation protectrice car elles reflètent les opinions de ces gens-là. MAIS ce sont des données personnalisées à la personnalité politique car cette personne est l’objet de ce sondage. B) La condition territoriale Aujourd’hui la loi nous dit 2 cas où elle s’applique territorialement. Dans le cas où le responsable de traitement est établi en France. Le second, le responsable recours à des moyens de traitement situés en France sauf si ces moyens n’ont pour seul but que d’assurer le transit des données. Le règlement va s’appliquer dans 3 cas : - Lorsque le traitement se fait dans le cadre des activités de traitement d’un établissement situé dans l’union européenne. Quand les activités de traitement sont liées à l’offre de bien ou de service, à des personnes situées dans l’union. Quand les activités de traitement sont liées, à l’observation du comportement de personnes quand ce comportement à lieu dans l’union européenne. Le règlement va davantage nous protéger. Le critère au cœur de l’application du règlement c’est l’individu. C’est une augmentation de la protection. Pour appliquer les textes il faut se poser 3 questions : Est-ce que je suis face à un traitement ? Au regard de la définition du traitement. Est-ce que ce traitement concerne des données personnelles ? Est-ce que le traitement vise une personne située dans l’union ? suis-je dans l’union ? Si oui à ces 3 questions, alors la réglementation s’applique. Les acteurs chargés de l’application de la loi A) Les acteurs intéressés au traitement IL s’agit de la personne concernée par le traitement. Ensuite la personne qui va traiter les données. 3 types de personnes : - le responsable de traitement = la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités c’est-à-dire les buts et les moyens du traitement, qui va prendre les décisions et les moyens financiers et humains. C’est lui tenu responsable en cas de nonconformité du traitement. Le responsable peut nommer un correspondant informatique et libertés. Il peut être choisi en interne ou en externe. C’est souvent une personne nommée en interne. Elle consacrera 2 jours par mois à cette mission. Il peut être mutualisé, c’est-à-dire utilisé pour plusieurs filiales. Jusqu’au règlement il était facultatif, avec le règlement il devient obligatoire dans certains cas. Il s’appellera le DPO ou déléguée à la protection des données. Pour les activités de profilage : DPO obligatoire. Pour le traitement à grandes échelle de données sensibles ou de données relatives à des infractions pénale : DPO obligatoire. Fonction qui n’existait pas, donc qui va prendre de l’importance dans les années à venir. Le DPO (CIL) sera l’objet d’un appel d’offre au niveau de l’emploi lorsque le règlement entrera en vigueur. Le rôle des correspondant informatique et liberté (CIL -DPO) : il doit établir un registre de traitement des données perso utilisées par l’organisme qui l’emploi dans les 3 mois de sa désignation. C’est compliqué à tenir en fonction de la sensibilisation de la boîte et de sa taille. C’est donc un délai relativement court. Ensuite il doit veiller au respect de la loi, à la conformité des traitements. Puis diffuser l’actualité informatique et libertés au sein de la structure. Il doit aussi faire les recommandations nécessaires et donner son avis au traitement mis en œuvre. A défaut d’être entendu il dispose d’un droit d’alerte, pour contacter le responsable de traitement. Il peut aussi alerter la CNIL s’il n’est pas entendu. Il peut aussi établir chaque année un bilan d’activité qu’il tient à disposition de la CNIL. Il faut qu’il y a ait une demande de la CNIL. - le destinataire des données le sous-traitant.