Contour et définition des infractions CNIL_impact de l`aspect
Document confidentiel – Ne pas diffuser sans autorisation
ALTANA CABINET D’AVOCATS
Overview and definition of personal data offences : impact of
criminal aspects
Contours et définitions des infractions CNIL : impact de l’aspect
pénal
Claire BERNIER
Traitement pénal des infractions CNIL
1
2
25/02/2013
GENERAL CRIMINAL OFFENCES IN RELATION WITH DATA PROTECTION /
INFRACTIONS PÉNALES GÉNÉRALES LIÉES AUX DONNÉES À CARACTÈRE PERSONNEL
Accès frauduleux dans un système de traitement
automatisé de données (ex. : intrusion dans le système
de traitement automatisé de données de la société SONY
en 2011 ; ou encore aux données traitées par Google pour
son service Google Apps for Business en juin 2012)
Vol de données à caractère personnel de la société
(ex. : condamnation pour vol d’une employée française
qui avait volé une liste de clients avant de quitter sa
société)
Abus de confiance (ex. : l’employée française qui avait
volé une liste de clients avait également été condamnée
sur ce fondement)
Usurpation d’identité et usurpation d’identité
virtuelle (ex. : en Angleterre, le cas de Simon Bunce, dont
les données bancaires avaient été usurpées et utilisées
sur un site pédopornographique)
Unauthorised access to automated data processing
systems (e.g. Personal Data stored by Sony have been
illegally accessed in 2011; unauthorized access to data
stored by Google Apps for Business in June 2012)
Fraudulent appropriation of data owned by the
company (e.g. a French ex-employee who has been
condemned in France for having stolen a list of clients
before quitting her job)
Breach of trust (e.g. the French ex-employee
mentioned above, who has also been condemned on this
basis)
Identity and virtual identity theft (e.g. Simon Bunce in
the UK: credit card details stolen and used on a child porn
website; Simon Bunce has been arrested and then cleared)
3
25/02/2013
CRIMINAL OFFENCES LINKED TO THE PRINCIPLES ENSHRINED IN THE PERSONAL DATA AND
TELECOMS PACKAGE DIRECTIVES / INFRACTIONS PÉNALES LIÉES AUX PRINCIPES CONSACRÉS
DANS LES DIRECTIVES SUR LES DONNÉES PERSONNELLES ET DU PAQUET TÉLÉCOM
When collecting personal Data: failure to
comply with the formalities prior to
implementing the processing of personal
data; fraudulent collect...
When exploiting personal Data: diverting
away from its proper purpose...
When storing personal data: data Security
breach; duration of storage...
When transferring personal data: transfer
of data outside the European Union...
Dans le cadre de la collecte des données à caractère
personnel : non respect des formalités préalables à la mise en
œuvre de traitements de données à caractère personnel ;
collecte frauduleuse, déloyale, illicite…
Dans le cadre de l’exploitation des données à caractère
personnel : détournement de finalité…
Dans le cadre de la conservation des données à caractère
personnel : non respect des obligations de sûreté et sécurité ;
conservation supérieure à celle déclarée ou autorisée
Dans le cadre du transfert de données à caractère
personnel : transfert de données en dehors de l’Union
Européenne…
4
25/02/2013
TWO KINDS OF OFFENCES : INTENTIONAL AND NON INTENTIONAL OFFENCES /
DEUX CATÉGORIES D’INFRACTIONS : LES INFRACTIONS INTENTIONNELLES ET
NON INTENTIONNELLES (1/2)
UNINTENTIONAL OFFENCES
Usually, proof of the offender’s intention must be provided.
However, a misdemeanour may also exist, “where the law so
provides, in cases of recklessness, negligence, or failure to observe
an obligation of due care or precaution imposed by any statute or
regulation, where it is established that the offender has failed to
show normal diligence (…)” (Art. 121-3 French Criminal Code).
When collecting personal Data: failure to comply with
the formalities prior to implementing the processing of
personal data
When exploiting personal Data: failure to comply with
the simplified standards
When storing personal data: continuation of the data
processing despite an injunction to stop the processing issued
by the CNIL or a withdrawal of the authorisation
And also, a set of petty offences. For example, in France: failure
to comply with the obligation to provide a data subject with the
following information: the identity of the data controller, the purpose
of the processing, the recipients or categories of recipients of the
data, the right granted to him by the Personal Data Protection Act
(articles R 625-10 to R 625-13 of the French Criminal Code)
INFRACTIONS NON INTENTIONNELLES
Généralement, la preuve de l’intention doit être rapportée. Mais
un délit peut également être constitué « lorsque la loi le prévoit,
en cas de faute d'imprudence, de négligence ou de manquement
à une obligation de prudence ou de sécurité prévue par la loi ou
le règlement, s'il est établi que l'auteur des faits n'a pas accompli
les diligences normales (…) » (Art. 121-3 du Code pénal)
Dans le cadre de la collecte des données à caractère
personnel : non respect des formalités préalables à la mise en
œuvre de traitements de données à caractère personnel
Dans le cadre de l’exploitation des données à caractère
personnel : non respect des normes simplifiées
Dans le cadre de la conservation des données à caractère
personnel : poursuite du traitement malgré une injonction de
cesser le traitement prononcée par la CNIL ou un retrait
d’autorisation
Et également des contraventions encourues. Par exemple, en
France : manquement à l’obligation d’informer la personne
concernée par un traitement de données à caractère personnel de
l’identité du responsable du traitement, de la finalité du
traitement, des destinataires ou catégories de destinataires, des
droits dont il dispose en vertu de la loi Informatique et Libertés
(articles R625-10 à R625-13 du Code pénal)
5
25/02/2013
TWO KINDS OF OFFENCES : INTENTIONAL AND NON INTENTIONAL OFFENCES /
DEUX CATÉGORIES D’INFRACTIONS : LES INFRACTIONS INTENTIONNELLES ET
NON INTENTIONNELLES (2/2)
INTENTIONAL OFFENCES
“There is no felony or misdemeanour in the absence of an intent to
commit it” (Art. 121-3 French Criminal Code)
General Criminal Offences in relation with Data protection:
Unauthorised access to automated data processing systems
Fraudulent appropriation of data owned by the company
Breach of trust
Virtual identity theft
Criminal offences linked to the principles enshrined in the
Personal data and Telecoms package Directive
When collecting personal Data:
fraudulent, unfair, unlawful collection of personal data
collection, despite objections, particularly for canvassing for custom
retention of “sensitive” data or offences, convictions, security
measures, without the data subject’s express consent
When exploiting personal Data: diverting away from its proper purpose
When storing personal data:
data Security breach (Personal Data and Telecoms package Directives):
failure to comply with the safety and security obligations with regard to
the collected data (distortion and access)
duration of storage
When transferring personal data:
unapproved communication to third parties of personal data whose
disclosure would have the effect of undermining the reputation of the
concerned person or constitute an invasion of his privacy
transfer of data outside the European Union
INFRACTIONS INTENTIONNELLES
« Il n'y a point de crime ou de délit sans intention de le commettre »
(article 121-3 du Code pénal)
Infractions pénales générales en relation avec les données à
caractère personnel :
Accès frauduleux dans un système de traitement automatisé de
données
Vol de données à caractère personnel
Abus de confiance
Usurpation d’identité sur internet
Infractions pénales découlant des principes consacrés dans les
directives sur les données à caractère personnel et le paquet
Télécom
Dans le cadre de la collecte des données à caractère personnel :
collecte frauduleuse, déloyale, illicite
collecte, malgré opposition, à des fins de prospection, notamment
commerciale
conservation des données « sensibles » ou d’infractions, condamnation,
sûreté, sans le consentement exprès de l’intéressé
Dans le cadre de l’exploitation des données à caractère personnel :
détournement de finalité
Dans le cadre de la conservation des données à caractère personnel :
non respect des obligations de sûreté et sécurité des données collectées
(altération et accès)
conservation supérieure à celle déclarée ou autorisée
Dans le cadre du transfert de données à caractère personnel :
communication non approuvée à des tiers de données à caractère
personnel dont la divulgation aurait pour effet de porter atteinte à la
considération de l’intéressé ou à l’intimité de sa vie privée
transfert hors Union Européenne
6
7
8
9
10
1
/
10
100%
