ALTANA CABINET D’AVOCATS Traitement pénal des infractions CNIL Overview and definition of personal data offences : impact of criminal aspects Contours et définitions des infractions CNIL : impact de l’aspect pénal Claire BERNIER Document confidentiel – Ne pas diffuser sans autorisation 1 GENERAL CRIMINAL OFFENCES IN RELATION WITH DATA PROTECTION / INFRACTIONS PÉNALES GÉNÉRALES LIÉES AUX DONNÉES À CARACTÈRE PERSONNEL Unauthorised access to automated data processing systems (e.g. Personal Data stored by Sony have been illegally accessed in 2011; unauthorized access to data stored by Google Apps for Business in June 2012) Accès frauduleux dans un système de traitement automatisé de données (ex. : intrusion dans le système de traitement automatisé de données de la société SONY en 2011 ; ou encore aux données traitées par Google pour son service Google Apps for Business en juin 2012) Fraudulent appropriation of data owned by the company (e.g. a French ex-employee who has been condemned in France for having stolen a list of clients before quitting her job) Vol de données à caractère personnel de la société (ex. : condamnation pour vol d’une employée française qui avait volé une liste de clients avant de quitter sa société) Breach of trust (e.g. the French ex-employee mentioned above, who has also been condemned on this basis) Identity and virtual identity theft (e.g. Simon Bunce in the UK: credit card details stolen and used on a child porn website; Simon Bunce has been arrested and then cleared) Abus de confiance (ex. : l’employée française qui avait volé une liste de clients avait également été condamnée sur ce fondement) Usurpation d’identité et usurpation d’identité virtuelle (ex. : en Angleterre, le cas de Simon Bunce, dont les données bancaires avaient été usurpées et utilisées sur un site pédopornographique) 25/02/2013 2 CRIMINAL OFFENCES LINKED TO THE PRINCIPLES ENSHRINED IN THE PERSONAL DATA AND TELECOMS PACKAGE DIRECTIVES / INFRACTIONS PÉNALES LIÉES AUX PRINCIPES CONSACRÉS DANS LES DIRECTIVES SUR LES DONNÉES PERSONNELLES ET DU PAQUET TÉLÉCOM When collecting personal Data: failure to comply with the formalities prior to implementing the processing of personal data; fraudulent collect... Dans le cadre de la collecte des données à caractère personnel : non respect des formalités préalables à la mise en œuvre de traitements de données à caractère personnel ; collecte frauduleuse, déloyale, illicite… When exploiting personal Data: diverting away from its proper purpose... Dans le cadre de l’exploitation des données à caractère personnel : détournement de finalité… When storing personal data: data Security breach; duration of storage... Dans le cadre de la conservation des données à caractère personnel : non respect des obligations de sûreté et sécurité ; conservation supérieure à celle déclarée ou autorisée When transferring personal data: transfer of data outside the European Union... Dans le cadre du transfert de données à caractère personnel : transfert de données en dehors de l’Union Européenne… 25/02/2013 3 TWO KINDS OF OFFENCES : INTENTIONAL AND NON INTENTIONAL OFFENCES / DEUX CATÉGORIES D’INFRACTIONS : LES INFRACTIONS INTENTIONNELLES ET NON INTENTIONNELLES (1/2) UNINTENTIONAL OFFENCES INFRACTIONS NON INTENTIONNELLES Usually, proof of the offender’s intention must be provided. However, a misdemeanour may also exist, “where the law so provides, in cases of recklessness, negligence, or failure to observe an obligation of due care or precaution imposed by any statute or regulation, where it is established that the offender has failed to show normal diligence (…)” (Art. 121-3 French Criminal Code). Généralement, la preuve de l’intention doit être rapportée. Mais un délit peut également être constitué « lorsque la loi le prévoit, en cas de faute d'imprudence, de négligence ou de manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement, s'il est établi que l'auteur des faits n'a pas accompli les diligences normales (…) » (Art. 121-3 du Code pénal) When collecting personal Data: failure to comply with the formalities prior to implementing the processing of personal data Dans le cadre de la collecte des données à caractère personnel : non respect des formalités préalables à la mise en œuvre de traitements de données à caractère personnel When exploiting personal Data: failure to comply with the simplified standards Dans le cadre de l’exploitation des données à caractère personnel : non respect des normes simplifiées When storing personal data: continuation of the data processing despite an injunction to stop the processing issued by the CNIL or a withdrawal of the authorisation Dans le cadre de la conservation des données à caractère personnel : poursuite du traitement malgré une injonction de cesser le traitement prononcée par la CNIL ou un retrait d’autorisation And also, a set of petty offences. For example, in France: failure to comply with the obligation to provide a data subject with the following information: the identity of the data controller, the purpose of the processing, the recipients or categories of recipients of the data, the right granted to him by the Personal Data Protection Act (articles R 625-10 to R 625-13 of the French Criminal Code) Et également des contraventions encourues. Par exemple, en France : manquement à l’obligation d’informer la personne concernée par un traitement de données à caractère personnel de l’identité du responsable du traitement, de la finalité du traitement, des destinataires ou catégories de destinataires, des droits dont il dispose en vertu de la loi Informatique et Libertés (articles R625-10 à R625-13 du Code pénal) 25/02/2013 4 TWO KINDS OF OFFENCES : INTENTIONAL AND NON INTENTIONAL OFFENCES / DEUX CATÉGORIES D’INFRACTIONS : LES INFRACTIONS INTENTIONNELLES ET NON INTENTIONNELLES (2/2) INTENTIONAL OFFENCES “There is no felony or misdemeanour in the absence of an intent to commit it” (Art. 121-3 French Criminal Code) General Criminal Offences in relation with Data protection: Unauthorised access to automated data processing systems Fraudulent appropriation of data owned by the company Breach of trust Virtual identity theft Criminal offences linked to the principles enshrined in the Personal data and Telecoms package Directive When collecting personal Data: fraudulent, unfair, unlawful collection of personal data collection, despite objections, particularly for canvassing for custom retention of “sensitive” data or offences, convictions, security measures, without the data subject’s express consent When exploiting personal Data: diverting away from its proper purpose When storing personal data: data Security breach (Personal Data and Telecoms package Directives): failure to comply with the safety and security obligations with regard to the collected data (distortion and access) duration of storage When transferring personal data: unapproved communication to third parties of personal data whose disclosure would have the effect of undermining the reputation of the concerned person or constitute an invasion of his privacy transfer of data outside the European Union INFRACTIONS INTENTIONNELLES « Il n'y a point de crime ou de délit sans intention de le commettre » (article 121-3 du Code pénal) Infractions pénales générales en relation avec les données à caractère personnel : Accès frauduleux dans un système de traitement automatisé de données Vol de données à caractère personnel Abus de confiance Usurpation d’identité sur internet Infractions pénales découlant des principes consacrés dans les directives sur les données à caractère personnel et le paquet Télécom Dans le cadre de la collecte des données à caractère personnel : collecte frauduleuse, déloyale, illicite collecte, malgré opposition, à des fins de prospection, notamment commerciale conservation des données « sensibles » ou d’infractions, condamnation, sûreté, sans le consentement exprès de l’intéressé Dans le cadre de l’exploitation des données à caractère personnel : détournement de finalité Dans le cadre de la conservation des données à caractère personnel : non respect des obligations de sûreté et sécurité des données collectées (altération et accès) conservation supérieure à celle déclarée ou autorisée Dans le cadre du transfert de données à caractère personnel : communication non approuvée à des tiers de données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée transfert hors Union Européenne 25/02/2013 5 THE ADMINISTRATIVE SANCTIONS TO PUNISH DATA PROTECTION VIOLATIONS: THE FRENCH EXAMPLE / LES SANCTIONS ADMINISTRATIVES DISPONIBLES POUR PUNIR LE NON RESPECT DES RÈGLES ÉNONCÉES DANS LA LOI INFORMATIQUE ET LIBERTÉS : L’EXEMPLE FRANCAIS The Select Committee of the Cnil may prononce a set of sanctions against those who do not comply with any of the obligations set out in the Personal Data Act (articles 45 to 49). Warning to a data controlerfailing to complywith the obligations of the Act The data controlerfails to complywith the abovementioned warning l’égard d’un responsable de traitement ne respectant pas les obligations de la loi The data controlercomplywi th the abovementioned warning Le responsable du traitement ne se conforme pas à la mise en demeure Le responsable du traitement se conforme à la mise en demeure 1/ Sanction pécuniaire 1/ Financial penalty 150.000 euros for the first breach, 300.000 euros for the second breach (or 5% of gross revenue for the latest financial year, within a maximum of La formation restreinte de la Commission nationale de l’informatique et des libertés peut prononcer des sanctions à l’encontre de ceux qui ne respectent pas les obligations de la loi Informatique et Libertés Mise en demeure à (articles 45 à 49) Termination of the proceedings €300,000) 2/ Injunction to cease the processing Who may be held liable ? The Data Controler: a person, public authority, department or any other organisation who determines the purposes and means of the data processing. 150.000 euros pour le 1er manquement, 300.000 euros en cas de réitération (ou 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros) Clôture de la procédure 2/ Injonction de cesser le traitement Qui est responsable ? Le responsable du traitement : la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. 25/02/2013 6 CRIMINAL PENALTIES / SANCTIONS PÉNALES For both intentional and unintentional offences, the penalty is generally a fine; La sanction généralement encourue est une amende, que l’infraction soit intentionnelle ou non intentionnelle ; However, in France: Cependant, en France : For a natural person: up to 5 years' imprisonment and a fine of 300,000 euros Pour une personne physique : jusqu’à 5 ans d’emprisonnement et une amende de 300 000 euros For a legal entity: legal entities can be held liable and the penalties incurred are the following: Pour une personne morale : les personnes morales peuvent être déclarées responsables et les peines encourues sont : • • The amount of the fine is five times greater Prohibition to carry on the activity during or by reason of the exercise of which the offence was committed; placing under judicial supervision; temporary or permanent closing down of the establishments, etc. (Art. 131-39 Criminal Code) (except for petty offences, which are punishable of a fine of €1,500 (may be raised to €3,000 in case of reccurence)) Le montant de l’amende multiplié par 5 (soit 1,5 millions d’euros) L’interdiction d’exercer l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise ; le placement sous surveillance judiciaire ; la fermeture définitive ou temporaire des établissements etc. (art. 131-39 du Code pénal) (à l’exception des contraventions, pour lesquelles la peine applicable est une amende de 1 500 euros (3 000 euros en cas de récidive)) 25/02/2013 7 CRIMINAL LIABILITY / RESPONSABILITÉ PÉNALE CRIMINAL OFFENCE / INFRACTION PENALE PERPETROR / AUTEUR Committed by the Company / Commis par la société The company may be criminally liable / La société peut être responsable pénalement : - Fine / Amende (e.g. in France / En France : 300 000 euros x 5) - Other possible sanctions / Autres sanctions possibles : prohibition to carry on the activity during or by reason of the exercise of which the offence was committed; placing under judicial supervision; temporary or permanent closing down of the establishments, etc. / Interdiction d’exercer l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle infraction a été commise ; le placement sous surveillance judiciaire ; la fermeture définitive ou temporaire des établissements, etc. (131-39 Code Pénal) ACCOMPLICE / COMPLICE The individual who knowingly, by aiding and abetting, facilitates its perpetration or commission / La personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation The individual who by means of a gift, promise, threat, order, or an abuse of authority or powers provokes the commission of an offence or gives instructions to commit it / La personne qui par don, promesse, menace, ordre, abus d’autorité ou de pouvoir aura provoqué une infraction ou donné des instructions pour la commettre - Prison term / Peine de prison (e.g. in France / En France : generally 5 years) The company may be the victim / La société peut être victime : Unauthorised access to automated data processing systems (and data security breach (Telecoms package)) / Accès frauduleux dans un système de traitement automatisé de données (et atteinte à la sécurité des données (Paquet Télécom)) Fraudulent appropriation of data owned by the company / Vol de données de la société The individual who has committed the criminal offence may also be personally liable / La personne physique qui a commis l’infraction peut également être personnellement responsable : -Fine / Amende (e.g. in France / En France : generally 300 000 euros) VICTIM / VICTIME The accomplice of the infringement is punishable as a perpetrator / Le complice encourt la même peine que l’auteur Breach of trust / Abus de confiance Identity theft / Usurpation d’identité sur internet 25/02/2013 8 MISCELLANEOUS / DIVERS DELEGATION OF POWER DÉLÉGATION DE POUVOIR TERRITORIAL COMPETENCE OF CRIMINAL JURISDICTIONS COMPÉTENCE TERRITORIALE DES JURIDICTIONS PÉNALES • for instance, French courts have competence to deal with any litigation when: • par exemple, les juridictions françaises sont compétentes pour juger de n’importe quelle affaire dès lors que : one of the constituent elements of the offence is committed in France; un des éléments constitutifs de l’infraction a été commis en France ; when the victim of the offence is a French citizen, wherever the offence is committed; la victime de l’infraction est française, peu importe où l’infraction a été commise ; the offence is committed by a French national outside the territory of the French Republic if the said behavior is punishable under the legislation of the country in which it was committed; l’infraction est commise par un citoyen français en dehors du territoire français, mais seulement si l’acte en question est punissable en vertu de la loi du pays où il a été commis • Attractive power of French criminal Procedure: Quid for Cloud Computing? • Pouvoir attractif de la procédure pénale française : Quid pour le Cloud Computing ? INSURABILITY ASSURABILITÉ 25/02/2013 9 CONTACT CLAIRE BERNIER Avocat Associé ALTANA 45 rue de Tocqueville – 75017 PARIS LD : 01 79 97 92 79 Fax : 01 79 97 97 69 [email protected] 25/02/2013 10