1 / 29

Introduction au Droit des Bases de Données

Introduction au Droit des Bases de Données. Frédéric Gava (MCF) gava@univ-paris12.fr LACL, bâtiment P2 du CMC, bureau 223 Université de Paris XII Val-de-Marne 61 avenue du Général de Gaulle 94010 Créteil cedex. ATTENTION !.

corina
Download Presentation

Introduction au Droit des Bases de Données

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Introduction au Droit des Bases de Données Frédéric Gava (MCF) gava@univ-paris12.fr LACL, bâtiment P2 du CMC, bureau 223 Université de Paris XII Val-de-Marne 61 avenue du Général de Gaulle 94010 Créteil cedex

  2. ATTENTION ! • L’auteur n’ayant pas une formation juridique, ni de compétences poussées en Droit, celui-ci ne souhaite pas que ce cours soit pris comme une référence • Ce cours est utilisé pour compléter une formation informatique (« Initiation aux SGBD ») pour des étudiants en Droit : il n’est là qu’à titre informatif, « pédagogique » et pour permettre un débat plus instructif sur le sujet

  3. Références • Le site de la CNIL « Commission National de l’Informatique et des Libertés » http://www.cnil.fr • http://www.droit-technologie.org/ • http://www.rabenou.org/ (site d’un avocat) • http://www.jurisnet.org/ • http://www.dit.presse.fr/ (revue de Droit de l’informatique et des télécoms) • www.legalis.net (site de jurisprudences)

  4. Introduction • Les obligations légales en matière de gestion fiscale, comptable ou sociale imposent souvent aux entreprises de conserver sur de longues périodes des documents contenant des données à caractère personnel • Les entreprises préfèrent, à tout prendre, envisager un archivage électronique souvent synonyme de coûts diminués. L'archivage électronique des données de l'entreprise (ou une BD) n'est pas innocent par rapport à la loi de 1978 sur la protection des données à caractère personnel.

  5. Définitions (1) • Les bases de données en Europe possèdent leur propre protection juridique, depuis la directive européenne du 11 mars 1996. Cette protection a la caractéristique d'être double. Les bases de données sont protégées d'une part comme oeuvre de l'esprit, par le droit d'auteur, et comme bien informationnel d'un genre nouveau, par le droit "sui generis" du producteur de la base de données • Par base de données, on entend ici tout recueil d'informations, sous forme électronique ou non, (à l'exception du moteur logiciel, si la base est sous forme électronique), accessibles individuellement • Cette définition très large couvre aussi bien en pratique les banques de données que des sites Internet par exemple

  6. Définitions (2) • Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (quel que soit la requête) • Constitue un fichier de données (ou une BD) à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés • Ce implique : • l'archivage électronique de données à caractère personnel qui étaient à l'origine sous forme électronique et qui étaient déjà soumise à la loi de 1978 • l'archivage sous forme électronique de données et qui faisaient à l'origine l’objet d’un traitement non automatisé et dont le basculement dans l’univers électronique crée un traitement automatisé qui entraîne application de la loi.

  7. D’après la CNIL

  8. Vos Droit dans les SGBD • Dans un monde largement informatisé, la loi du 6 janvier 1978 (1994) prévoit de solides garde-fous pour protéger les personnes des dangers liés aux fichiers et aux traitements informatiques contenant des données à caractère personnel. • La loi « Informatique et libertés » reconnaît aux citoyens des droits spécifiques pour préserver leur vie privée. • Les droits « Informatique et libertés » • Le droit à l’information • Le droit d’opposition • Le droit d’accès • Le droit de rectification • Le non-respect de ces droits est sanctionné pénalement.En cas de difficulté dans l’exercice de vos droits, vous pouvez saisir la CNIL

  9. Droit à l’information (1) • « Soyez curieux des informations vous concernant » • Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. • Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de : • l’identité du responsable du traitement, • l’objectif de la collecte d’informations, • le caractère obligatoire ou facultatif des réponses, • les conséquences de l’absence de réponse,  • les destinataires des informations, • les droits reconnus à la personne, • les éventuels transferts de données vers un pays hors de l’Union Européenne • s’applique aussi réseaux via des témoins de connexion

  10. Droit à l’information (2) • Les limites au droit à l’information • Il est des cas où l’obligation d'information est allégée : • lorsque les données collectées sont très vite anonymisées, • lorsque les données ne sont pas recueillies directement auprès de la personne. • Il est des cas où l’obligation d'information est exclue : • pour les fichiers de police ou de gendarmerie, • pour les fichiers relatifs à des condamnations pénales, • lorsque l’information de la personne se révèle impossible ou très difficile

  11. Droit d’opposition • « Restez maître de vos données personnelles » • Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier et cela sans se justifier (contre la prospection commercial) ; en ce sens, elle peut refuser d’apparaître dans certains fichiers ou de voir communiquer des informations sur elles à des tiers. • Le droit d'opposition peut s’exprimer : • par un refus de répondre lors d’une collecte non obligatoire de données, • par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses, • la faculté de demander la radiation des données contenues dans des fichiers commerciaux, • la possibilité d'exiger la non-cession ou la non-commercialisation d’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte… • Les limites au droit d’opposition : le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale…

  12. Droit d’accès (1) • « Consultez vos données personnelles » • Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication : • Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction. • Toute personne est en droit d’obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (finalités du traitement, du type de données enregistrées) • En exerçant son droit d’accès, la personne peut s’informer éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne

  13. Droit d’accès (2) • Les limites au droit d’accès : • Si un responsable de traitement estime qu'une demande est manifestement abusive, il peut ne pas y donner suite. En revanche si l’affaire est portée devant un juge il devra apporter la preuve du caractère manifestement abusif de la demande en cause. • Le droit d'accès ne s’exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d'atteinte à la vie privée et pendant une durée n'excédant pas celle nécessaire à l'établissement de statistiques ou à la recherche scientifique ou historique. • L’exercice du droit d’accès ne doit pas porter atteinte au droit d’auteur. • Le droit d'accès aux fichiers de police et de gendarmerie

  14. Droit de rectification • « Info ou intox, à vous de contrôler » • Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite : • Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu'il a effectuées. • Pour exercer son droit de rectification, il faut écrire à l’organisme qui détient les informations • Le demandeur peut obtenir gratuitement une copie de l'enregistrement modifié

  15. Les obligations (1) • Les utilisateurs de données personnelles ont des obligations à respecter : • La collecte des données • En principe, il faut recueillir le consentement de la personne pour utiliser une information qui l’identifie. • Sauf dérogations, vous ne pouvez pas collecter des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelles ou à la santé) • La finalité des traitements • Un fichier doit avoir un objectif précis : les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. • Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.  • La durée de conservation des informations • Les données personnelles ont une date de péremption. • Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier • La sécurité des fichiers • Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement.

  16. Les obligations (2) • Suite : • La confidentialité des données • Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit : des destinataires explicitement désignés pour en obtenir régulièrement communication, des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc) • L’information des personnes • Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. • Pour cela, il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. • La déclaration des fichiers • Certains traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être déclarés ou soumis à la CNIL. • Sinon, en gros 5 ans de prison et beaucoup d’amendes (de 1500 à 300.000 euros…)

  17. Divers avis

  18. Extraction de données • Un arrêt de la Cour d’appel de Versailles du 18 novembre 2004 (CA Versailles 9ème chambre 18 novembre 2004 Rojo R. c/ Guy R., disponible sur le site legalis.net) soumet à mention préalable le droit d’interdire l’extraction d’une base de données • Concrètement, ici, une "base de données«  correspond à tout ensemble organisé de fichiers, y compris un site web. • Et ce que signale cet arrêt, c’est que si le producteur de la base de données ne manifeste pas sa volonté d’interdire les extractions, il ne sera ensuite pas fondé à agir en cas d’extraction (fût-t-elle substantielle, comme par exemple la totalité d’un site) du contenu de sa base de données par un tiers • Donc, faite des requêtes que quand on vous l’autorise…et préciser bien si on le droit d’extraire des informations

  19. Protections (1) • Les protections : • La première protection, conformément à la philosophie du droit d'auteur, concerne uniquement la forme de la base, son architecture, et est conditionnée comme pour tout autre oeuvre par une condition d'originalité. La base doit avoir un choix d'indexage original pour être protégé par le droit d'auteur. • La deuxième protection, spécifique aux bases de données, concerne la matière contenue par la base. Le droit « sui generis » est rangé dans la catégorie des droits voisins du droit d'auteurs, droit de propriété incorporelle ad hoc, donnant des prérogatives patrimoniales au producteur de la base. Mais comme pour le droit d'auteur, l'exercice du droit est attaché à une condition. Ici, il ne s'agit pas d'originalité, mais de valeur économique : la base doit avoir été l'objet d'un investissement qualitativement ou quantitativement substantiel • Le producteur de la base de données peut donc interdire à tout utilisateur l'extraction d'éléments quantitativement ou qualitativement substantiels de la base, ou l'extraction systématique de celle-ci

  20. Protections (2) • La protection vaut pour 15 ans • Certaines exceptions sont prévues pour les utilisateurs légitimes • La théorie de droit commercial des facilités essentielles s'applique aussi et limite largement la porté du droit dans la situation où le producteur de la base serait dans une situation de monopole de fait. • A noter : il est indépendant que la base soit une base de données publiques ou non. Les données publiques restent publiques et sont libres de droit, mais ce qui est protégé c'est leur assemblage en un schéma particulier, selon l'idée que le tout vaut plus que la somme des composants. Ainsi n'importe qui par exemple pourrait construire et commercialiser sa propre base de données d'annuaire téléphonique. Par contre, personne n'aurait le droit de simplement "copier-coller" les pages jaunes...

  21. Le référencement • Référencez vos créations avec le système IDDN : http://www.iddn.org/fr/accueil.htm • Pourquoi référencer ? En référençant vous vous pré constituez la preuve de l'antériorité de vos droits • Que puis-je référencer ? Tout fichier sous forme numérique, quelque soit le format, quelque soit le système d'exploitation. Il peut s'agir d'une oeuvre (film, texte, logiciel, site web, image, son), d'une base de données, d'une idée, d'un concept, d'une "business méthode", d'une revendication sur un effet technique. • Que vais-je obtenir à l'issue du référencement ? Vous allez obtenir un certificat de référencement en ligne, accessible en 4 langues. Vous pourrez faire appel à ce certificat sécurisé depuis votre site et ainsi faire connaître vos conditions d'utilisation. • Qui est InterDeposit ? InterDeposit est la fédération internationale de l'informatique et des technologies de l'information, créée à Genève le 10 janvier 1994. Elle rassemble les organisations concernées par la protection des droits de propriété intellectuelle sur les œuvres numériques. L'un de ses membres fondateurs est l'Agence pour la Protection des Programmes.

  22. Décisions de procès • On trouve pleins de jurisprudence sur http://legalis.net et en cliquant sur « base de donnée » • Ce que l’on trouve : • extraction substantielle, contrefaçon, concurrence déloyale • piratage des SGBD • mise à disposition illicite du public d’une partie substantielle • accès non autorisé • abus de position dominante • discrimination

  23. Archivage de données

  24. Archivage selon la CNIL • La CNIL distingue trois types d’archives : • Les archives « courantes » : les données d'utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) • Les archives « intermédiaires » : les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables • Les archives « définitives » : les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction

  25. Droit à l’oubli • Les archives courantes et intermédiaires doivent respecter le « droit à l’oubli » (loi du 6 janvier 1978 modifié en 1994) • Article 6-5° : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (…) Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. • Article 24 : Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration • La CNIL recommande à cet égard que les responsables de traitements établissent, dans le cadre de leurs moyens d’archivage, des procédures aptes à gérer des durées de conservation distinctes selon les catégories de données qu’ils collectent et soient en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel

  26. Dilution de données (1) • Éviter la « dilution » des données archivées dans le système informatique de l’entreprise. • Les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. • Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

  27. Dilution de données (2) • La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) • Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise) • Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

  28. Droit d’accès (1) • Pour la CNIL, les archives courantes et intermédiaires sont soumises au droit d’accès : « Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir (...) la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ». • Et les archives définitives ? • La base juridique de cette modalisation est l’article 39-II de la loi : « Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».

  29. Droit d’accès (2) • Dès lors, pour la CNIL : • « Si, en application de la loi informatique et libertés modifiée, il peut exister pour les archives dites définitives une exception au principe du droit d’accès aux données archivées, la CNIL recommande néanmoins d’utiliser, en particulier en cas de données sensibles au sens de l’article 8 de la loi précitée, des procédés d’anonymisation • Un archivage ne s’improvise pas : il se prépare et se pense. • Dès lors la CNIL recommande que les entreprises définissent, dans le cadre de procédures formalisées, des règles d’archivage soucieuses de la loi Informatique et Libertés, et qu’une information puisse être fournie sur ces règles, en cas de demande exprimée de leur part, aux individus faisant l’objet des traitements archivés.

More Related