Thème 4 , Chapitre 3
La protection des personnes dans l’univers numérique
Dans quelle mesure le droit répond-il aux questions posées par le développement numérique ?
Droit
Compétence attendue et savoirs associés
Compétence attendue :
Caractériser les conséquences juridiques des choix opérés par l’entreprise sur la protection des personnes, des données
Savoirs associés :
- Le rôle de la CNIL
- La protection de la personne : les données à caractère personnel, l’identité numérique, l’usage du numérique dans l’activité de travail
Sommaire
- I. Repérer les enjeux de la protection des données à caractère personnel
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
- II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
- Ressources complémentaires
Contexte ••
Contexte
1. Quel est l’intérêt pour les plateformes de collecter des données sur leurs utilisateurs ?
La collecte des données personnelles permet aux plateformes d’identifier les centres d’intérêt, les goûts et les préférences de leurs utilisateurs
vendre ces données à des tiers et de faire du ciblage publicitaire.
2. Les utilisateurs d’Internet ont-ils les moyens de contrôler cette collecte de leurs données ?
Les applications demandent aux utilisateurs l’autorisation de collecter leurs données
peu d’internautes lisent les conditions générales, généralement longues, afin de pouvoir accéder rapidement au site ou à l’application.
MAIS
Contexte
3. Arriveriez-vous à lister les infos persos que vous avez révélées sur un RS ou sur un autre site sur Internet ? Que pouvez-vous en conclure ?
il est impossible de déterminer précisément les infos persos que nous révélons sur les RS.
Nous dévoilons, de nous-mêmes, un grand nb d'infos relatives à notre vie privée.
Il est donc nécessaire de protéger ces données, pour protéger sa vie privée : savoir quelles sont les données collectées et maîtriser leur utilisation.
Introduction
Dans un environnement de plus en plus numérique, les individus laissent des traces en utilisant les nouvelles TIC
ils livrent ainsi des données à caractère personnel,
c’est-à-dire des infos relatives à leur vie perso, pro, amicale, sentimentale,
qui nécessitent d’être protégées par des règles juridiques.
Introduction
La protection mise en place par le droit doit être prise en compte et respectée par toutes les entreprises qui exploitent ce type de données.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
1. Qu’est-ce qu’une donnée à caractère personnel ?
Toute information qui permet, directement ou indirectement, d’identifier une personne est une donnée à caractère personnel
adresse IP, localisation, nom, numéro de téléphone, âge, sexe, empreinte digitale, numéro de carte bleue…
Il est donc nécessaire de protéger ces données, pour protéger sa vie privée : savoir quelles sont les données collectées et maîtriser leur utilisation.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
2. Donnez des exemples de dérives ou d’abus dans l’usage des données personnelles.
On peut citer les sollicitations répétées par des messages ou des appels téléphoniques au prétexte de présenter une offre adaptée aux besoins de la personne.
On peut même craindre un fichage à des fins politiques.
Dans certains cas, il peut y avoir usurpation de l’identité d’une personne à des fins malhonnêtes, comme procéder à un achat en son nom, contracter une dette…
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
3. Comment la collecte de données personnelles impacte-t-elle le domaine de l’assurance ?
Assurés
Victime
Assurance
Mutualisation du risque
Sécurité sociale
Logique de solidarité
La collecte des données à caractère personnel relatives à la santé ou la conduite automobile, présente un grand intérêt pour les mutuelles et les assurances.
Il est alors possible d’individualiser le risque en fonction du comportement de chaque assuré
(pratique sportive ou non, habitudes alimentaires, comportement au volant, respect du Code de la route…)
et donc de déterminer les primes payées par chaque assuré en fonction de son comportement, voire peut-être accepter ou refuser la prise en charge de l’indemnisation.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
4. Au regard des personnes visées par le logiciel espion, expliquez les risques économiques et politiques de l’utilisation des données personnelles.
Le logiciel a d’abord permis d’espionner des militants, des journalistes et des opposants politiques : il existe ainsi le risque qu’un État exploite à des fins politiques les données personnelles collectées sur ses citoyens (influencer des élections, contrôler des citoyens, porter atteinte à la diversité d’opinions et à la liberté d’expression…).
Ensuite, le logiciel a ciblé des chefs d’État, ce qui montre qu’un État peut avoir intérêt à espionner des États alliés ou ennemis, afin de perturber les négociations de traités ou de contrats commerciaux internationaux, voire d’influencer les élections dans un autre pays.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
La navigation sur Internet, les applications pour smartphone et les outils digitaux utilisés par les entreprises conduisent les personnes à livrer de plus en plus d’informations qui permettent, directement ou indirectement, de les identifier.
Ces données, dites « à caractère personnel »
(adresse IP, prénom, nom, coordonnées, localisation, goûts, habitudes…)
révèlent une part importante de la vie privée des individus et doivent, à ce titre, être protégées.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
En effet, leur traitement par d’autres personnes comporte plusieurs risques :
Risque d’une exploitation politique par des États, pour surveiller leurs citoyens ou d’espionner d’autres États ou de grandes entreprises
Risque d’une exploitation commerciale par des entreprises, en vue de procéder à un profilage publicitaire
Risque d’une exploitation frauduleuse par des pirates, qui pourraient, grâce aux données collectées, reconstituer l’identité numérique d’une personne afin de l’usurper dans un but malveillant.
Le droit a donc dû intervenir pour protéger ces données à caractère personnel, et ainsi la vie privée des individus.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
5. Expliquez pourquoi le RGPD permet d’unifier la protection des données au sein de l’UE.
est un règlement : il s’agit d’une loi de l’Union européenne directement applicable dans tous les pays membres de l’UE.
Les mêmes règles s’appliquent donc dans tous les États.
Complément : On peut distinguer ici - le règlement européen, directement applicable,
- de la directive européenne, qui fixe des objectifs communs que chaque État doit transposer, par ses propres moyens, dans son droit interne.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
6. En quoi le champ d’application du RGPD permet-il une protection efficace des données à caractère personnel ?
Le champ d’application du RGPD est étendu, ce qui permet de protéger efficacement les données à caractère personnel des citoyens européens :
toutes les organisations qui utilisent de telles données y sont soumises (entreprises, associations, administrations publiques) ;
quel que soit leur lieu d’établissement, au sein ou hors de l’Union européenne.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
7. Comment le RGPD permet-il de mieux maîtriser ses données personnelles ?
Tout d’abord, grâce au RGPD, les personnes disposent d’une meilleure information sur la collecte et l’utilisation de leurs données à caractère personnel (information sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et information en cas de piratage).
Ensuite, le RGPD renforce les prérogatives des individus sur leurs données à caractère personnel :
- ils doivent autoriser les entreprises à les utiliser (ces dernières doivent recueillir leur consentement)
- ils peuvent demander une copie des données détenues
- Demander leur rectification, leur suppression
- Demander leur transfert vers un autre service (« droit à la portabilité ») et s’opposer à leur utilisation.
Pour aller plus loin – https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
– https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
8. Qu’est-ce qu’un cookie ?
Un cookie est un fichier informatique qu’un site Internet dépose sur l’ordinateur, lors de sa consultation, et qui permet, grâce à la collecte de données sur l’internaute, - de faire fonctionner le site (mémorisation d’un panier d’achat, par exemple)
- mais aussi d’identifier les préférences et les goûts de l’internaute pour procéder au ciblage publicitaire.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
9. Comment les règles actuelles protègent-elles les internautes face aux cookies ?
Les internautes se voient reconnaître plusieurs prérogatives pour protéger leurs données personnelles et maîtriser leur collecte par les cookies.
- Ils disposent d’un droit d’information : les sites qui déposent des cookies doivent les informer de l’utilisation qui sera faite des données collectées.
- Il doit être aussi simple de refuser le dépôt de cookies que leur acceptation (un parallélisme des modalités d’acceptation et de refus est nécessaire).
- Les internautes peuvent saisir la CNIL en cas de non-respect des règles relatives aux cookies.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
Actuellement, la protection des données à caractère personnel est assurée par le règlement général sur la protection des données (RGPD).
Ce texte, pris dans le cadre de l’UE et applicable depuis le 25 mai 2018, s’impose à toute organisation, établie dans ou hors de l’UE, qui exploite des données personnelles de résidents européens.
Le RGPD a renforcé les droits des personnes sur leurs données à caractère personnel.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
Il a amélioré les moyens d’info des personnes sur la collecte et l’utilisation de leurs données personnelles
1.
(infos sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et infos en cas de piratage).
Il permet aux individus de maîtriser davantage leurs données à caractère perso :
2.
- ils doivent autoriser les entreprises à les utiliser
(ces dernières doivent recueillir leur consentement),
- ils peuvent demander une copie des données détenues, leur rectification, leur suppression, leur transfert vers un autre service (« droit à la portabilité »)
- s’opposer à leur utilisation.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
10. Expliquez comment les missions de la CNIL lui permettent de protéger efficacement les données personnelles.
C’est parce qu’elle intervient en amont et en aval du traitement des données à caractère personnel que la CNIL protège efficacement ces données et garantit le respect des libertés individuelles dans l’environnement numérique.
La CNIL intervient de manière curative pour protéger les données à caractère perso :
La CNIL protège, de manière préventive les données à caractère perso
en menant des actions d’information sur leur protection à destination des citoyens,
reçoit les plaintes des personnes,
des actions d’accompagnement des organisations utilisant des données personnelles
peut contrôler les orga qui collectent des données persos
en anticipant les nouveaux risques d’atteinte à la vie privée qui résultent des innovations constantes dans le secteur du num.
et, si nécessaire, les sanctionner.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
11. Quel est l’intérêt de la procédure de sanction simplifiée de la CNIL ?
Grâce à cette procédure, un plus grand nombre d’infractions, éventuellement peu importantes, pourront être examinées.
De plus, cette procédure est plus rapide que la procédure ordinaire et les sanctions qu’elle peut entraîner sont adaptées aux situations de violations parfois mineures des règles du RGPD.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
12. Dans les différents cas exposés, expliquez pourquoi la CNIL a prononcé une sanction.
Les 10 sanctions infligées dans le cadre de la procédure simplifiée sont justifiées par des manquements divers :
refus de répondre aux demandes de la CNIL
non-respect de l’obligation de minimisation des données
manquements à l’information sur le traitement des données effectué
non-respect des droits des personnes, notamment de l’obligation de répondre à une demande d’opposition
(à l’occasion de la mise en œuvre de géolocalisation et de vidéosurveillance de salariés)
Par ailleurs, la CNIL a sanctionné Google et Facebook car ces sociétés ne respectent pas les règles relatives aux cookies : la procédure pour refuser les cookies est plus complexe que celle permettant de les accepter. Concernant Facebook, la procédure est en outre ambiguë.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
En France, c’est la (CNIL) qui garantit le respect du RGPD par les entreprises et les administrations.
Elle dispose de missions lui permettant d’assurer l’effectivité du RGPD
de manière curative
de manière préventive
- information des individus sur leurs droits,
- accompagnement des entreprises pour se mettre en conformité avec les règles
- réception des plaintes émises par les personnes,
- sanctions des organisations ne respectant pas le RGPD
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
La CNIL a vu ses pouvoirs de sanction renforcés.
Ainsi, elle peut prononcer :
une mise en demeure, visant à inciter une entreprise à adopter les mesures correctives nécessaires pour se mettre en conformité avec le RGPD
une amende pécuniaire d’un montant dissuasif (de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial)
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
Depuis 2022, la CNIL peut user d’une procédure simplifiée pour les dossiers les plus simples ou d’une gravité limitée :
dans ce cadre, le président de la formation restreinte, ou un membre désigné, statue seul sur les manquements de l’organisation.
Les sanctions possibles vont du rappel à l’ordre à une injonction avec astreinte journalière, voire à une amende d’un montant maximum de 20 000 €.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
13. Comment, dans la situation du doc 11, l’usurpation d’identité numérique était-elle caractérisée ?
Dans la situation rapportée, il y a eu utilisation des données personnelles d’une étudiante pour commettre des actes répréhensibles à bord de trains de la SNCF.
Il s’agit sans doute de voyages dont le prix n’a pas été correctement acquitté.
14. Indiquez les sanctions encourues par l’auteur des faits.
Les sanctions prévues par l’article 226-4-1 du Code pénal ont pour but de punir l’auteur de l’usurpation :
toute personne qui a usurpé l’identité d’une autre personne encourt un an d’emprisonnement et 15 000 € d’amende.
L’alinéa 2 de l’article précise que cette infraction est sanctionnée de la même manière lorsque cette usurpation a été commise sur Internet.
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
15. À quel problème pratique la répression de ce délit se heurte-t-elle ?
Concrètement, une fois que l’usurpation d’identité a eu lieu, il est très difficile de « remonter » jusqu’à l’auteur des faits, puisqu’il « disparaît » derrière l’identité volée.
La victime peut avoir du mal à établir qu’elle n’est pas à l’origine des actes opérés en son nom.
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
L’usurpation de l’identité numérique consiste, pour une personne,
à collecter toutes les données à caractère personnel d’une autre personne afin de se faire passer pour cette dernière dans un but malveillant (contracter une dette, tenir des propos infamants ou dégradants…).
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
Elle est sanctionnée pénalement (peine d’emprisonnement et amende).
La victime de l’usurpation peut également obtenir des dommages-intérêts en réparation du préjudice subi.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
1. Définissez les principes de « Privacy by design » et de « Privacy by default ».
« Privacy by design »
« Privacy by default »
(respect de la vie privée dès la conception)
(protection de la vie privée par défaut)
oblige l’entreprise à définir, par défaut, un haut degré de protection des données à caractère perso collectées.
vise l’obligation pour l’entreprise de réfléchir aux moyens nécessaires à la protection des données à caractère perso dès qu’elle envisage de créer un nouveau produit qui nécessitera l’exploitation de données perso.
L’entreprise doit donc proposer la meilleure protection possible, si bien que les utilisateurs ne devraient pas avoir besoin de changer les paramètres proposés.
L’entreprise doit, tout au long du processus de production, réfléchir à l’impact de ce processus sur les données à caractère perso collectées, en vue de mettre en place les moyens de protection adéquats.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
2. En quoi ces principes assurent-ils une protection efficace des données personnelles ?
Ces deux principes obligent les entreprises à anticiper la protection des données à caractère personnel qu’elles collectent.
Le RGPD incite donc les entreprises qui exploitent des données personnelles à mettre en place des mesures préventives, plutôt que d’attendre la survenance d’un défaut de sécurité pour corriger et améliorer leur système de protection.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
3. Listez les moyens par lesquels les entreprises peuvent assurer leur conformité aux règles de protection des données personnelles.
Pour assurer leur conformité aux règles de protection des données personnelles, les entreprises disposent des moyens suivants :
- désignation d’un délégué à la protection des données (DPO, Data Protection Officer) ;
– respect des différentes obligations du RGPD (usage des données, transparence sur leur traitement, respect des droits des utilisateurs, délai de conservation)
– actions de sensibilisation des collaborateurs sur le respect et les enjeux de la protection des données à caractère personnel.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
4. À partir du doc.13 et du doc. 14, expliquez comment le RGPD institue une logique de responsabilisation (« accountability ») des entreprises en la matière.
C’est à l’entreprise qui collecte et traite des données à caractère personnel de prouver qu’elle respecte les obligations issues du RGPD.
l’entreprise devait déclarer à la CNIL qu’elle collectait des données à caractère perso puis obtenir son autorisation.
Avant le RGPD
Désormais,
elle doit pouvoir démontrer, à tout moment, qu’elle est en conformité avec le RGPD et qu’elle a pris toutes les mesures nécessaires pour protéger les données à caractère personnel collectées et analysées.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
5. Indiquez quelle est la mission principale d’un délégué à la protection des données (DPO).
Un DPO garantit le respect du RGPD par l’organisme ou l’entreprise qui l’a désigné.
Il informe et conseille : il est l’interlocuteur référent pour les questions qui se rattachent à la protection des données personnelles ; éventuellement, il collabore avec la CNIL.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
6. Quel bilan critique peut-on faire de 5 ans d’application du RGPD dans les entreprises ?
Points Posisitfs :
désignation quasi générale d’un DPO dans les orga et entreprises concernées qui ont toutes un budget dédié à la conformité RGPD.
La gestion du registre des traitements de données ainsi que l’info et formation des personnes concernées dans l’entreprise.
Points plus nuancés :
faible nbre de DPO disent avoir constaté une amélioration de la sécurité de données perso ou disposé d’une meilleure vision des données collectées et traitées.
Gestion et mise en place des durées de conservation, le Privacy by design et le Privacy by default, comme la réalisation d’analyses d’impacts sur la protection des données (AIPD) ne semblent pas donner tout à fait satisfaction.
Risques RGPD recensés sont multiples et affectent de nbreuses fonctions de l’entreprise : GRH, puis la production, le marketing et les SI.
Pour finir, l’existence de la répression possible en cas de manquement au RGPD fait craindre autant des atteintes à l’image et à la réputation que les amendes de la CNIL.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Toute entreprise qui exploite des données à caractère personnel pour son activité de production de biens ou de services doit respecter les règles européennes de protection de ces données.
Le RGPD a introduit une logique de responsabilisation (« accountability ») :
- les entreprises doivent anticiper, par des outils adéquats, les risques d’exploitation malveillante des données à caractère personnel qu’elles collectent et analysent.
- Elles doivent pouvoir prouver, à tout moment, qu’elles respectent la réglementation en la matière.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Pour assurer leur mise en conformité avec le RGPD, les entreprises sont guidées par 2 principes :
« Privacy by default »
qui les enjoint d’assurer, dès le départ, le plus haut degré de protection des données
« Privacy by design »
qui impose aux entreprises de prévoir, dès la conception d’un nouveau produit ou d’une nouvelle procédure qui nécessitera l’exploitation de données perso, des mesures préventives de sécurisation de ces données
- mise en place d’un registre de traitement des données pour récapituler les données collectées et les mesures mises en place,
- réalisation d’analyses d’impacts permettant de prévenir les risques d’atteinte à la vie privée,
- rédaction d’une charte de protection des données persos…
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Les entreprises sont incitées à désigner un délégué à la protection des données (DPO, Data Protection Officer), chargé de veiller au :
- Respect du RGPD dans l’entreprise
- l’adaptation permanente des processus mis en place avec l’évolution technologique (démarche d’amélioration continue).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
7. Quelles données personnelles un employeur peut-il détenir sur ses salariés ?
Un employeur ne peut détenir que les données à caractère personnel de ses salariés qui sont nécessaires pour la gestion des RH (gestion de la paie, des carrières…) et l’accomplissement de leurs missions dans l’entreprise.
Il lui est déconseillé de demander des informations qui ne sont pas en lien avec leur carrière ou leur mission, notamment les informations sensibles (activité syndicale, opinions politiques, religion, orientation sexuelle…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
8. Quelles sont les obligations des employeurs concernant les données personnelles détenues sur les salariés ?
Les employeurs doivent protéger les données à caractère personnel détenues sur les salariés (notamment, limiter les personnes pouvant y accéder et prévoir toutes les mesures de sécurité nécessaires).
Ils doivent informer les salariés des informations personnelles détenues afin que ces derniers puissent exercer les droits que le RGPD leur reconnaît (droit d’accès, droit d’obtenir une copie, droit de rectification…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
9. Pour quelles raisons, selon vous, l’employeur peut-il contrôler l’utilisation d’Internet par ses salariés ?
L’employeur a le droit de contrôler l’utilisation d’Internet par ses salariés afin de sécuriser le réseau de l’entreprise et d’éviter que les connexions à but personnel ne portent atteinte à la mission des salariés (les abus sont sanctionnés) ou, pis encore, ne soient à l’origine de fuites d’informations sensibles.
10. L’employeur peut-il librement consulter les mails de ses employés ?
En principe, l’employeur peut, avec ou sans la présence de ses salariés, prendre connaissance de tous les mails envoyés par ceux-ci, sauf s’ils ont été explicitement déclarés comme « personnels » ou « privés ».
En effet, les salariés ont le droit au respect de leur vie privée et au secret de leurs correspondances privées sur leur lieu de travail, même si leur employeur a interdit l’utilisation d’Internet à des fins personnelles.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
11. Pourquoi la salariée a-t-elle été licenciée par son employeur ?
La salariée a utilisé Internet de manière abusive et excessive dans un but purement personnel pendant son temps de travail.
12. Pourquoi la Cour de cassation a-t-elle confirmé la décision de la cour d’appel ?
La Cour de cassation a vérifié que l’utilisation abusive d’Internet à des fins personnelles pendant le temps de travail avait bien été caractérisée par la cour d’appel :
elle a relevé que celle-ci s’était appuyée sur le nb important de connexions et la nature extraprofessionnelle des sites consultés.
La cour d’appel a donc pu caractériser une faute grave justifiant le licenciement de la salariée.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
Traitant des données à caractère personnel de ses salariés dans le cadre de leur activité professionnelle pour gérer leurs carrières et leurs missions, l’employeur est tenu de respecter les règles du RGPD :
– il ne peut collecter que les données personnelles nécessaires à la gestion de ses salariés ;
– il doit sécuriser les données personnelles collectées ;
– il doit permettre aux salariés de pouvoir exercer les droits que leur reconnaît le RGPD
(information, droit d’obtenir une copie, droit de rectification, droit de suppression…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
L’employeur peut encadrer l’utilisation des outils numériques par les salariés dans le cadre de leur activité professionnelle, afin de garantir la sécurité du réseau et de s’assurer que les salariés remplissent la mission pour laquelle ils ont été employés
(par exemple, il peut en principe lire tous les mails envoyés et sanctionner les connexions abusives à Internet pour des usages strictement personnels).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
Cependant, ses prérogatives sont limitées par l’obligation qui lui incombe de respecter la vie privée de ses salariés et le secret de leurs correspondances
(interdiction de lire un mail explicitement déclaré comme privé, de collecter des informations issues d’un compte bloqué sur un réseau social).
Ressources numériques complémentaires
– Le RGPD expliqué en émojis (vidéo)
– Comprendre le RGPD en 5 questions (vidéo)
– Comprendre le RGPD en 5 questions
– Les étapes de la procédure de sanction par la CNIL (lien)
& Impact économique du RGPD 5 ans après
- Bilan du RGPD 5 ans après
– Comment s’assurer de la conformité d’une entreprise au RGPD (lien)
Synthèse : la protection des personnes dans l'univers numérique
Lexique : la protection des personnes dans l'univers numérique
- Commission nationale de l’informatique et des libertés (CNIL)
Autorité administrative indépendante chargée de veiller à la protection des libertés individuelles et des données personnelles, en particulier lors des usages informatiques de ces données.
- Délégué à la protection des données (DPO, Data Protection Officer)
Personne chargée, dans les structures exploitant des données personnelles, de coopérer avec la CNIL pour assurer le respect du droit. Le DPO informe les intéressés sur les obligations en matière de traitement des fichiers de données personnelles, contrôle le respect du RGPD et donne des conseils en cas de besoin.
Lexique : la protection des personnes dans l'univers numérique
Toutes les informations concernant une personne physique identifiée et identifiable.
Concept de protection de la vie privée qui impose aux entreprises, dès la conception de leurs biens ou services, de paramétrer par défaut leurs produits avec un haut niveau de protection des données personnelles avant toute utilisation de celles-ci.
Lexique : la protection des personnes dans l'univers numérique
Concept de protection de la vie privée qui impose aux entreprises utilisant des données personnelles, dès la conception de leurs biens ou services, d’assurer des mesures préventives pour anticiper les risques d’exploitation abusive de ces données.
- Responsabilisation (Accountability)
Obligation pour les entreprises exploitant des données personnelles de prendre des mesures permettant de démontrer le respect des règles relatives à la protection de ces données.
Lexique : la protection des personnes dans l'univers numérique
- Règlement général sur la protection des données (RGPD)
Règlement de l’Union européenne, entré en vigueur le 25 mai 2018, qui encadre la protection des données personnelles ; il est applicable à toutes les organisations (entreprises, administrations publiques, associations…) qui traitent des données à caractère personnel au sein de l’UE, ou des données personnelles de résidents de l’UE dans les autres parties du monde.
Infraction consistant à exploiter des données personnelles d’un tiers permettant de l’identifier et créant à son égard un trouble illicite ou une atteinte à son honneur ou à sa considération.
Lexique : la protection des personnes dans l'univers numérique
Ensemble d’éléments de la vie des personnes dont le respect s’impose à tous et constitue un droit fondamental. Le respect de la vie privée signifie pour chacun la protection de son intimité, de son image, de son domicile, de ses choix de vie…
Fin chapitre 3La protection des personnes dans l'univers numérique
T4C3 La protection des personnes dans l’univers numérique
Emma Villard
Created on February 18, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Smart Presentation
View
Practical Presentation
View
Essential Presentation
View
Akihabara Presentation
View
Flow Presentation
View
Dynamic Visual Presentation
View
Pastel Color Presentation
Explore all templates
Transcript
Thème 4 , Chapitre 3
La protection des personnes dans l’univers numérique
Dans quelle mesure le droit répond-il aux questions posées par le développement numérique ?
Droit
Compétence attendue et savoirs associés
Compétence attendue :
Caractériser les conséquences juridiques des choix opérés par l’entreprise sur la protection des personnes, des données
Savoirs associés :
Sommaire
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
Contexte ••
Contexte
1. Quel est l’intérêt pour les plateformes de collecter des données sur leurs utilisateurs ?
La collecte des données personnelles permet aux plateformes d’identifier les centres d’intérêt, les goûts et les préférences de leurs utilisateurs
vendre ces données à des tiers et de faire du ciblage publicitaire.
2. Les utilisateurs d’Internet ont-ils les moyens de contrôler cette collecte de leurs données ?
Les applications demandent aux utilisateurs l’autorisation de collecter leurs données
peu d’internautes lisent les conditions générales, généralement longues, afin de pouvoir accéder rapidement au site ou à l’application.
MAIS
Contexte
3. Arriveriez-vous à lister les infos persos que vous avez révélées sur un RS ou sur un autre site sur Internet ? Que pouvez-vous en conclure ?
il est impossible de déterminer précisément les infos persos que nous révélons sur les RS.
Nous dévoilons, de nous-mêmes, un grand nb d'infos relatives à notre vie privée.
Il est donc nécessaire de protéger ces données, pour protéger sa vie privée : savoir quelles sont les données collectées et maîtriser leur utilisation.
Introduction
Dans un environnement de plus en plus numérique, les individus laissent des traces en utilisant les nouvelles TIC
ils livrent ainsi des données à caractère personnel,
c’est-à-dire des infos relatives à leur vie perso, pro, amicale, sentimentale,
qui nécessitent d’être protégées par des règles juridiques.
Introduction
La protection mise en place par le droit doit être prise en compte et respectée par toutes les entreprises qui exploitent ce type de données.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
1. Qu’est-ce qu’une donnée à caractère personnel ?
Toute information qui permet, directement ou indirectement, d’identifier une personne est une donnée à caractère personnel
adresse IP, localisation, nom, numéro de téléphone, âge, sexe, empreinte digitale, numéro de carte bleue…
Il est donc nécessaire de protéger ces données, pour protéger sa vie privée : savoir quelles sont les données collectées et maîtriser leur utilisation.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
2. Donnez des exemples de dérives ou d’abus dans l’usage des données personnelles.
On peut citer les sollicitations répétées par des messages ou des appels téléphoniques au prétexte de présenter une offre adaptée aux besoins de la personne.
On peut même craindre un fichage à des fins politiques.
Dans certains cas, il peut y avoir usurpation de l’identité d’une personne à des fins malhonnêtes, comme procéder à un achat en son nom, contracter une dette…
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
3. Comment la collecte de données personnelles impacte-t-elle le domaine de l’assurance ?
Assurés
Victime
Assurance
Mutualisation du risque
Sécurité sociale
Logique de solidarité
La collecte des données à caractère personnel relatives à la santé ou la conduite automobile, présente un grand intérêt pour les mutuelles et les assurances.
Il est alors possible d’individualiser le risque en fonction du comportement de chaque assuré
(pratique sportive ou non, habitudes alimentaires, comportement au volant, respect du Code de la route…)
et donc de déterminer les primes payées par chaque assuré en fonction de son comportement, voire peut-être accepter ou refuser la prise en charge de l’indemnisation.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
4. Au regard des personnes visées par le logiciel espion, expliquez les risques économiques et politiques de l’utilisation des données personnelles.
Le logiciel a d’abord permis d’espionner des militants, des journalistes et des opposants politiques : il existe ainsi le risque qu’un État exploite à des fins politiques les données personnelles collectées sur ses citoyens (influencer des élections, contrôler des citoyens, porter atteinte à la diversité d’opinions et à la liberté d’expression…).
Ensuite, le logiciel a ciblé des chefs d’État, ce qui montre qu’un État peut avoir intérêt à espionner des États alliés ou ennemis, afin de perturber les négociations de traités ou de contrats commerciaux internationaux, voire d’influencer les élections dans un autre pays.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
La navigation sur Internet, les applications pour smartphone et les outils digitaux utilisés par les entreprises conduisent les personnes à livrer de plus en plus d’informations qui permettent, directement ou indirectement, de les identifier.
Ces données, dites « à caractère personnel »
(adresse IP, prénom, nom, coordonnées, localisation, goûts, habitudes…)
révèlent une part importante de la vie privée des individus et doivent, à ce titre, être protégées.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
En effet, leur traitement par d’autres personnes comporte plusieurs risques :
Risque d’une exploitation politique par des États, pour surveiller leurs citoyens ou d’espionner d’autres États ou de grandes entreprises
Risque d’une exploitation commerciale par des entreprises, en vue de procéder à un profilage publicitaire
Risque d’une exploitation frauduleuse par des pirates, qui pourraient, grâce aux données collectées, reconstituer l’identité numérique d’une personne afin de l’usurper dans un but malveillant.
Le droit a donc dû intervenir pour protéger ces données à caractère personnel, et ainsi la vie privée des individus.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
5. Expliquez pourquoi le RGPD permet d’unifier la protection des données au sein de l’UE.
est un règlement : il s’agit d’une loi de l’Union européenne directement applicable dans tous les pays membres de l’UE.
Les mêmes règles s’appliquent donc dans tous les États.
Complément : On peut distinguer ici- le règlement européen, directement applicable,
- de la directive européenne, qui fixe des objectifs communs que chaque État doit transposer, par ses propres moyens, dans son droit interne.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
6. En quoi le champ d’application du RGPD permet-il une protection efficace des données à caractère personnel ?
Le champ d’application du RGPD est étendu, ce qui permet de protéger efficacement les données à caractère personnel des citoyens européens :
toutes les organisations qui utilisent de telles données y sont soumises (entreprises, associations, administrations publiques) ;
quel que soit leur lieu d’établissement, au sein ou hors de l’Union européenne.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
7. Comment le RGPD permet-il de mieux maîtriser ses données personnelles ?
Tout d’abord, grâce au RGPD, les personnes disposent d’une meilleure information sur la collecte et l’utilisation de leurs données à caractère personnel (information sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et information en cas de piratage).
Ensuite, le RGPD renforce les prérogatives des individus sur leurs données à caractère personnel :
Pour aller plus loin – https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
– https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
8. Qu’est-ce qu’un cookie ?
Un cookie est un fichier informatique qu’un site Internet dépose sur l’ordinateur, lors de sa consultation, et qui permet, grâce à la collecte de données sur l’internaute,- de faire fonctionner le site (mémorisation d’un panier d’achat, par exemple)
- mais aussi d’identifier les préférences et les goûts de l’internaute pour procéder au ciblage publicitaire.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
9. Comment les règles actuelles protègent-elles les internautes face aux cookies ?
Les internautes se voient reconnaître plusieurs prérogatives pour protéger leurs données personnelles et maîtriser leur collecte par les cookies.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
Actuellement, la protection des données à caractère personnel est assurée par le règlement général sur la protection des données (RGPD).
Ce texte, pris dans le cadre de l’UE et applicable depuis le 25 mai 2018, s’impose à toute organisation, établie dans ou hors de l’UE, qui exploite des données personnelles de résidents européens.
Le RGPD a renforcé les droits des personnes sur leurs données à caractère personnel.
I. Repérer les enjeux de la protection des données à caractère personnel••
B. Les règles juridiques protégeant les données à caractère personnel
Il a amélioré les moyens d’info des personnes sur la collecte et l’utilisation de leurs données personnelles
1.
(infos sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et infos en cas de piratage).
Il permet aux individus de maîtriser davantage leurs données à caractère perso :
2.
(ces dernières doivent recueillir leur consentement),
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
10. Expliquez comment les missions de la CNIL lui permettent de protéger efficacement les données personnelles.
C’est parce qu’elle intervient en amont et en aval du traitement des données à caractère personnel que la CNIL protège efficacement ces données et garantit le respect des libertés individuelles dans l’environnement numérique.
La CNIL intervient de manière curative pour protéger les données à caractère perso :
La CNIL protège, de manière préventive les données à caractère perso
en menant des actions d’information sur leur protection à destination des citoyens,
reçoit les plaintes des personnes,
des actions d’accompagnement des organisations utilisant des données personnelles
peut contrôler les orga qui collectent des données persos
en anticipant les nouveaux risques d’atteinte à la vie privée qui résultent des innovations constantes dans le secteur du num.
et, si nécessaire, les sanctionner.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
11. Quel est l’intérêt de la procédure de sanction simplifiée de la CNIL ?
Grâce à cette procédure, un plus grand nombre d’infractions, éventuellement peu importantes, pourront être examinées.
De plus, cette procédure est plus rapide que la procédure ordinaire et les sanctions qu’elle peut entraîner sont adaptées aux situations de violations parfois mineures des règles du RGPD.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
12. Dans les différents cas exposés, expliquez pourquoi la CNIL a prononcé une sanction.
Les 10 sanctions infligées dans le cadre de la procédure simplifiée sont justifiées par des manquements divers :
refus de répondre aux demandes de la CNIL
non-respect de l’obligation de minimisation des données
manquements à l’information sur le traitement des données effectué
non-respect des droits des personnes, notamment de l’obligation de répondre à une demande d’opposition
(à l’occasion de la mise en œuvre de géolocalisation et de vidéosurveillance de salariés)
Par ailleurs, la CNIL a sanctionné Google et Facebook car ces sociétés ne respectent pas les règles relatives aux cookies : la procédure pour refuser les cookies est plus complexe que celle permettant de les accepter. Concernant Facebook, la procédure est en outre ambiguë.
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
En France, c’est la (CNIL) qui garantit le respect du RGPD par les entreprises et les administrations.
Elle dispose de missions lui permettant d’assurer l’effectivité du RGPD
de manière curative
de manière préventive
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
La CNIL a vu ses pouvoirs de sanction renforcés.
Ainsi, elle peut prononcer :
une mise en demeure, visant à inciter une entreprise à adopter les mesures correctives nécessaires pour se mettre en conformité avec le RGPD
une amende pécuniaire d’un montant dissuasif (de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial)
I. Repérer les enjeux de la protection des données à caractère personnel••
C. L'organe de protection des données à caractère personnel
Depuis 2022, la CNIL peut user d’une procédure simplifiée pour les dossiers les plus simples ou d’une gravité limitée :
dans ce cadre, le président de la formation restreinte, ou un membre désigné, statue seul sur les manquements de l’organisation.
Les sanctions possibles vont du rappel à l’ordre à une injonction avec astreinte journalière, voire à une amende d’un montant maximum de 20 000 €.
I. Repérer les enjeux de la protection des données à caractère personnel••
A. Le besoin de protection des données à caractère personnel
B. Les règles juridiques protégeant les données à caractère personnel
C. L'organe de protection des données à caractère personnel
D. La protection contre l'usurpation de l'identité numérique
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
13. Comment, dans la situation du doc 11, l’usurpation d’identité numérique était-elle caractérisée ?
Dans la situation rapportée, il y a eu utilisation des données personnelles d’une étudiante pour commettre des actes répréhensibles à bord de trains de la SNCF.
Il s’agit sans doute de voyages dont le prix n’a pas été correctement acquitté.
14. Indiquez les sanctions encourues par l’auteur des faits.
Les sanctions prévues par l’article 226-4-1 du Code pénal ont pour but de punir l’auteur de l’usurpation :
toute personne qui a usurpé l’identité d’une autre personne encourt un an d’emprisonnement et 15 000 € d’amende.
L’alinéa 2 de l’article précise que cette infraction est sanctionnée de la même manière lorsque cette usurpation a été commise sur Internet.
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
15. À quel problème pratique la répression de ce délit se heurte-t-elle ?
Concrètement, une fois que l’usurpation d’identité a eu lieu, il est très difficile de « remonter » jusqu’à l’auteur des faits, puisqu’il « disparaît » derrière l’identité volée.
La victime peut avoir du mal à établir qu’elle n’est pas à l’origine des actes opérés en son nom.
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
L’usurpation de l’identité numérique consiste, pour une personne,
à collecter toutes les données à caractère personnel d’une autre personne afin de se faire passer pour cette dernière dans un but malveillant (contracter une dette, tenir des propos infamants ou dégradants…).
I. Repérer les enjeux de la protection des données à caractère personnel••
D. La protection contre l'usurpation de l'identité numérique
Elle est sanctionnée pénalement (peine d’emprisonnement et amende).
La victime de l’usurpation peut également obtenir des dommages-intérêts en réparation du préjudice subi.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
1. Définissez les principes de « Privacy by design » et de « Privacy by default ».
« Privacy by design »
« Privacy by default »
(respect de la vie privée dès la conception)
(protection de la vie privée par défaut)
oblige l’entreprise à définir, par défaut, un haut degré de protection des données à caractère perso collectées.
vise l’obligation pour l’entreprise de réfléchir aux moyens nécessaires à la protection des données à caractère perso dès qu’elle envisage de créer un nouveau produit qui nécessitera l’exploitation de données perso.
L’entreprise doit donc proposer la meilleure protection possible, si bien que les utilisateurs ne devraient pas avoir besoin de changer les paramètres proposés.
L’entreprise doit, tout au long du processus de production, réfléchir à l’impact de ce processus sur les données à caractère perso collectées, en vue de mettre en place les moyens de protection adéquats.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
2. En quoi ces principes assurent-ils une protection efficace des données personnelles ?
Ces deux principes obligent les entreprises à anticiper la protection des données à caractère personnel qu’elles collectent.
Le RGPD incite donc les entreprises qui exploitent des données personnelles à mettre en place des mesures préventives, plutôt que d’attendre la survenance d’un défaut de sécurité pour corriger et améliorer leur système de protection.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
3. Listez les moyens par lesquels les entreprises peuvent assurer leur conformité aux règles de protection des données personnelles.
Pour assurer leur conformité aux règles de protection des données personnelles, les entreprises disposent des moyens suivants :
- désignation d’un délégué à la protection des données (DPO, Data Protection Officer) ;
– respect des différentes obligations du RGPD (usage des données, transparence sur leur traitement, respect des droits des utilisateurs, délai de conservation)
– actions de sensibilisation des collaborateurs sur le respect et les enjeux de la protection des données à caractère personnel.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
4. À partir du doc.13 et du doc. 14, expliquez comment le RGPD institue une logique de responsabilisation (« accountability ») des entreprises en la matière.
C’est à l’entreprise qui collecte et traite des données à caractère personnel de prouver qu’elle respecte les obligations issues du RGPD.
l’entreprise devait déclarer à la CNIL qu’elle collectait des données à caractère perso puis obtenir son autorisation.
Avant le RGPD
Désormais,
elle doit pouvoir démontrer, à tout moment, qu’elle est en conformité avec le RGPD et qu’elle a pris toutes les mesures nécessaires pour protéger les données à caractère personnel collectées et analysées.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
5. Indiquez quelle est la mission principale d’un délégué à la protection des données (DPO).
Un DPO garantit le respect du RGPD par l’organisme ou l’entreprise qui l’a désigné.
Il informe et conseille : il est l’interlocuteur référent pour les questions qui se rattachent à la protection des données personnelles ; éventuellement, il collabore avec la CNIL.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
6. Quel bilan critique peut-on faire de 5 ans d’application du RGPD dans les entreprises ?
Points Posisitfs :
désignation quasi générale d’un DPO dans les orga et entreprises concernées qui ont toutes un budget dédié à la conformité RGPD.
La gestion du registre des traitements de données ainsi que l’info et formation des personnes concernées dans l’entreprise.
Points plus nuancés :
faible nbre de DPO disent avoir constaté une amélioration de la sécurité de données perso ou disposé d’une meilleure vision des données collectées et traitées.
Gestion et mise en place des durées de conservation, le Privacy by design et le Privacy by default, comme la réalisation d’analyses d’impacts sur la protection des données (AIPD) ne semblent pas donner tout à fait satisfaction.
Risques RGPD recensés sont multiples et affectent de nbreuses fonctions de l’entreprise : GRH, puis la production, le marketing et les SI.
Pour finir, l’existence de la répression possible en cas de manquement au RGPD fait craindre autant des atteintes à l’image et à la réputation que les amendes de la CNIL.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Toute entreprise qui exploite des données à caractère personnel pour son activité de production de biens ou de services doit respecter les règles européennes de protection de ces données.
Le RGPD a introduit une logique de responsabilisation (« accountability ») :
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Pour assurer leur mise en conformité avec le RGPD, les entreprises sont guidées par 2 principes :
« Privacy by default »
qui les enjoint d’assurer, dès le départ, le plus haut degré de protection des données
« Privacy by design »
qui impose aux entreprises de prévoir, dès la conception d’un nouveau produit ou d’une nouvelle procédure qui nécessitera l’exploitation de données perso, des mesures préventives de sécurisation de ces données
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
Les entreprises sont incitées à désigner un délégué à la protection des données (DPO, Data Protection Officer), chargé de veiller au :
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
A. Les obligations issues du RGPD pour l'entreprise
B. La protection des données personnelles des salariés
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
7. Quelles données personnelles un employeur peut-il détenir sur ses salariés ?
Un employeur ne peut détenir que les données à caractère personnel de ses salariés qui sont nécessaires pour la gestion des RH (gestion de la paie, des carrières…) et l’accomplissement de leurs missions dans l’entreprise.
Il lui est déconseillé de demander des informations qui ne sont pas en lien avec leur carrière ou leur mission, notamment les informations sensibles (activité syndicale, opinions politiques, religion, orientation sexuelle…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
8. Quelles sont les obligations des employeurs concernant les données personnelles détenues sur les salariés ?
Les employeurs doivent protéger les données à caractère personnel détenues sur les salariés (notamment, limiter les personnes pouvant y accéder et prévoir toutes les mesures de sécurité nécessaires).
Ils doivent informer les salariés des informations personnelles détenues afin que ces derniers puissent exercer les droits que le RGPD leur reconnaît (droit d’accès, droit d’obtenir une copie, droit de rectification…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
9. Pour quelles raisons, selon vous, l’employeur peut-il contrôler l’utilisation d’Internet par ses salariés ?
L’employeur a le droit de contrôler l’utilisation d’Internet par ses salariés afin de sécuriser le réseau de l’entreprise et d’éviter que les connexions à but personnel ne portent atteinte à la mission des salariés (les abus sont sanctionnés) ou, pis encore, ne soient à l’origine de fuites d’informations sensibles.
10. L’employeur peut-il librement consulter les mails de ses employés ?
En principe, l’employeur peut, avec ou sans la présence de ses salariés, prendre connaissance de tous les mails envoyés par ceux-ci, sauf s’ils ont été explicitement déclarés comme « personnels » ou « privés ».
En effet, les salariés ont le droit au respect de leur vie privée et au secret de leurs correspondances privées sur leur lieu de travail, même si leur employeur a interdit l’utilisation d’Internet à des fins personnelles.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
11. Pourquoi la salariée a-t-elle été licenciée par son employeur ?
La salariée a utilisé Internet de manière abusive et excessive dans un but purement personnel pendant son temps de travail.
12. Pourquoi la Cour de cassation a-t-elle confirmé la décision de la cour d’appel ?
La Cour de cassation a vérifié que l’utilisation abusive d’Internet à des fins personnelles pendant le temps de travail avait bien été caractérisée par la cour d’appel :
elle a relevé que celle-ci s’était appuyée sur le nb important de connexions et la nature extraprofessionnelle des sites consultés.
La cour d’appel a donc pu caractériser une faute grave justifiant le licenciement de la salariée.
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
Traitant des données à caractère personnel de ses salariés dans le cadre de leur activité professionnelle pour gérer leurs carrières et leurs missions, l’employeur est tenu de respecter les règles du RGPD :
– il ne peut collecter que les données personnelles nécessaires à la gestion de ses salariés ;
– il doit sécuriser les données personnelles collectées ;
– il doit permettre aux salariés de pouvoir exercer les droits que leur reconnaît le RGPD
(information, droit d’obtenir une copie, droit de rectification, droit de suppression…).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
L’employeur peut encadrer l’utilisation des outils numériques par les salariés dans le cadre de leur activité professionnelle, afin de garantir la sécurité du réseau et de s’assurer que les salariés remplissent la mission pour laquelle ils ont été employés
(par exemple, il peut en principe lire tous les mails envoyés et sanctionner les connexions abusives à Internet pour des usages strictement personnels).
II. Caractériser les conséquences juridiques de la protection des données personnelles pour l'entreprise••
B. La protection des données personnelles des salariés
Cependant, ses prérogatives sont limitées par l’obligation qui lui incombe de respecter la vie privée de ses salariés et le secret de leurs correspondances
(interdiction de lire un mail explicitement déclaré comme privé, de collecter des informations issues d’un compte bloqué sur un réseau social).
Ressources numériques complémentaires
– Le RGPD expliqué en émojis (vidéo)
– Comprendre le RGPD en 5 questions (vidéo)
– Comprendre le RGPD en 5 questions
– Les étapes de la procédure de sanction par la CNIL (lien)
& Impact économique du RGPD 5 ans après
- Bilan du RGPD 5 ans après
– Comment s’assurer de la conformité d’une entreprise au RGPD (lien)
Synthèse : la protection des personnes dans l'univers numérique
Lexique : la protection des personnes dans l'univers numérique
Autorité administrative indépendante chargée de veiller à la protection des libertés individuelles et des données personnelles, en particulier lors des usages informatiques de ces données.
Personne chargée, dans les structures exploitant des données personnelles, de coopérer avec la CNIL pour assurer le respect du droit. Le DPO informe les intéressés sur les obligations en matière de traitement des fichiers de données personnelles, contrôle le respect du RGPD et donne des conseils en cas de besoin.
Lexique : la protection des personnes dans l'univers numérique
Toutes les informations concernant une personne physique identifiée et identifiable.
Concept de protection de la vie privée qui impose aux entreprises, dès la conception de leurs biens ou services, de paramétrer par défaut leurs produits avec un haut niveau de protection des données personnelles avant toute utilisation de celles-ci.
Lexique : la protection des personnes dans l'univers numérique
Concept de protection de la vie privée qui impose aux entreprises utilisant des données personnelles, dès la conception de leurs biens ou services, d’assurer des mesures préventives pour anticiper les risques d’exploitation abusive de ces données.
Obligation pour les entreprises exploitant des données personnelles de prendre des mesures permettant de démontrer le respect des règles relatives à la protection de ces données.
Lexique : la protection des personnes dans l'univers numérique
Règlement de l’Union européenne, entré en vigueur le 25 mai 2018, qui encadre la protection des données personnelles ; il est applicable à toutes les organisations (entreprises, administrations publiques, associations…) qui traitent des données à caractère personnel au sein de l’UE, ou des données personnelles de résidents de l’UE dans les autres parties du monde.
Infraction consistant à exploiter des données personnelles d’un tiers permettant de l’identifier et créant à son égard un trouble illicite ou une atteinte à son honneur ou à sa considération.
Lexique : la protection des personnes dans l'univers numérique
Ensemble d’éléments de la vie des personnes dont le respect s’impose à tous et constitue un droit fondamental. Le respect de la vie privée signifie pour chacun la protection de son intimité, de son image, de son domicile, de ses choix de vie…
Fin chapitre 3La protection des personnes dans l'univers numérique