Régime juridique des données à caractère personnel (fr) : Différence entre versions
(→La location) |
|||
Ligne 65 : | Ligne 65 : | ||
Enfin, et juste à titre informatif, rappelons que la durée de la protection par le droit d’auteur dure 70 ans, alors que la protection par le droit sui generis ne dure que 15 ans après le 1er janvier de l’année civile qui suit la date de cet achèvement. | Enfin, et juste à titre informatif, rappelons que la durée de la protection par le droit d’auteur dure 70 ans, alors que la protection par le droit sui generis ne dure que 15 ans après le 1er janvier de l’année civile qui suit la date de cet achèvement. | ||
+ | [[catégorie: données personnelles]] |
Version du 20 mai 2009 à 15:36
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit de l'internet > Données personnelles
Sommaire
Régime juridique des données à caractère personnel : collecte, transfert et location
Les données à caractère personnel, naguère appelées « données nominatives des personnes physiques », sont protégées par la loi informatique, fichiers et libertés du 6 janvier 1978, refondue par la loi du 6 août 2004 pour prendre en compte les directives communautaires sur le sujet.
La collecte
→ Elle doit être « licite et loyale, pour une finalité déterminée, explicite et légitime », au sens de l’article 6 de la loi de 1978.
→ L’article 32 de la loi du 6 août 2004 énonce que toute personne donnant des informations la concernant doit être informée de l’identité du responsable du traitement ; de la finalité du traitement ; du caractère facultatif ou obligatoire de la réponse ; des conséquences du défaut de réponse ; des droits détenus par la personne fichée (notamment accès et rectification, lieu et conditions d’exercice de ceux-ci).
→ Les informations ne doivent en aucun cas concerner des donnés dites sensibles, comme par exemple les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou encore, l’appartenance syndicale, la santé ou des informations sur la vie sexuelle (article 8 de la loi du 6 août 2004).
→ Le traitement doit être proportionnel aux finalités. C’est en application de cette règle de « proportionnalité » que la CNIL a défini un principe de sectorisation. Les informations ne le sont que pour un secteur défini par les finalités. Une large diffusion, tous secteurs confondus, constituerait une atteinte disproportionnée à la vie privée en raison du risque de détournement.
Le transfert
→ En principe, le transfert de données entre une entreprise membre de l’UE et une entreprise établie dans un pays n’ayant pas une « protection adéquate » n’est pas autorisé. Toutefois, la loi du 6 août 2004 a créé une procédure d’autorisation, par la CNIL, des transferts internationaux de données à caractère personnel vers des pays n’accordant pas une protection suffisante.
→ La CNIL a ainsi identifié des transferts très courants et ne comportant, a priori, pas de risques pour les personnes concernées, afin de faire bénéficier ces traitements de déclarations simplifiées qui s’effectuent par télé-procédure sur le site de la CNIL.
→ Ainsi, concernant les fichiers de clients et de prospects, c’est la norme simplifiée n°48 issue d’une décision de la CNIL qui s’applique. Sont ici visées toutes les opérations courantes auxquelles ont recours les entreprises dans le cadre de leurs activités, s’agissant des clients, gestion de la facturation, des commandes et des livraisons, ainsi que les actions de sollicitations commerciales.
→ Toutefois, cette norme s’applique pour tous les organismes sauf les établissements bancaires, les assurances, les professionnels de la santé et les professionnels de l’éducation.
La location
→ L’ensemble de ces données personnelles sont regroupées sous la forme de bases de données. Ainsi, le régime juridique applicable pour louer ces informations est celui des bases de données.
→ Les bases de données possèdent 2 régimes juridiques de protection : via le droit d’auteur, en la considérant comme un œuvre de l’esprit et, via un droit sui generis, afin de protéger l’investissement réalisé (droit plus pragmatique avec une optique plus économique).
2 points :
→ La location d’une base de données « œuvre de l’esprit » implique que cette œuvre ait été enregistrée dans une société nationale de gestion collective des droits d’auteurs. De là, le contrat de location serait en fait une licence, de type « contractuelle », « légale » ou « obligatoire ».
Rappel : une licence est un contrat aux termes duquel un titulaire de droit intellectuel autorise une autre personne à exploiter ce droit, généralement dans certaines limites et moyennant le paiement d’une redevance.
→ La location d’une base de données protégée par le droit sui generis, par contre, reviendrait à une simple négociation contractuelle avec un tiers. En effet, la directive 96/9/CE du Parlement européen et du Conseil, en date du 11 mars 1996, a instauré une protection juridique spécifique aux bases de données. Cette directive a été transposée en droit interne par la loi du 1er juillet 1998. Selon ce texte, est entendu comme une base de données : »un recueil d’œuvres, de données, d’autres éléments indépendants, disposé de manière systématique ou méthodique et individuellement accessible par des moyens électroniques ou d’une autre manière ».
L’article 7 de cette directive précise également que le fabricant d’une base de données dispose du droit : « d’interdire l’extraction et/ou la réutilisation de la totalité ou d’une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l’obtention, la vérification ou la présentation de ce contenu attestent d’un investissement substantiel du point de vue qualitatif ou quantitatif ». En d’autres termes, la location, soit la réutilisation de la totalité du contenu n’est soumise qu’à l’autorisation du propriétaire de la base, moyennant rémunération…
Dernière précision toutefois, un arrêt de la CJCE du 9 novembre 2004 (affaire C-203/02) rappelait que le droit sui generis ne permet pas au titulaire de ce droit de s’opposer à la consultation de cette base par des tiers, si la base a été rendue accessible par lui au public, ou par l’intermédiaire d’un tiers autorisé par lui à la diffuser au public.
Quelques mesures préventives
Pour sécuriser un maximum l’exploitation de leurs bases de données en ligne, les personnes concernées pourront prendre une série de mesures qui complèteront le dispositif du droit sui generis :
→ mettre en place des dispositifs techniques contre les extractions massives par les automates informatiques
→ se pré-constituer des preuves (insertion de marqueurs invisibles, coquilles…)
→ surveiller les statistiques du serveur pour détecter les connexions « singulières »
→ sécuriser juridiquement leurs contrats d’exploitation de bases de données
→ recourir au dépôt légal qui, obligatoire pour les bases de données électroniques, permettra de disposer d’une preuve d’antériorité.
Enfin, et juste à titre informatif, rappelons que la durée de la protection par le droit d’auteur dure 70 ans, alors que la protection par le droit sui generis ne dure que 15 ans après le 1er janvier de l’année civile qui suit la date de cet achèvement.