Droit des données personnelles
Des fichiers de sinistre mémoire
- 2WW : l’exemple du fichier juif de la préfecture de police de Paris
- Guerre froide : l’exemple des fichiers de la Stasi
- Le vertige du fichage universel sur “criminocorpus”
L’informatisation des fichiers et l’affaire SAFARI
Premières réactions nationales
- En Allemagne : dès 1970 dans le land de Hesse
- En Suède : dès 1973
- En France :
- Rapport de la commission IL (1975)
- Adoption de la LIL (1978)
Le Conseil de l’Europe
- la convention 108 (1981)
- la convention modernisée (2018, en attente d’EEV)
L’Union européenne
- La directive de 1995
- le RGPD de 2016
- la directive police-justice de 2016
Les données personnelles, première approche technique
- Des coordonnées sociales : nom, prénom, adresse…
- Des coordonnées biologiques : la biométrie
- Des identifiants (adresse IP, numéro de sécurité sociale), des pseudonymes
- Des combinaisons d’informations anodines
- Des traces de navigation
Zoom sur la géolocalisation
- Le NY Times : One nation, tracked
- L’enquête sur Strava de J.-M. Manach
Les données personnelles, première approche juridique
- Art. 4 RGPD : l’information se rapportant à une personne identifiée ou identifiable
- Une personne physique, vivante
- La difficile anonymisation des données
Licéité, loyauté, transparence
Détermination des finalités
- Fixer une finalité et s’y tenir
- Les SMS d’Auvergne-Rhône-Alpes ?
- Facebook et le 2FA
- CE, 2020, OPH Rennes
- CNIL, 2023, réforme des retraites
Minimisation
- Traiter le moins possible au regard de la finalité
- Biométrie à l’entrée des lycées : CNIL, TA de Marseille
- CNIL, 2023, Amazon logistique mais renié par CE, 2025
- CJUE, 2024, Schrems contre Meta
- CJUE, 2025, Mousse
Exactitude
- Objectif : des données exactes
- Eviter les erreurs de saisie
- Assurer l’actualisation
- Rectification de genre et transidentité : CJUE, 2025
Conservation limitée
Intégrité et confidentialité
- Quelles définitions ?
- Accidents, attaques
- Intégrité
- Les ransomwares
- Affaire OVH Strasbourg
- Confidentialité
- Affaire Ashley Madison
- CNIL, 2019, Sergic
La nécessité pour l’exécution d’un contrat
- Banque, e-commerce, assurance…
- Jeux vidéo
- Et la publicité ciblée ? CJUE, 2023 Meta Plateforms
Le respect d’une obligation légale
- Modération de contenus sur les PF
- Banques et LCB-FT
La sauvegarde des intérêts vitaux
- Situations médicales d’urgence
- Fondement le plus étroit
La mission d’interêt public
- Vocation large
- Le consentement est généralement exclu pour les administrations
- Ex : administration fiscale, CJUE, 2022
L’intérêt légitime
- Une fausse martingale
- Un contrôle de proportionnalité délicat
- Refus dans l’affaire SNCF et genre, CJUE, 2025
- Refus pour la publicité ciblée Meta Plateforms, CJIE, 2023
- Refus dans l’affaire CDiscount; CE, 2020
- IA et intérêt légitime, fiche CNIL, 2025
Le consentement
- Ses qualités théoriques : art. 7
- Lignes directrices, CEPD, 2020
- Renforcement pour les enfants : art. 8
Zoom : consentement et publicité ciblée
- Préalable : un mot sur les cookies
- la directive de 2002
- l’art. 82 de la LIL
- Consentement et publicité ciblée
- CNIL, sanction Google 2019
- CNIL, sanction Google 2025
Les données sensibles (art. 9)
- Principe : l’interdiction de traitement
- Exceptions nombreuses mais étroites
- Révélation indirecte de l’orientation sexuelle : CJUE, 2022
Les données relatives aux infractions pénales (art. 10)
- Traitements réservés à l’autorité publique
- Mais ouverture aux personnes privées collaborant au service public CC, 2018
- Existence d’une directive “police-justice”
Avant le RGPD : la place des formalités préalables
- Types de formalités préalables
- déclarations
- autorisations
- Allégements progressifs
- dispenses de déclaration
- déclarations simplifiées
- autorisations uniques
- Un poids progressivement insupportable pour les autorités
- Le reliquat de formalités préalables dans la santé
Depuis le RGPD : le principe “d’accountability”
- Article 23 du RGPD
- Autonomisation mais “redevabilité”
- Documentation
- Sanctions
Le tempérament à l’accountability : l’analyse d’impact
- Les cas de PIA obligatoires (art. 35)
- critère général (35.1)
- 3 cas particuliers (35.3)
- Listes des APD (35.4)
- Les ressources CNIL
- Listes blanche et noire
- Guides et exemple
- Logiciel gratuit PIA
- Les cas de consultation obligatoire de la CNIL (art. 36)
La protection des données dès la conception et par défaut (art. 25)
- Intégration dès la conception
- Réglages par défaut
- Exemple : la sanction Discord
La chaîne de traitement des données (art. 26 et s.)
- Distinguer RT et ST
- Définitions (art.4)
- Lignes directrices du CEPD
- Exemple du cabinet d’avocat
- Cas particuliers
- “Page fan” Facebook CJUE, 2018
- Bouton “j’aime” Facebook CJUE, 2019
- Régime juridique
- responsabilité conjointe (art. 26)
- sous-traitance (art. 28)
Le registre des activités de traitement (art. 30)
- Qui ?
- Tout RT (30.1)
- Dérogations (30.5)
- Comment ?
- Modèle de la CNIL
- Le propre registre de l’autorité
La sécurité du traitement (art. 32 s.)
- Une sécurité appropriée (art. 32)
- Fonction du degré de risque
- Pas d’obligation de résultat (exemple)
- Les violations de DCP
- déf. (art. 4.12)
- notification à l’autorité (art. 33)
- notification aux personnes (art. 34)
La sécurité du traitement : illustrations jurisprudentielles
- mots de passe CE, 2022, Optical center
- algorithme obsolète CNIL, 2023
- site web mal paramétré CNIl, 2019, Sergic
- multiples vulnérabilités aux attaquants externes CNIL, 2026, Free mobile et CNIL, 2026, Free
Le délégué à la protection des données (art. 37 s.)
- Désignation (art. 37)
- Cas de désignation obligatoire
- DPO interne / DPO externe
- Fonctions et missions (art. 38 et 39)
- Observatoire DPO AFCDP
- La certification DPO
Modalités et transparence
- Modalités (art. 12)
- Gratuité sauf abus
- Délais
- Transparence
- collecte directe (art. 13)
- collecte indirecte (art. 14)
Le droit d’accès (art. 15)
- Composantes
- présence dans le fichier
- caractéristiques du traitement
- contenu du fichier
- Conditions
- discrétionnaire ?
- tentatives de limitation
- Diversité des usages
- CJUE, 2017, Peter Nowak
- En droit du travail
- Lignes directrices CEPD, 2022
- Essayez : les droits d’accès en ligne
Le droit à la rectification (art. 16)
- Corollaire du principe d’exactitude
- Fonctionnement simple
Le droit à l’effacement (art. 17)
- Un droit conditionné
- La propagation de l’effacement
- Le refus d’effacement
Un effacement particulier : le déréférencement
- Création prétorienne : CJUE, 2014, Costeja
- Reportage sur Mario Costeja
- Qui décide ?
- Quelle portée territoriale ? CJUE, 2019
- Données sensibles
- CJUE, 2019
- 13 arrêts du CE, 2019
- Retrait d’images ? CJUE, 2022
Le droit à la limitation du traitement (art. 18)
- “Geler” plutôt que “supprimer”
- Hypothèses précises
Le droit à la portabilité (art. 20)
- Champ d’application délimité
- Usage courant : changer de prestataire
- Usage émergent : analyse de ses données
- Lignes directrices CEPD, 2017
Le droit d’opposition (art. 21)
- Cas de la “situation particulière”
- Cas de la prospection commerciale
- Page de présentation CNIL
Les décisions automatisées (art. 22)
- Intro : Cathy O’Neil, Weapons of math destruction
- Le “droit de ne pas faire l’objet”
- Décision entièrement automatisée ?
- Exceptions
- périmètre
- garanties
- JP
Les données après la mort (LIL, art. 85)
- Enjeux
- Les directives anticipées
- En l’absence de directives ?
- Dispositifs spéciaux
- Google comptes inactifs
- Facebook comptes commémoratifs
- TikTok : rien ?
Le champ d’application territorial du RGPD (art. 3)
- Activités d’un établissement d’un RT/ST sur le territoire UE
- RT/ST hors UE :
- offre de biens ou de services aux PC dans l’Union
- suivi d’un comportement de PC dans l’Union
- Lignes directrices CEPD, 2019
- Décisions sur la compétence :
L’encadrement rigoureux de l’export de données (art. 44 s.)
- L’idéal : transférer vers un pays adéquat
- Les alternatives :
Le séisme des arrêts “Schrems”
- Le contexte
- Les révélations Snowden
- La réaction d’un étudiant en droit
- Schrems 1 et le Safe Harbor
- Schrems 2 et le Privacy Shield
- Max Schrems repasse à l’attaque
- l’arrêt
- sa présenation par la CNIL
Le statut de l’autorité
- RGPD
- indépendance (art. 51 s.)
- missions et pouvoirs (art. 57 s.)
- règles relatives aux amendes (art. 83)
- LIL (titre 1, chap. 2)
APD et traitements transfrontaliers
- Chef de file (art. 56)
- Coopération (art. 60 s.)
- Réglement des litiges (art. 65)
Le CEPD (art. 68 s.)
La directive police-justice
- Directive du 27 avril 2016
- Grands principes semblables
- Fondements de licéité spécifiques (art. 8)
- Autorisation conditionnée de traiter les “catégories particulières” (art. 10)
- Droit d’accès indirect (art. 108 LIL)
- …
La directive e-privacy
- Directive du 12 juillet 2002
- Encadrement des cookies
- art. 5.3 de la directive
- art. 82 de la LIL
- Quelques sanctions
- Google, 2025, 325 millions
- Shein, 2025, 150 millions
- Orange, 2024, 50 millions (plusieurs manquements)
Le réglement de procédure
- Réglement du 26 novembre 2025
- Procédures transfrontalières (art. 1)
- Coopérations rapides, sincères, efficaces (art. 3)
- Délai de 15 mois pour un projet de décision par le chef de file (art. 12)
Le réglement sur la gouvernance des données
- Réglement du 30 mai 2022
- Faciliter la circulation de données protégées du secteur public (chap. 2)
- Créer des services d’intermédiation de données (chap. 3)
- Encourager l’altruisme en matière de données (chap. 4)
Le réglement sur les données
- Règlement du 13 décembre 2023
- Circulation des données issues d’objets connectés (chap. 2)
- Besoins exceptionnels de données des acteurs publics (chap. 5)
- Facilitation des changements de prestataires de cloud (chap. 6)
Le projet de réforme “Digital Omnibus”
- Projet de novembre 2025
- Déf. des DCP : “inspiré” de CJUE, 2025, EDPS c. SRB
- Faveurs aux traitements de recherche
- Traitement de données sensibles facilité : pour l’I.A., pour la biométrie contrôlée par la PC
- Restriction du droit d’accès
- Décisions auto : autorisation sous conditions
- Cookies :
- rapatriés dans le RGPD
- refus facilité
