Захист персональних даних - основний закон CNIL від 20 червня 2018 року

Закон, що стосується захисту персональних даних, був оприлюднений 20 червня 2018 р. Він адаптує закон "Informatique et Libertés" від 6 січня 1978 р. До "Європейського пакету захисту даних".

Востаннє змінено: 2 серпня 2019 року

Час читання 13 хвилин

Цей європейський пакет включає загальний регламент про захист даних (RGPD), постанову від 27 квітня 2016 року, яка безпосередньо застосовується у всіх європейських країнах станом на 25 травня 2018 року, а також директиву від того ж дня про справи у кримінальних справах, відому як " поліція "директива.

Закон про заснування від 6 січня 1978 року був внесений до кількох пунктів, щоб привести його у відповідність із GDPR (місії та повноваження CNIL, розширення конфіденційних даних) або скористатися дозволеною ним свободою дій (цифрова більшість тощо).

Адаптація ролі CNIL та його повноважень контролю та санкцій

Склад, завдання та повноваження Національної комісії з питань інформатики та свобод (CNIL) змінилися.

Еволюція місій CNIL

Місії CNIL розвиваються з метою їх адаптації до нової логіки підзвітності та підтримки суб'єктів, що обробляють дані (компанії, адміністрації тощо), встановлених GDPR. Попередні формальності з CNIL майже всі ліквідовані. На додаток до місій, які вона вже виконує, CNIL тепер відповідає за:

  • встановлювати та публікувати керівні принципи, рекомендації або стандарти, призначені для сприяння дотриманню операцій з обробки та для попередньої оцінки ризиків контролерами даних та їх субпідрядниками;
  • заохочувати розробку кодексів поведінки тими, хто має справу з даними;
  • розробити та опублікувати типові нормативні акти з метою забезпечення безпеки систем обробки та управління обробкою біометричних, генетичних та медичних даних;
  • для сертифікації людей, продуктів, систем даних або процедур;
  • перерахувати кримінальні справи, які можуть становити високий ризик для прав і свобод людей.

Виконуючи свої завдання, CNIL повинен брати до уваги специфічні потреби місцевих громад, багатьох з них хвилювали нові європейські правила. Щоб допомогти їм, CNIL опублікував кілька сторінок, присвячених їм на своєму веб-сайті. Закон передбачає це малі та середні підприємства (TPE-PME) також має бути предметом персональної підтримки. Ось чому CNIL, у партнерстві з Bpifrance, надав їм практичний посібник, який поінформував їх про GDPR.

Досі в рамках своїх місій, CNIL надалі можуть консультуватися щодо будь-якого запропонованого закону, що стосується захисту персональних даних, президентами або компетентними комітетами Національної Асамблеї або Сенату, а також президентами парламентських груп.

Посилення контролюючих та санкційних повноважень CNIL

Контрольні повноваження CNIL визначені та розширені. Характер приміщення, яке можуть відвідувати його агенти, та умови, за яких може бути переглянута професійна таємниця, зокрема медична, щодо них. Крім того, для онлайн-перевірок агенти тепер можуть використовувати передбачувану особу.

Також присвячено декілька статей закону процедура співпраці між CNIL та іншими європейськими органами захисту у разі транснаціональної обробки (зачіпає людей з кількох європейських країн). GDPR встановлює нові правила в цій галузі. Мета - надати унікальну відповідь у разі порушення права на приватне життя громадян кількох європейських країн (порушення, проілюстроване, наприклад, л'Випадок Cambridge Analytica-Facebook).

Санкційні повноваження CNIL також адаптовані. Нові санкції, наприклад, проголошення штрафу або відкликання сертифікації чи затвердження, заплановані у разі порушення правил захисту даних. Крім того, значно збільшується розмір адміністративних штрафів. Ці штрафи та штрафи стосуються бізнесу, а також місцевих органів влади та асоціацій, незалежно від того, відповідають вони за обробку або підряд. Звільнена лише держава.

Обговорюючи законопроект, Сенат хотів звільнити місцеві громади від цих фінансових санкцій. Він також хотів, щоб їх продукт використовувався для фінансування державної підтримки контролерів даних та їх субпідрядників. Він також запропонував створити муніципальний та міжмуніципальний фонд, щоб допомогти громадам дотримуватися GDPR. Це дотримання фактично матиме бюджетні витрати для малих громад. Однак ці поправки було відхилено. Тим не менше, на прохання сенаторів, сприяє об'єднанню цифрових послуг між громадами та їх групами. Муніципалітети можуть, зокрема, створити спільну службу захисту даних.

персональних

Розширення конфіденційних даних

Відповідно до GDPR, поле конфіденційних даних (щодо расового походження, політичних поглядів тощо) продовжується генетичні та біометричні дані, а також дані, що стосуються сексуальної орієнтації людини. В принципі, ці дані не можуть бути оброблені через їх саму природу.

Однак винятки з цієї заборони передбачені європейським законодавством (якщо особа чітко дала згоду на обробку її даних або якщо вона зробила їх публічними, у питаннях соціального забезпечення тощо). Закон від 20 червня 2018 року додає інші винятки. Зокрема, дозволяється обробка біометричних даних (відбитків пальців тощо), що суворо необхідно для контролю доступу до робочих місць, комп'ютерів та додатків, що використовуються на роботі. Також дозволено обробку інформації щодо повторного використання інформації, яка фігурує в судових рішеннях, розповсюджених у контексті відкритих даних.

Свобода, дозволена GDPR

GDPR, хоча і застосовується безпосередньо, містить більше п'ятдесяти просторів для маневру, що дозволяє державам-членам вказувати певні положення. Більша частина цього простору для маневру дозволила зберегти положення, які вже існували в законі CNIL 1978 р. Закон від 20 червня 2018 р. Змінює лише деякі моменти, зокрема, щодо реагування на технологічні та суспільні події.

Попередні формальності, що зберігаються для певних процедур

Попередні формальності (дозволи або декларації) з CNIL майже всі видаляються. Відповідно до регламенту GDPR, закон зберігає деякі для:

  • обробка, що включає реєстраційний номер осіб у національному ідентифікаційному реєстрі фізичних осіб (NIR), за деякими винятками;
  • обробка генетичних або біометричних даних, необхідних для автентифікації або перевірки особи осіб, реалізованих від імені держави;
  • обробка, яка стосується державної безпеки, оборони, громадської безпеки або метою якої є запобігання та припинення кримінальних правопорушень;
  • обробка даних про здоров'я, виправдана цілями, що становлять суспільний інтерес (безпека наркотиків тощо).

Особливі категорії обробки

Декілька положень закону присвячені окремим категоріям обробки. Це стосується, зокрема, обробки дані про стан здоров’я, які підпадають під певний режим.

Це також стосується обробки даних про правопорушення, засудження або пов'язані із цим заходи безпеки (поза сферою дії директиви, тобто з іншими цілями, крім запобігання та покарання за правопорушення). Тепер ці методи лікування можуть проводити розширений перелік людей: наприклад, асоціації допомоги жертвам або реінтеграції або особи, причетні до кримінальних проваджень або потерпілі. З іншого боку, Конституційна рада, захоплена сенаторами Les Républicains, оголосила неконституційним розширення реалізації такої обробки "під контролем державної влади" (наприклад, розміщення даних на сервері). Це формулювання, яке копіює GDPR, було визнано недостатньо точним.

Права фізичних осіб

З цього приводу закон знову використовує межі гнучкості, дозволені GDPR.

Вона встановлює числову більшість на 15, тобто вік, з якого дитина може погодитись лише на обробку своїх даних, як правило, в соціальних мережах. Уряд та сенатори хотіли зберегти поріг 16 - вік згоди за замовчуванням, встановлений GDPR. Однак у тексті зліва зазначається можливість зниження його до 13 років. Саме в цьому контексті депутати проголосували за вік чисельної більшості у 15 років.

Закон також відкривається більш широко можливість адміністрації використовувати автоматизовані індивідуальні рішення. Рішення, засновані виключно на алгоритм більше не заборонені. Тим не менше, громадянам надаються нові гарантії: права на інформацію та пояснення (вже закріплені в законі про цифрову республіку 2016 року), право на звернення з апостеріорним втручанням людини, обов'язок адміністрації освоїти алгоритм та його еволюцію (заборона алгоритмів самонавчання), заборона використання конфіденційних даних.

З цього приводу дві палати знову не погодились. Сенатори хотіли більш суворо регламентувати використання алгоритмів адміністрацією. Вони також вимагали прозорості алгоритмів, що використовуються університетами в рамках Паркурсупа (прозорість виключається законом "Орієнтація та успіх студентів" від 8 березня 2018 року). Пропозиції Сенату були відхилені, але з урахуванням поправок, робота Паркурсуп буде предметом щорічного звіту до парламенту. Перша доповідь Комітету з питань етики та науки Паркурсуп була представлена ​​в січні 2019 року.

У своєму рішенні від 12 червня 2018 року Конституційна рада постановила, що нові правила, що регулюють використання алгоритмів адміністрацією, відповідають Конституції. Він вважає, що "законодавець визначив відповідні гарантії захисту прав і свобод осіб, на яких поширюються індивідуальні адміністративні рішення, що приймаються виключно на основі алгоритму".

Закон також зобов'язує публічні школи, коледжі та середні школи публічно публікувати з початку навчального 2018 року., реєстр обробки шкільних даних. Це, серед іншого, включає інформування батьків учнів про те, як обробляються дані їхніх дітей. З метою поінформованості зацікавлених сторін національної освіти до захисту даних Міністерство національної освіти та CNIL підписали угоду у грудні 2018 року.

Групові дії

Групові дії, вже дозволені з кінця 2016 року щодо юридичного припинення порушення контролером або субпідрядником, поширюються на компенсацію матеріальної та моральної шкоди, понесеної у разі порушення персональних даних.

Відповідно до GDPR громадяни можуть також бути представлені асоціаціями або організаціями, що працюють у галузі захисту даних, щоб подати скаргу від свого імені на CNIL, судовий позов проти CNIL або проти контролера даних. Або субпідрядника.

Так, у травні 2018 року асоціація La Quadrature du Net подала колективну скаргу до CNIL проти GAFAM (Google, Apple, Facebook, Amazon та Microsoft), вважаючи, що вони не дотримуються GDPR на "вільну та інформовану" згоду Користувачі Інтернету. Асоціація None Of Your Business також подала скаргу. На підставі цих скарг CNIL 21 січня 2019 року оголосив штраф у розмірі 50 мільйонів євро проти Google LLC.

Зовсім недавно асоціація UFC-Que Choisir розпочала групову акцію проти Google перед інстанцією Паризького трибуналу. Згідно з прес-релізом асоціації від 26 червня 2019 року, "метою цієї акції є припинення підступної експлуатації персональних даних" користувачів Google, "особливо тих, хто має обладнання Android з обліковим записом Google, та компенсація їх до € 1000 ".

Вільний вибір програм для смартфонів

Це положення випливає з поправки "Bothorel", названої на честь заступника, який її вніс. Сьогодні майже всі смартфони, що продаються у Франції та Європі, оснащені мобільною операційною системою iOS або Android, яка за замовчуванням потребує тієї самої пошукової системи для своїх користувачів (наприклад, Google). Закон вимагає від виробників або дистриб'юторів смартфонів пропонувати споживачам більший вибір програм. Мета полягає в тому, щоб зробити трохи більше місця для "альтернативних" веб-браузерів та пошукових систем, іноді більш шанобливо ставлячись до захисту персональних даних своїх користувачів (наприклад, Qwant у Франції).

Транспонування директиви "поліція"

Закон від 20 червня 2018 року остаточно транспонує директиву від 27 квітня 2016 року, яка гармонізує режим поводження з кримінальними цілями (справи міліції та правосуддя, такі як національна справа ДНК, за винятком справ розвідки).

Зокрема, право на інформацію створюється для осіб, які мають судимість. Останні також можуть безпосередньо реалізувати своє право доступу до контролера (за деякими винятками). Потім вони можуть вимагати виправлення даних, що стосуються них, або навіть їх видалення.

Крім того, органи державної влади повинні виконувати певну кількість зобов'язань (складання оцінки впливу на конфіденційні дані, ведення реєстру обробної діяльності та журналу певних операцій з обробки, призначення посадової особи з питань захисту даних, повідомлення про будь-яке порушення даних CNIL та відповідній особі тощо).

Також встановлюються нові правила щодо передачі персональних даних до судових органів та правоохоронних органів у країнах, що не входять до Європейського Союзу.

Щоб забезпечити правильне застосування GDPR, наприкінці 2018 року CNIL налічував 200 працівників - цифра, яка ставить його, порівняно з населенням, до найменш забезпечених органів охорони в Європі. Збільшення робочої сили CNIL залишається важливим питанням, на думку її нового президента Марі-Лор Дені.