Dados pessoais

Os dados pessoais ou DCP (comumente "dados pessoais") correspondem na lei francesa a qualquer informação relativa a uma pessoa física identificada ou podem ser identificados, direta ou indiretamente, por referência a um número de identificação ou a um ou mais elementos que são específicos para isto. Os dados são protegidos por vários instrumentos legais, como os Data Protection Act, arquivos e liberdades, de 1978 e do Regulamento Geral sobre protecção de dados ou RGPD (que revoga a Directiva 95/46 / CE ) na Comunidade ea Convenção n S  108 a protecção de dados pessoais do Conselho da Europa . Como a CNIL francesa, muitos países agora têm autoridades responsáveis ​​pela proteção de dados pessoais , que muitas vezes são autoridades administrativas independentes (ou seus equivalentes), responsáveis ​​por fazer cumprir a lei de proteção de dados pessoais.

Na França, a lei afirma que "toda pessoa tem o direito de decidir e controlar a utilização que é feita dos dados pessoais que lhe dizem respeito".

O regulamento europeu GDPR foi adaptado para a legislação nacional pela lei de 20 de junho de 2018 sobre a proteção de dados pessoais. Além disso, esta lei confere à CNIL missões adicionais e um maior poder de controle e sanção em matéria de proteção de dados.

Definição

Nos textos

As definições adotadas nos vários textos em que se baseia a legislação de proteção de dados pessoais não diferem fundamentalmente, mas oferecem um nível de detalhe variável.

Legislação da União Europeia

O artigo 4.º do Regulamento Geral de Proteção de Dados define dados pessoais como “qualquer informação relativa a uma pessoa singular identificada ou identificável […]; é considerada uma "pessoa singular identificável" uma pessoa singular que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online, ou a um ou elementos mais específicos específicos de sua identidade física, fisiológica, genética, psicológica, econômica, cultural ou social ”. Esta definição é ligeiramente mais detalhada do que a que constava do artigo 2.º da Diretiva 95/46 / CE , que especificava que a pessoa se tornava identificável "nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos e específicos. , identidade fisiológica, psicológica, econômica, cultural ou social ”.

Direito francês

De acordo com o artigo 2 da Lei de Proteção de Dados , os dados pessoais consistem em "qualquer informação relativa a uma pessoa singular identificada ou que possa ser identificada, direta ou indiretamente, por referência a um número de identificação ou a um ou mais elementos que lhe sejam específicos ”. Acrescenta que "para determinar se uma pessoa é identificável, é necessário considerar todos os meios destinados a permitir a sua identificação que estejam disponíveis ou aos quais o responsável pelo tratamento ou qualquer outra pessoa possa ter acesso". Durante a transposição, o legislador francês não repetiu exactamente os termos da directiva de 1995, que acrescenta no seu considerando 26 que “para determinar se uma pessoa é identificável, é necessário considerar todos os meios susceptíveis de serem razoavelmente aplicados, também pelo controlador ou por outra pessoa, para identificar essa pessoa ”.

A lei original de processamento de dados e liberdades de 6 de janeiro de 1978 se referia a "informações nominativas", aquelas que fornecem "uma definição do perfil ou da personalidade da parte interessada" (artigo 2), e "que permitem de qualquer forma , direta ou não, a identificação das pessoas singulares a que se aplicam ”(Artigo 4).

Lei extracomunitária

A Convenção 108 do Conselho da Europa define dados pessoais em seu artigo 2 como “qualquer informação relativa a uma pessoa física identificada ou identificável”.

Âmbito do conceito de dados pessoais

O conceito de dados pessoais é amplamente definido e amplamente aplicado pelos tribunais e autoridades nacionais.

Exemplos de dados pessoais

Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou que possa ser identificada direta ou indiretamente por meio de um ou mais identificadores. Esses identificadores podem ser informações diretamente nominativas, como nome, nome, fotografia do rosto, mas também indiretamente nominativas, como data e local de nascimento, endereço residencial, endereço de e-mail, pseudônimo, um número de referência, um código de pseudo-anonimato ou o número de telefone, que pode ser vinculado à pessoa por meio da verificação cruzada das informações. Um endereço IP também é considerado um dado pessoal, seja fixo ou dinâmico, pois pode ser utilizado, sem saber o nome real do indivíduo, para rastrear seu comportamento na internet, construir "perfis" detalhados e, assim, enviar anúncios personalizados com base em seus hábitos de navegação e histórico de compras.

Esses dados podem ser objetivos, como tipo de sangue, segurança social ou número do cartão do banco, ou subjetivos, como opiniões ou avaliações (nas áreas de "bloco de notas" do software de gerenciamento de clientes , por exemplo) sobre as pessoas envolvidas, que não mesmo tem que ser verdade.

Os dados não precisam ser estruturados ou mesmo contidos em um banco de dados para serem pessoais. Eles não precisam ser necessariamente exploráveis ​​por aquele que os possui.

Da mesma forma, o formato é irrelevante: podem ser imagens (fotografias, pinturas, desenhos), vídeos (gravações de CFTV), sons (amostras de voz), uma parte do corpo (impressão digital, retiniana ou venosa).

Por outro lado, os dados pessoais apenas podem dizer respeito a uma pessoa singular, informações relativas a pessoas coletivas que não são abrangidas pela regulamentação em matéria de dados pessoais. No entanto, ficheiros como o registo comercial e empresarial contêm uma grande quantidade de dados pessoais, incluindo informações relativas aos gestores, neste ponto, entre outros, convém referir que os regulamentos sobre dados pessoais devem ser considerados em conjunto com outros regulamentos que podem limitar certos direitos, como o direito de apagar ou acessar dados pessoais.

Exemplo de dados de registro de nome de passageiro (PNR)

Os dados do Passenger Name Record (PNR ) são dados pessoais relativos a todos os detalhes de uma viagem para passageiros que viajam juntos. A CNIL , e sua contraparte européia do G29 , consideram que a troca de dados entre os Estados, bem como o uso que é feito de ele levanta um certo número de problemas no que se refere ao respeito da vida privada , particularmente com o United States de que a lei protege esses dados menos bem do que a lei da União Europeia . No seu parecer sobre a decisão-quadro do Conselho Europeu de novembro de 2007, que incorporou muitas disposições do acordo entre a UE e os Estados Unidos de julho de 2007 sobre o intercâmbio de dados PNR, o G29 declarou: “Um regime PNR europeu não pode conduzir à vigilância generalizada de todos os passageiros ” . Em abril de 2012, o Parlamento Europeu deu a sua aprovação ao armazenamento de informações sobre os passageiros aéreos europeus pelas autoridades americanas. Em abril de 2016, o Parlamento Europeu adotou a Diretiva de dados cadastrais de passageiros da UE.

Exemplo de dados médicos

Os dados médicos, especialmente quando são registrados, são considerados "  dados confidenciais  " pelo RGPD e pela Lei de Proteção de Dados . Só podem ser recolhidos em determinados casos, regulamentados por lei, por exemplo, para o prontuário informatizado de paciente hospitalizado. O relatório de Babusiaux de 2003 recomendou enviá-los aos CPAM (fundos de seguro de saúde primário), sociedades mútuas e companhias de seguros após o anonimato. Uma pequena minoria de médicos se rebelou contra a informatização dos prontuários médicos quando o Carte Vitale foi implantado , alegando a necessidade de proteger o sigilo médico . A "Lei relativa ao seguro saúde" (13 de agosto de 2004) prevê a criação de um Instituto de Dados de Saúde (IDS, grupo de interesse público , operacional em 2007 ), também sujeito à lei de 2011 sobre simplificação e melhoria da qualidade da lei ); congrega o Estado, as caixas nacionais de seguros de saúde , a União Nacional das entidades de seguros complementares de saúde e a União Nacional dos Profissionais de Saúde e deve zelar pela consistência e qualidade dos sistemas de informação utilizados na gestão do risco de doenças; -lo "disponibiliza aos seus membros, a Alta Autoridade para a Saúde , sindicatos regionais de profissionais de saúde e de certos organismos designados por decreto do Conselho de Estado , para efeitos de gestão de risco de doença ou de saúde preocupações públicas , os dados dos sistemas de informação de os seus membros, em condições de garantia do anonimato fixadas por decreto do Conselho de Estado tomado após consulta à Comissão Nacional de Informática e Liberdades  ” e publica um relatório anual.

Exemplo de AIDS

Na França, no final da década de 1990 , o secretário de Estado da Saúde Bernard Kouchner propôs a inclusão da AIDS na lista de doenças infecciosas obrigatórias , o que implica a declaração obrigatória, porém anônima, das pessoas soropositivas . Essa abordagem é apoiada por associações de luta contra a AIDS , desde que os dados sejam anônimos.

Jean-Baptiste Brunet, diretor do European AIDS Monitoring Centre também apoia esta ideia, ao contrário do National AIDS Council que sublinha os "riscos de violação das liberdades individuais  ", bem como a menor eficácia de "medidas obrigatórias que não estão diretamente em do interesse dos doentes "" a obrigação implicaria um dispositivo automático, um ilusório sistema de sanções em caso de incumprimento da regulamentação, ou mesmo uma alteração legislativa do código de saúde pública  ".

Em maio de 1999, um decreto impõe a declaração compulsória da AIDS de acordo com a lei de 1998 sobre vigilância sanitária . Outro decreto, de6 de maio de 1999, preocupou as associações que lutavam contra a SIDA no verão de 1999, por possivelmente incluir dados pessoais no processamento automatizado implementado pelo Instituto de Vigilância em Saúde Pública , com risco de discriminação . O ministro anuncia então que este decreto será alterado, devendo a CNIL adiar em Setembro de 2009 a implementação pelo instituto de vigilância sanitária do processamento automatizado.

Exemplo de dados biométricos

Biometria “refere-se a uma tecnologia de identificação que consiste em transformar uma característica morfológica ou comportamental em uma impressão digital. Seu objetivo é atestar a singularidade de uma pessoa medindo uma parte imutável e incontrolável de seu corpo ”. O acordo 2016/679 define como "os dados pessoais resultantes de processamento técnico específico relativos ao aspecto físico, fisiológico ou comportamental de um indivíduo que permitem ou confirmam a sua identificação única, como imagens faciais ou dados de impressões digitais" (Artigo 4 (14)) .

Para serem utilizadas, as características em questão devem atender a certos requisitos cumulativos: devem ser únicas, universais, permanentes e mensuráveis. As características do corpo susceptíveis de serem utilizadas por um dispositivo de identificação ou autenticação biométrica são, em particular, a impressão digital , o contorno da mão, a análise da retina , da íris, da rede venosa do dedo., Da mão ou o rosto, a geometria facial, até o DNA . Todos os dados biométricos extraídos dessas características durante a inscrição são dados pessoais.

Os dados biométricos são sujeitos a um regime específico de direito francês desde que a lei n o  2004-801, de 6 de Agosto de 2004, que consta do artigo 25 da Lei de Protecção de Dados, o que torna seu tratamento prévia autorização do CNIL. O regulamento geral sobre a protecção de dados pessoais qualifica-os como “categorias especiais de dados pessoais” (artigo 9.º, n.º 1), cujo tratamento é, em princípio, proibido.

Nomes impróprios

Os dados pessoais às vezes são chamados incorretamente de “dados confidenciais”, em oposição aos dados não identificáveis, o que leva à confusão com “categorias especiais de dados pessoais” comumente chamados de “dados confidenciais”. São, portanto, dados pessoais "que revelam, direta ou indiretamente, as origens raciais ou étnicas, opiniões políticas, filosóficas ou religiosas ou filiação sindical de pessoas, ou que se relacionam com a saúde ou a vida sexual. Destes" (Artigo 8 da alteração Lei de Proteção de Dados). O regulamento acrescenta “dados genéticos” e “dados biométricos para efeitos de identificação única de uma pessoa singular” (artigo 9.º).

Outra designação incorreta é a de “dados privados”, em particular porque os dados pessoais podem muito bem ser tornados públicos sem perder a proteção garantida por lei. Dito isso, é necessário separar claramente (o que não é tão claro nos países anglo-saxões onde há um uso semelhante de Proteção e privacidade de dados pessoais) a proteção de dados pessoais e o respeito pela privacidade, porque este último é um conceito mais amplo, mas, no entanto relacionado. Na verdade, a coleta, o uso e o processamento de Dados Pessoais podem afetar seriamente a reputação, a imagem, a vida pessoal emocional e social de uma pessoa ou a psicologia.

Por outro lado, o nome abreviado “dados pessoais” é de uso comum e comumente aceito.

Privacidade, dados públicos

Nossas sociedades estão testemunhando, com a Internet e as mídias sociais, uma ampliação de nossa visão de privacidade. Compartilhamos muitas informações e dados todos os dias, às vezes conscientemente em nossos perfis do Facebook, Instagram ou Twitter, às vezes involuntariamente por nossos rastros deixados pela aceitação de cookies de determinados sites. Ao publicar e compartilhar informações em nossos perfis digitais, concordamos em compartilhar a adesão desses dados com nossa rede primeiro (amigos, seguidores, etc.), depois com a plataforma e com todas as pessoas que tenham acesso a esses perfis. Essas informações, mesmo compartilhadas com o mundo todo, permanecem como dados pessoais. Essas novas formas de divulgação estratégica de informações pessoais para fins de gerenciamento de capital online não são de forma alguma uma renúncia à privacidade ; nossa necessidade de proteger nossa privacidade ainda existe. Existem várias motivações para a auto-revelação nas redes sociais. Dependendo da rede social observada, surgem diversas formas de gerenciar seu capital social. Todos permitem um ajuste da apresentação online do usuário, alguns permitem o agrupamento de detalhes selecionados em diferentes esferas mais ou menos íntimas. Segundo o sociólogo Antonio Casilli, nas redes sociais, a noção de capital social designa "a aquisição, por meio de relações mediadas pelas TIC, de recursos materiais, informacionais ou emocionais". Essa divulgação e gestão do capital social estão sujeitas a custos, como perda de privacidade  ; Tornar-se conhecido significa, em particular, sacrificar parte de sua vida privada para atrair conexões. Ainda segundo Antonio Casilli, “nenhum dos dados compartilhados é privado ou público, representa de certa forma um sinal que os usuários enviam ao seu ambiente (aqui, os membros de suas redes pessoais online), a fim de receber um retorno ( feedback ) do referido ambiente. " A privacidade é então baseada na busca de um acordo entre várias partes; os atores estão prontos para confrontar seus interesses e dar e receber em termos de revelar informações potencialmente íntimas. A confidencialidade, a intimidade e a privacidade não dependem apenas de características específicas do indivíduo, mas tornam-se contextuais e, portanto, passíveis de consulta coletiva.

Dados anônimos

Os dados que foram sujeitos a um processo de anonimato não são considerados dados pessoais. De acordo com o considerando 26 do Regulamento Geral de Proteção de Dados, 'não há necessidade de aplicar princípios de proteção de dados a informações anônimas, ou seja, informações não relacionadas a uma pessoa física identificada ou identificável, ou a dados pessoais tornados anônimos de forma que os dados o assunto não é ou não é mais identificável. Este regulamento, portanto, não se aplica ao tratamento de tais informações anônimas, inclusive para fins estatísticos ou de pesquisa ”.

No entanto, uma distinção deve ser feita entre dados "verdadeiramente anônimos" e dados "pseudo-anônimos" (usando um código de referência "confidencial") que são frequentemente usados ​​em campos como pesquisa médica. "Dados pseudo-anônimos (ou codificados) permanecem dados pessoais e, portanto, enquadram-se no âmbito dos regulamentos de dados pessoais.

Por outro lado, a recolha de dados pessoais, mesmo que estes sejam imediatamente anonimizados, continua a ser um tratamento de dados sujeito aos princípios da protecção de dados.

No entanto, a eficácia das técnicas de anonimato é questionada por alguns pesquisadores. Dados médicos anônimos (visitas a hospitais, consultas médicas) de funcionários do estado de Massachusetts foram "reidentificados" cruzando-os com os cadernos eleitorais da mesma cidade. O governador do estado em si poderia ser identificada-re, com apenas seis pessoas compartilhando a mesma data de nascimento, três dos quais eram do sexo masculino, e destes, apenas um compartilhado o mesmo código postal, de um total de 54.000 moradores. E sete códigos postais. A eficácia do anonimato também depende da granularidade das informações, pois em pequenas amostras ou no caso de granularidade muito fina até poucos indivíduos, o anonimato torna-se inexistente.

Mais recentemente, um estudo realizado por pesquisadores do MIT mostrou que quatro pontos geo-localizados foram suficientes para identificar 95% dos indivíduos em um banco de dados telefônico de 1,5 milhão de pessoas.

Valor Econômico

Os dados pessoais, pelo valor económico potencial que resulta da sua utilização, fazem parte do ativo intangível de uma empresa e estão no cerne do que alguns têm denominado, inclusive a nível institucional, “l 'economia de dados'. Diversos modelos de negócios baseiam-se no uso de dados pessoais, inclusive os que consistem na prestação de serviços gratuitos em troca de dados fornecidos por seus usuários, utilizados principalmente para personalização de marketing e direcionamento comportamental .

Escândalos recentes (por exemplo, Facebook-Cambridge Analytica ) também mostraram o uso de dados pessoais para fins políticos, a fim de influenciar direta ou indiretamente as escolhas políticas dos eleitores nas principais eleições.

Além disso, os dados pessoais produzidos por comunidades ou administrações, anteriormente sujeitas a um processo de anonimato, podem ser divulgados para fins de interesse geral no âmbito das políticas de dados abertos .

Conflitos com direitos humanos

Uma vez que os dados pessoais fornecem informações, em particular, sobre a identidade, comportamento, hábitos ou preferências das pessoas em causa, a sua utilização entra em conflito com o direito ao respeito pela vida privada e familiar , protegido pela Convenção Europeia. Protecção dos direitos humanos e liberdades fundamentais (artigo 8.º, n.º 1), a Carta Europeia dos Direitos Fundamentais (artigo 7.º) e o Código Civil (artigo 9.º).

Nalguns casos, o exercício dos direitos conferidos às pessoas abrangidas pela legislação em matéria de protecção de dados dá origem a conflitos com outras liberdades fundamentais, como a liberdade de expressão ou o direito à informação, em particular quando se concretiza o direito a ser esquecido .

Capa do Google

Se as fugas de dados pessoais por vezes resultam de hacking por entidades externas, também acontece que estas sejam voluntárias por parte dos seus titulares, sob pena de penalizar os utilizadores. Em agosto de 2014, um usuário de e-mail do Gmail foi denunciado às autoridades locais pelo Google após enviar uma foto de pornografia infantil como anexo de e-mail. No entanto, o Google diz isso claramente em seus termos de uso: “Nossos sistemas automatizados analisam seu conteúdo (incluindo e-mails) para oferecer a você [...] Essa análise ocorre durante o envio, recebimento e armazenamento de conteúdo”.

Se ninguém pode contestar o mérito desta ação, esta notícia destaca o maciço controle de trocas realizado pelo Google. Este método também está em contradição com o artigo 29 da CNIL que estipula que: “O acesso aos dados pessoais para fins de segurança não é aceitável numa sociedade democrática, visto que é massivo e sem condições. A conservação, o acesso e a utilização dos dados pelas autoridades nacionais competentes devem ser limitados ao estritamente necessário e proporcionado numa sociedade democrática. Devem estar sujeitos a garantias substanciais e efetivas ”.

Proteção jurídica

A primeira lei relativa ao tratamento automático de informações pessoais foi aprovada pelo Landtag de Hesse em 1970. A primeira lei nacional para a proteção de dados pessoais foi o Datalagen sueco de 11 de maio de 1973.

O Artigo 1 da Lei de Proteção de Dados declara que "qualquer pessoa tem o direito de decidir e controlar a utilização de dados pessoais que lhe digam respeito". Os diversos instrumentos jurídicos existentes neste domínio estabelecem um conjunto de princípios que o responsável pelo tratamento dos dados pessoais deve respeitar para proteger os direitos fundamentais do titular dos dados, que goza de direitos que lhe permitem manter o controlo sobre os seus dados pessoais. .

Lei de proteção de dados pessoais

França

O direito positivo francês sobre a proteção de dados pessoais consiste na alteração da Lei de Proteção de Dados , que garante a transposição da Diretiva 95/46 / CE . Em 25 de maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados em toda a União Europeia, por se tratar de uma norma de aplicação direta, que não necessita ser transposta. Posto isto, foi apresentado um projeto de lei ao Conselho de Ministros em 13 de dezembro de 2017 com o objetivo de adaptar a Lei de Proteção de Dados às disposições deste Regulamento, nomeadamente no que diz respeito às opções nacionais autorizadas pelas inúmeras cláusulas de abertura presentes. texto comunitário (idade mínima para consentir com o processamento, regime para dados sensíveis, etc.).

Em resumo, a lei de proteção de dados pessoais exige que o controlador de dados cumpra os seguintes princípios:

  • Legalidade de coleta e processamento
  • Limitação de propósitos, que deve ser explícita e legítima
  • Minimização dos dados coletados no que diz respeito às finalidades
  • Precisão de dados
  • Limitação do período de retenção ao necessário para o cumprimento dos objetivos
  • Segurança e confidencialidade de dados

Os titulares dos dados têm o direito à informação, à retificação ou mesmo ao apagamento de dados (por vezes referido como "direito a ser esquecido" ou "a retirar da lista"), de se opor ou limitar o processamento e, com o Regulamento, o direito de demanda portabilidade de dados (isso é conhecido como o “  direito à portabilidade  ”).

suíço

A Lei Federal de Proteção de Dados de 19 de junho de 1992 ( na versão em 1º de janeiro de 2011) estabeleceu uma proteção de privacidade muito estrita , proibindo praticamente todo processamento de dados não explicitamente autorizado pelo titular dos dados. Em particular, é prescrito que:

  • o tratamento de dados pessoais deve ser efetuado de acordo com os princípios da boa fé e da proporcionalidade;
  • os dados pessoais só devem ser processados ​​para os fins indicados no momento da recolha;
  • a coleta de dados pessoais e, em particular, as finalidades do tratamento devem ser reconhecíveis pelo titular dos dados:
  • quando o seu consentimento é necessário para justificar o tratamento dos dados pessoais que lhe dizem respeito, o titular dos dados só consente validamente se manifestar a sua vontade livremente e após ter sido devidamente informado. Quando se trata de dados confidenciais e perfis de personalidade, seu consentimento também deve ser explícito.

Além disso, qualquer pessoa pode solicitar por escrito a uma empresa (que administra um arquivo) a retificação ou exclusão dos dados que lhe dizem respeito. A empresa deve responder em trinta dias.

Todo o sistema está sujeito à autoridade de um oficial federal de proteção e transparência de dados .

China

Desde 2012 e uma “decisão” da Comissão Permanente da ANP apelando ao reforço da protecção de dados da Internet e propondo uma primeira definição de “dados pessoais”, disposições relativas à protecção destes últimos têm infundido muitos textos., Em particular setorial, até 2017 e a promulgação da lei sobre cibersegurança (CSL, 2017), uma espécie de lei-quadro, desde então, complementada por uma infinidade de textos. Entre esses fundos: (1) um padrão (Especificação de Segurança de Informações Pessoais ou "PISS") teoricamente voluntário, mas amplamente obrigatório na prática, e que especifica as medidas a serem tomadas em termos de coleta, armazenamento, uso, compartilhamento, transferência e publicação de dados pessoais (maio de 2018); (2) um projeto de novo regulamento que rege as transferências transfronteiras de dados pessoais (junho de 2019).

Todo esse sistema legal e regulatório é amplamente inspirado no GDPR. Embora o GDPR seja frequentemente mais abrangente e preciso, e proceda de um ponto de partida diferente (proteção dos direitos individuais, enquanto o CSL insiste em salvaguardar a segurança nacional), os dois regimes estão de acordo em muitos pontos, incluindo o seguinte: ( 1) a necessidade de obter o consentimento do usuário antes da coleta de seus dados (a lei chinesa sobre segurança cibernética exige até consentimento “explícito”); (2) certos princípios, como minimizar as informações coletadas em relação ao objetivo buscado; minimização do tempo de armazenamento, etc. ; (3) o direito dos usuários de acessar os dados e solicitar sua correção ou exclusão; (4) limitação da partilha de dados a terceiros (o PISS apenas autoriza se “necessário” e desde que o destinatário seja capaz de garantir a sua segurança); (5) a adoção de uma abordagem contratual para as transferências transnacionais de dados pessoais.

Diferenças notáveis ​​permanecem, no entanto. Em alguns casos, a lei chinesa acaba sendo mais restritiva do que o GDPR. Assim: (1) a lei sobre cibersegurança prevê penalidades de até dez vezes o valor dos lucros obtidos com transferências internacionais estão sujeitos a controles mais rígidos na China: o usuário deve ter sido informado e ter consentido em qualquer saída de dados confidenciais , um relatório de avaliação de risco deve ter sido submetido e aprovado pelas autoridades, etc. ; (2) em termos de proteção de dados pessoais, o corpus chinês é muito mais prescritivo quanto aos meios a serem implementados; auditoria anual e treinamento, estabelecimento de planos de emergência, criação de um cargo de "oficial de segurança de dados" em tempo integral em organizações que atendem a certos critérios, notificação de qualquer violação de segurança às autoridades, etc. No entanto, o "direito ao esquecimento" não é reconhecido como tal na China e a exclusão de dados a pedido dos usuários está sujeita a várias condições (ausência de consentimento, coleta ou uso ilegal, etc.) conforme promulgadas. Padrão PISS ”. Além disso, não existe uma autoridade específica responsável pela protecção dos dados pessoais, embora os operadores de rede e prestadores de serviços sejam obrigados a partilhar os dados recolhidos com as suas administrações de supervisão e órgãos de segurança pública.

Na ausência de um canal eficaz que permita aos cidadãos fazerem valer os seus direitos, a implementação deste corpo legislativo é principalmente por iniciativa do governo e continua a ser muito imperfeita. Uma primeira "campanha" teve como alvo os gigantes digitais chineses: Alibaba, Tencent, Sina, Baidu, etc., inspecionados sucessivamente. Em 2018, o foco era o comportamento criminoso e malicioso (furto, venda de dados pessoais), sob a liderança do Ministério da Segurança Pública. Depois, em 2019, nos aplicativos mais populares para celulares para avaliar se eles estavam coletando dados ilegalmente ou em quantidades excessivas. Estão previstas sanções financeiras e criminais, mas na maioria das vezes as empresas são obrigadas a implementar medidas corretivas e, em alguns casos, os pedidos são colocados offline. A implementação permanece em grande parte vertical, por iniciativa das autoridades públicas. Esta lógica de campanha resulta automaticamente em uma implementação de intensidade variável ao longo do tempo, dependendo dos atores e setores. Além disso, a lei é susceptível de ser adaptada às circunstâncias e aos interesses superiores do Estado. Por exemplo: em fevereiro de 2020, para combater a epidemia de COVID-19, o governo chinês generalizou o uso de soluções de rastreamento de indivíduos potencialmente afetados desenvolvidas pela Tencent e Alibaba. De acordo com o New York Times, o aplicativo do Alibaba compartilhou dados automaticamente com a polícia sem notificar os usuários.

Estados Unidos da América

Esses dados podem ser vendidos, se o titular dos dados não expressar expressamente seu desacordo. Esse é o caso, por exemplo, de dados de software de folha de pagamento.

Papel da Comissão Nacional de Informática e Liberdades

A Comissão Nacional de Informática e Liberdades é a autoridade administrativa independente responsável pela aplicação da lei sobre tecnologia da informação e liberdades e pelo respeito pelos direitos das pessoas. Para isso, apóia os responsáveis ​​pelo tratamento de dados, informa os titulares dos dados sobre seus direitos, recebe e investiga reclamações que podem resultar em sanções.

Evolução da proteção legal

A integridade digital é um conceito jurídico emergente que visa alcançar uma melhor proteção dos dados, garantindo o direito à autodeterminação informativa. Introduzido no âmbito dos direitos fundamentais , o direito à integridade digital é proposto como uma justificação para todos os direitos digitais, incluindo o da proteção de dados.

Natureza jurídica

Questão de direito de propriedade sobre dados pessoais

Os métodos de coleta tornaram-se particularmente diversificados com as tecnologias digitais. Esses métodos podem ir desde a coleta de informações por meio de formulário preenchido voluntariamente pelos indivíduos até o registro de rastros (hábitos de navegação, localização geográfica do endereço de conexão, sites consultados, relacionamento estabelecido com indivíduos ou redes, etc.).

Os modos de exploração podem ser feitos pelos próprios indivíduos, através da busca de informações por meio de um mecanismo de busca ou em redes sociais online, ou por organizações: marketing direcionado, listagem de populações pelo Estado, envio em massa de e-mails comerciais não solicitados ( spam ),  etc. . O modelo de negócios dos principais players da Web ( Google , Amazon ) e redes sociais ( Facebook , Twitter ) é amplamente baseado no uso de dados pessoais dos usuários.

Pierre Bellanger sugere em 2014 a criação de um direito de propriedade: o de seu traço digital nas redes. Este direito pressupõe que qualquer captura ou processamento de dados de um cidadão europeu cumpre a legislação europeia, mas, além disso, qualquer exportação desses dados para fora da União está sujeita a um imposto: o “dataxe”.

AFAPDP, a associação das autoridades de proteção de dados, refuta a criação de tal direito de propriedade. Em 18 de outubro de 2018, a associação, reunida em assembléia em Paris , vota uma resolução declarando que "os dados pessoais são elementos constitutivos da pessoa humana, que, portanto, tem direitos inalienáveis ​​sobre eles". Esta resolução foi proposta pela CNIL .

Violações de dados pessoais

Compartilhar e vazar dados pessoais é uma violação da segurança e da privacidade dos dados, que pode ter graves repercussões para os indivíduos envolvidos. No entanto, são frequentes:

  • Dropbox  : site de armazenamento de arquivos e documentos online teve 68 milhões de senhas e IDs de usuário roubados em 2016. A violação de segurança foi relatada em 2012.
  • MySpace  : várias centenas de milhões de contas, incluindo 427 milhões de senhas, foram colocadas à venda em um site especializado na ocultação de dados roubados.
  • LinkedIn  : mais de cem milhões de nomes de usuário e senhas foram vendidos online em 2016. Esses dados foram supostamente roubados em 2012.
  • Ebay  : em 2014, um dos bancos de dados da empresa foi invadido entre o final de fevereiro e o início de março, e informações não financeiras de clientes foram roubadas. Como resultado dessa violação de dados, a empresa pediu a 145 milhões de usuários para alterar suas senhas.
  • Domino's Pizza  : tendo recusado a pagar um resgate de 30.000  € , os dados de cerca de 650.000 clientes franceses e belgas foram divulgados em novembro de 2014. Entre as informações recolhidas, o nome dos clientes, a sua morada, as instruções de entrega e palavras-passe.
  • Banco Central Europeu  : em 2014, o BCE foi vítima de um ciberataque no seu site. Eles relataram o roubo de 20.000 endereços de e-mail, bem como endereços postais e números de telefone vinculados. Esses dados foram salvos sem serem criptografados, ao contrário de outras informações armazenadas no mesmo banco de dados.
  • Orange  : a operadora de telefonia francesa reconhece em 6 de maio de 2014 um novo roubo de dados pessoais de 1,3 milhão de clientes e prospectos, três meses após uma intrusão que afetou cerca de 800.000 deles. Uma intrusão detectada no dia 18 de abril possibilitou o roubo de nomes, primeiros nomes e, quando foram digitados, o endereço de e-mail, os números do celular e fixo e a data de nascimento dos usuários. Posteriormente, o operador comprometeu-se a avisar os utilizadores em causa, de forma a limitar os riscos de "  phishing  ", o envio de e-mails fraudulentos para defraudar ou roubar os dados dos seus destinatários.
  • Facebook  : a rede social compartilha dados do usuário com 60 fabricantes de smartphones; referem-se às amizades mantidas, ao estado civil, às opiniões políticas, bem como à participação em um evento sem saber. Um vazamento de dados pessoais referente a 540 milhões de usuários do Facebook foi detectado em 4 de abril de 2019. Em dezembro do mesmo ano, outro vazamento afetou 267 milhões de seus usuários.
  • A Clearview AI é objeto de várias controvérsias e processos judiciais sobre bilhões de imagens que coletou da Internet envolvendo dados pessoais que invadem a privacidade.
  • IQVIA  : a empresa americana IQVIA, que firmou parceria com 14.000 farmácias francesas, armazena e processa dados de saúde de clientes de farmácias na França. A CNIL, que havia dado um acordo, lançou uma investigação e fiscalização.

Elise Lucet no Documentário, Investigação de dinheiro  : "Nossos dados pessoais valem ouro" na França 2 em maio de 2021, destaca as falhas na proteção de dados pessoais na França.

Notas e referências

  1. "  Lei n ° 78-17 de 6 de Janeiro, 1978 para processamento de dados, arquivos e liberdades, o artigo 2.  " , em legifrance.gouv.fr
  2. "  LEI n ° 2018-493 de 20 de junho de 2018 relativa à proteção de dados pessoais  " , em legifrance.gouv.fr
  3. "  Descrição do Regulamento Geral de Proteção de Dados  " , em Droit.fr - Referência legal ,22 de junho de 2018(acessado em 22 de junho de 2018 ) .
  4. Francis Donnat, Legislação Europeia da Internet: redes, dados, serviços , Issy-les-Moulineaux, LGDJ,2018, 208  p. ( ISBN  978-2-275-06118-4 ) , p.  69
  5. Desgens-Pasanau, Guillaume , A proteção de dados pessoais , Paris, LexisNexis, dl 2015, policial. 2016, 249  p. ( ISBN  978-2-7110-2418-6 , OCLC  935676897 ) , p.  7.
  6. "  Tribunal de Justiça da União Europeia: Patrick Breyer v Bundesrepublik Deutschland, C-582/14  " , em curia.europa.eu ,19 de outubro de 2016
  7. G29 , Parecer conjunto sobre a proposta de decisão-quadro do Conselho relativa à utilização dos dados do registo de nomes dos passageiros (PNR) para fins de aplicação da lei, apresentada pela Comissão em 6 de Novembro de 2007 .
  8. “  Acordo UE / EUA: Uso e transferência de dados de registro de nomes de passageiros (dados PNR) para o Departamento de Segurança Interna dos EUA  ” , no Parlamento Europeu .
  9. “  Diretiva de dados de registro de nomes de passageiros da UE (PNR): visão geral  ” , no Parlamento Europeu .
  10. Um relatório aprova a divulgação de dados médicos para as seguradoras , Transfert , 20 de junho de 2003. Relatório Babusiaux .
  11. "A informatização dos dados de saúde ameaça o sigilo médico" (Doutor X) , Transfert , 9 de outubro de 2003.
  12. Artigo 64 - Lei nº 2004-810, de 13 de agosto de 2004, relativa ao seguro saúde (1))
  13. veja o capítulo II da Lei n o  2011-525 de 17 de maio de 2011 a simplificar e melhorar a qualidade da legislação .
  14. Bernard Kouchner do governo Jospin .
  15. Eric Favereau, "Controvérsia sobre a declaração obrigatória de soropositividade", lançamento , 31 de janeiro de 1998 [ lido online ] .
  16. Eric Favereau, “AIDS: Mulheres cada vez mais afetadas. Continua em pauta a declaração (obrigatória e anônima) da soropositividade ”, Liberation , 17 de novembro de 1997 [ ler online ] .
  17. Para o processo legislativo em 1999, ver o 20 °  relatório da CNIL (1999), cap. V.
  18. CNIL , Deliberação nº 99-042, de 9 de setembro de 1999.
  19. Definição dada por Ayse Ceyhan durante o seminário IHEJ / Esprit de 20 de março de 2006, Antoine Garapon e Michaël Foessel, “  Biometria: novas formas de identidade  ”, Esprit n ° 8 ,1 ° de agosto de 2006, p.  165-172 ( ISSN  0014-0759 ).
  20. Anne Debet, Jean Massot e Nathalie Métallinos, Processamento de dados e liberdades: a proteção de dados pessoais no direito francês e europeu , Issy-les-Moulineaux, Lextenso,2015, "Biometrics", p. 1095.
  21. Antonio A. Casilli , “  Contra o‘fim da hipótese vida privada’. Negociação de privacidade nas redes sociais  ”, Revue française des Sciences de l'information et de la Communication , n S  3,30 de julho de 2013( ISSN  2263-0856 , DOI  10.4000 / rfsic.630 , ler online , acessado em 8 de maio de 2019 )
  22. Antonio Casilli, 'Pequenas caixas' e individualismo em rede. Socializando usos da web em debate. , Paris, Annales de l'École des Mines - Realidades Industriais,2010, 216  p. , p.  54-59
  23. (in) dados "anônimos" realmente não são - e aqui está o porquê .
  24. (in) Yves-Alexandre Montjoye, "  Único na multidão: Os limites da privacidade da mobilidade humana  " , Nature SREP , n o  3,25 de março de 2013( leia online ).
  25. Comissão Europeia, Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, Rumo a uma economia de dados próspera, Bruxelas, 2 de julho de 2014, COM (2014) 442 final, http : //ec.europa.eu/transparency/regdoc/rep/1/2014/FR/1-2014-442-FR-F1-1.Pdf .
  26. Simon Chignard e Louis-David Benyayer, Datanomics: novos modelos de negócios de dados , Paris, FYP edições,30 de abril de 2015, 158  p. ( ISBN  978-2-36405-124-9 ).
  27. Aude Deraedt , "  Nos Estados Unidos, o Google denuncia um pedófilo que usou o Gmail  ", Liberation ,5 de agosto de 2014( leia online , consultado em 26 de setembro de 2018 )
  28. “  Termos de Serviço do Google - Política de Privacidade e Termos de Serviço  ” , em policies.google.com (acessado em 26 de setembro de 2018 )
  29. "  Declaração conjunta adotada pelo G29  " , em cnil.fr (acessado em 26 de setembro de 2018 )
  30. "  Origem da Lei de Proteção de Dados  " , em cil.cnrs.fr ,14 de novembro de 2012(acessado em 7 de maio de 2018 ) .
  31. (in) Eleni Kosta , Consent in European Data Protection Law , Martinus Nijhoff Publishers,21 de março de 2013( ISBN  978-90-04-23236-5 , leia online )
  32. “  Projeto de Lei da Proteção de Dados Pessoais (JUSC1732261L)  ” , na Légifrance (consultado em 20 de dezembro de 2017 ) .
  33. Lei federal de proteção de dados de 19 de junho de 1992 (página consultada em 2 de janeiro de 2015).
  34. Cesla Amarelle , a Lei Suíça , Lazer e Pedagogia Publishing , 2008.
  35. Definição da missão no próprio site do Oficial Federal de Proteção e Transparência de Dados (página consultada em 2 de janeiro de 2015).
  36. " 国家 互联网 信息 办公室 关于 《个人 信息 出境 安全 评估 办法 (征求意见稿)》 公开 征求 意见 的 通知 - 中共中央 网络 安全 和 和 信息 化 委员会 办公室 " , em cac.gov.cn (acessado em 12 de novembro de 2020 )
  37. (in) Clyde & Co LLP - Richard Bell , "  Proteção de Dados Pessoais na UE e China - Uma Análise Comparativa  " em lexology.com (acessado em 12 de novembro de 2020 )
  38. Embaixada da França na China, "  Protecção de dados pessoais na China: um quadro jurídico e implementação ainda imperfeita  " , na Direcção-Geral do Tesouro ,julho de 2020
  39. (en-US) Paul Mozur , Raymond Zhong e Aaron Krolik , "  In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags  " , The New York Times ,2 de março de 2020( ISSN  0362-4331 , ler online , acessado em 12 de novembro de 2020 )
  40. (en-US) “  Intuit to Share Payroll Data from 1.4M Small Businesses With Equifax  ” ,1 ° de julho de 2021
  41. Ver, por exemplo: Economia de dados pessoais , Fabrice Rochelandet, Ed. La Découverte, Paris, 2010.
  42. Pierre Rimbert , “  dados pessoais, um assunto político: Recuperando um recurso de utilidade pública  ”, Le Monde diplomatique ,setembro de 2016( leia online ).
  43. Artigo "Identidade pessoal, combustível da economia digital" , humeursnumeriques.wordpress.com.
  44. Pierre Bellanger, "Depois da crise econômica, a crise digital" , huffingtonpost.fr.
  45. Site da associação francófona de autoridades de proteção de dados pessoais , no site AFAPDP
  46. Resolução sobre propriedade de dados adotada pelo AFAPDP em 18 de outubro de 2018
  47. (em) Samuel Gibbs , "  Hack do Dropbox levou ao vazamento de 68 milhões de senhas de usuários na Internet  " , The Guardian ,31 de agosto de 2016( ISSN  0261-3077 , ler online , consultado em 4 de janeiro de 2018 ).
  48. (em) Sarah Perez , "  Recentemente confirmado no MySpace Hack pode ser o maior ainda  ' , TechCrunch ,31 de maio de 2016( leia online , consultado em 4 de janeiro de 2018 ).
  49. Vincent Hermann, “  LinkedIn: Leak of 2012 Wider Than Expected, New Wave of Resets ,  ” Next Inpact ,19 de maio de 2016( leia online , consultado em 4 de janeiro de 2018 ).
  50. (en-GB) Jane Wakefield , “  eBay enfrenta investigação sobre violação  ” , BBC News ,23 de maio de 2014( leia online , consultado em 4 de janeiro de 2018 ).
  51. "  Data hacking, job creator  ", France Inter ,24 de junho de 2014( leia online , consultado em 26 de setembro de 2018 )
  52. (en-US) "O  BCE diz que o site foi hackeado, nenhum dado sensível foi afetado  " , Reuters ,24 de julho de 2014( leia online , consultado em 26 de setembro de 2018 )
  53. Sébastien Gavois, "  Ataque de computador, violação de dados: Orange responde às nossas perguntas  ", Next Inpact ,30 de janeiro de 2014( leia online , consultado em 4 de janeiro de 2018 ).
  54. Lucie Ronfaut, “O  Facebook compartilha os dados de seus usuários com fabricantes de smartphones  ” , Le Figaro ,4 de junho de 2018( ISSN  0182-5852 , acessado em 4 de junho de 2018 ) .
  55. "  Facebook: Nova violação de dados para 540 milhões de usuários  " , no Journal du Geek ,4 de abril de 2019(acessado em 4 de abril de 2019 ) .
  56. "  Facebook examina potencial violação massiva de dados  " , no Le Monde ,20 de dezembro de 2019(acessado em 27 de dezembro de 2019 )
  57. Emma Confrere, "  Reconhecimento facial: a empresa Clearview AI acusada de" vigilância em massa ilegal "  " , Le Figaro com AFP ,4 de fevereiro de 2021(acessado em 27 de maio de 2021 )
  58.  Samuel Kahn, "  Reconhecimento facial: Clearview causa um escândalo com seus 3 bilhões de rostos" sugados "  " , Le Figaro com AFP ,24 de janeiro de 2021(acessado em 28 de maio de 2021 )
  59. (em) "O  Twitter exige que a empresa de IA pare de 'colecionar lados'  " , BBC News ,23 de janeiro de 2020( leia online , consultado em 14 de dezembro de 2020 )
  60. (em) Alfred Ng e Steven Musil, "  Clearview AI atingiu com cessar e desistir do Google, Facebook sobre coleção de reconhecimento facial  " na CNET ,5 de fevereiro de 2020(acessado em 14 de dezembro de 2020 )
  61. "  Reconhecimento facial: YouTube e Facebook avisam o start-up Clearview AI  " , no Le Monde ,6 de fevereiro de 2020(acessado em 27 de maio de 2021 )
  62. (em) Kashmir Hill, "  New Jersey impede a polícia de usar o aplicativo de reconhecimento facial Clearview  " , The New York Times ,25 de janeiro de 2020( ISSN  0362-4331 , ler online , acessado em 27 de maio de 2021 )
  63. (em) Elizabeth Thompson, "  A empresa de tecnologia dos EUA Clearview AI violou a lei de privacidade canadense: relatório  " , CBC News ,5 de fevereiro de 2021( leia online , consultado em 27 de maio de 2021 )
  64. Florian Reynaud, "  Reconhecimento facial: um inquérito solicitado à CNIL sobre as práticas de Clearview AI  " , no Le Monde ,27 de maio de 2021(acessado em 27 de maio de 2021 )
  65. Florian Reynaud, "  " Cash Investigation ": o CNIL reage à transmissão do programa e anuncia a verificação da recolha de dados de saúde  " , em LeMonde.fr ,18 de maio de 2021(acessado em 19 de maio de 2021 )
  66. Alice Vitard, “  Dados de saúde, farmácias e IQVIA: Quem deve informar os clientes?  » , Em factory-digitale.fr ,18 de maio de 2021(acessado em 19 de maio de 2021 )
  67. David Legrand, “  Farmácias e dados IQVIA: o CNIL se explica e fará verificações  ” , em nextinpact.com ,18 de maio de 2021(acessado em 19 de maio de 2021 )
  68. David Legrand, “  Cash Investigation está interessada na exploração de dados pessoais  ” , em nextinpact.com ,17 de maio de 2021(acessado em 19 de maio de 2021 )

Veja também

Artigos relacionados

Em geral

Aspectos tecnicos

Aspectos legais

Avaliações

Bibliografia

  • Nicolas Ochoa, lei de dados pessoais, uma polícia administrativa especial , tese, 2014, Paris 1, disponível no link https://tel.archives-ouvertes.fr/tel-01340600
  • Coletivo, Informática e Liberdades. A proteção de dados pessoais na legislação francesa e europeia , LGDJ, Intégrales, 16 de julho de 2015, ( ISBN  978-2359710939 ) .
  • Coletivo, Regulamento Europeu de Proteção de Dados: Textos, comentários e diretrizes práticas , Bruylant Edition, 10 de janeiro de 2018, ( ISBN  978-2802759676 ) .
  • Ludovic Coudray, A proteção de dados pessoais na União Europeia: Nascimento e consagração de um direito fundamental , European University Publishing, 4 de maio de 2010, ( ISBN  978-6131502699 ) .
  • Guillaume Desgens-Pasanau , The Protection of Personal Data , publicado por Litec LexisNexis, coleção Carré Droit, setembro de 2012, ( ISBN  2711016838 )

Documentário

links externos