Archives des finalité - Philippe Schmitt Avocats https://www.schmitt-avocats.fr/tag/finalite/ Marques, modèles, brevets, données personnelles et industrielles. Mon, 19 May 2025 18:06:01 +0000 fr-FR hourly 1 https://www.schmitt-avocats.fr/wp-content/uploads/2024/08/cropped-LOGO-PSA-32x32.jpg Archives des finalité - Philippe Schmitt Avocats https://www.schmitt-avocats.fr/tag/finalite/ 32 32 Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? https://www.schmitt-avocats.fr/consentement-acces-donnees-personnelles-peut-on-reprendre-les-solutions-obtenues-avec-la-directive-9545/ Thu, 30 Nov 2017 13:42:38 +0000 http://www.schmitt-avocats.fr/?page_id=4484     Le Consentement sous la Directive 95/46 et le RGPD Une analyse comparative des exigences et des changements   Pour les PME-TPE, l’annonce de l’entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n’est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n’ont

READ MORE

L’article Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? est apparu en premier sur Philippe Schmitt Avocats.

]]>
Le Consentement RGPD vs Directive 95/46 : Évolution et Continuité

Le Consentement sous la Directive 95/46 et le RGPD

Une analyse comparative des exigences et des changements

Pour les PME-TPE, l'annonce de l'entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n'est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n'ont pas des ressources internes suffisantes.

En bien des points le RGPD reprend des dispositions de la directive 95/46, mais son enseignement sera-t-il conservé après mai 2018 ?

Le RGPD organise de subtils équilibres entre les modalités du consentement de la personne concernée à l'accès aux données personnelles la concernant, la finalité de cet accès et la nature des données concernées. Des solutions existaient avec la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Mais ces solutions seront-elles encore applicables à partir de mai 2018 ?

Données à caractère particulier : ce qui change

Pour certaines données, le RGPD prévoit un régime d'interdiction sauf certaines exceptions expressément prévues. Parmi ces exceptions - c'est-à-dire la finalité du traitement - figure l'action en justice.

Article 9 du RGPD - Traitement portant sur des catégories particulières de données

L'article 9.1 du RGPD interdit le traitement des données à caractère personnel qui révèle :

  • L'origine raciale ou ethnique
  • Les opinions politiques
  • Les convictions religieuses ou philosophiques
  • L'appartenance syndicale
  • Les données génétiques
  • Les données biométriques aux fins d'identifier une personne de manière unique
  • Les données concernant la santé
  • Les données concernant la vie sexuelle ou l'orientation sexuelle

Ces interdictions peuvent être levées dans des cas précis énumérés à l'article 9.2, notamment :

"f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;"

Parallèle avec l'article 8 de la directive 95/46

De telles données étaient déjà placées sous un régime d'interdiction d'accès à l'article 8 de la directive 95/46 du 24 octobre 1995, avec le tempérament de l'action en justice au point e :

Directive 95/46 (Article 8.2.e) RGPD (Article 9.2.f)
Le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

Principes relatifs à la légitimation des traitements : Article 7 de la directive 95/46

Pour les données non particulières, qu'en est-il ? Leur accès est-il limité au consentement de la personne concernée même quand un tiers veut engager une action en justice et qui pour cette action a besoin de cette donnée personnelle ?

L'article 7 de la directive 95/46 disposait :

"Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
[...]
f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1."

Jurisprudence clé : Arrêt de la Cour de justice du 4 mai 2017

Les faits

Un simple accident matériel de la circulation en Lettonie : le passage d'un taxi en ouvrant sa portière heurte un tramway. La compagnie de tramway, s'étant vue refuser toute indemnisation par l'assurance du taxi, souhaite engager une procédure civile contre le passager.

La compagnie de tramway obtient de la police les nom et prénom du passager du taxi, mais un refus lui est opposé concernant son adresse et son numéro d'identification. La compagnie dépose un recours contre ce refus, recours accepté qui fait l'objet d'un pourvoi en cassation par la police.

L'interprétation de la Cour

La Cour de justice rappelle trois conditions cumulatives pour qu'un traitement de données à caractère personnel soit licite selon l'article 7, sous f), de la directive 95/46 :

  1. La poursuite d'un intérêt légitime par le responsable du traitement ou par le tiers auquel les données sont communiquées
  2. La nécessité du traitement des données pour la réalisation de l'intérêt légitime poursuivi
  3. La condition que les droits et libertés fondamentaux de la personne concernée ne prévalent pas

La Cour conclut que :

"L'article 7, sous f), de la directive 95/46/CE [...] doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile [...]. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national."

Implications pour le consentement après le RGPD

Si la directive n'obligeait pas cette communication de données personnelles à un tiers pour qu'il engage une action en justice, l'accord de la personne concernée était requis sauf si une loi nationale en avait disposé autrement.

Comme le RGPD s'applique sans loi de transposition et qu'il souhaite une application uniforme dans l'ensemble de l'Union, l'accès à ces données personnelles nécessaires à une action en justice devrait être toujours conditionné à l'accord de la personne concernée si effectivement l'enseignement de la jurisprudence antérieure est maintenu après mai 2018.

Considérations pour les PME et TPE

Pour les entreprises, en particulier les PME et TPE qui disposent de ressources limitées, il est essentiel de comprendre ces subtilités. Le RGPD reprend en grande partie les principes de la directive 95/46, mais avec des nuances importantes concernant le consentement et l'accès aux données personnelles.

La mise en conformité nécessite une analyse approfondie des processus de traitement des données et une vérification des bases juridiques invoquées pour chaque traitement.

2021. Avant toute mise en œuvre, ce document doit être réactualisé.

L’article Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? est apparu en premier sur Philippe Schmitt Avocats.

]]> Quantité des données conservées et finalité de leur conservation https://www.schmitt-avocats.fr/rgpd-donnees-conservees-finalite-conservation/ Wed, 01 Nov 2017 10:20:56 +0000 http://www.schmitt-avocats.fr/?page_id=4467     RGPD et conservation des données pour PME et TPE RGPD et les PME/TPE Comprendre les obligations de conservation des données personnelles L’importance des données dans l’ère numérique Avec le développement du numérique, les données sont au cœur de la création de valeur. Toutefois, certaines de ces données, parce qu’elles sont qualifiées de données

READ MORE

L’article Quantité des données conservées et finalité de leur conservation est apparu en premier sur Philippe Schmitt Avocats.

]]>

   
RGPD et conservation des données pour PME et TPE

RGPD et les PME/TPE

Comprendre les obligations de conservation des données personnelles

L'importance des données dans l'ère numérique

Avec le développement du numérique, les données sont au cœur de la création de valeur. Toutefois, certaines de ces données, parce qu'elles sont qualifiées de données personnelles, peuvent mettre en péril l'entreprise si elles ne sont pas correctement gérées.

À partir du 28 mai 2018, le RGPD contraint les entreprises à organiser dès la conception de leurs bases de données de tenir compte de la nature des données personnelles qu'elles contiennent et de l'importance quantitative de celles-ci.

Points clés à retenir :

  • Les données personnelles doivent être collectées avec un objectif précis
  • La quantité de données conservées doit être proportionnée à la finalité
  • La durée de conservation doit être limitée au strict nécessaire

Jurisprudence européenne sur la conservation des données

La quantité des données conservées et la finalité de leur conservation sont illustrées par l'arrêt de la Cour de justice du 8 avril 2014 qui a annulé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006.

Cet arrêt, connu sous le nom de Digital Rights Ireland Ltd, pose des questions fondamentales sur la compatibilité d'une conservation massive de données avec les droits fondamentaux des citoyens.

Question principale soulevée :

La directive 2006/24 est-elle compatible avec la Charte en ce qu'elle permet le stockage d'une masse de types de données à l'égard d'un nombre illimité de personnes pour une longue durée ?

Une précision importante de la Cour : "la conservation des données toucherait presque exclusivement des personnes dont le comportement ne justifie aucunement la conservation des données les concernant. Ces personnes seraient exposées à un risque accru de voir les autorités rechercher leurs données, prendre connaissance de leur contenu, s'informer de leur vie privée et utiliser ces données à de multiples fins..."

Catégories de données concernées par la réglementation

La directive 2006/24/CE (annulée) détaillait les types de données pouvant être conservées. Ces catégories restent pertinentes pour comprendre l'encadrement actuel du RGPD :

Données d'identification

  • Numéros de téléphone
  • Noms et adresses des abonnés
  • Identifiants pour les services internet
  • Adresses IP attribuées

Données de connexion

  • Date et heure de début et fin de communication
  • Date et heure d'ouverture/fermeture de sessions internet
  • Informations sur les services utilisés

Données de localisation

  • Identité de localisation cellulaire
  • Données géographiques des cellules mobiles
  • Points terminaux des communications

Données techniques

  • Identifiants d'équipements (IMEI, IMSI)
  • Informations sur le matériel de communication
  • Types de services utilisés

Important

Aucune donnée révélant le contenu des communications ne peut être conservée selon la directive. Ce principe fondamental demeure applicable dans le cadre du RGPD.

Recommandations pratiques pour les PME et TPE

Évaluer la finalité

Chaque donnée collectée doit répondre à une finalité déterminée, explicite et légitime. Documentez précisément l'objectif de chaque collecte.

Limiter la quantité

Ne collectez que les données strictement nécessaires à la finalité poursuivie. Appliquez le principe de minimisation des données.

Définir la durée

Fixez des durées de conservation limitées et proportionnées à la finalité. Mettez en place des procédures d'effacement automatique.

Conséquences de l'arrêt Digital Rights Ireland

Cette jurisprudence établit clairement qu'une conservation massive et indifférenciée de données personnelles n'est pas compatible avec les droits fondamentaux protégés par la Charte européenne.

Pour les PME et TPE, cela signifie que la conservation des données doit être :

  • Limitée dans sa portée (nombre de personnes concernées)
  • Proportionnée dans son volume (quantité de données par personne)
  • Justifiée par une finalité légitime
  • Restreinte dans sa durée

Durées de conservation recommandées par type de données

Type de données Durée de conservation Finalité
Données clients (contrat) 5 ans après la fin du contrat Gestion commerciale et preuves contractuelles
Données de connexion 1 an maximum Sécurité et détection des incidents
Données de localisation 6 mois maximum Analyse statistique anonymisée
Données de paiement 13 mois + délais légaux Preuves de transaction et obligations comptables
CV et candidatures 2 ans après dernier contact Recrutement et constitution de vivier

Attention

Ces durées sont indicatives et peuvent varier selon les secteurs d'activité et les obligations légales spécifiques. Consultez la documentation de la CNIL ou un expert en protection des données pour adapter ces recommandations à votre situation particulière.

2021. Avant toute mise en œuvre ce document doit être réactualisé

L’article Quantité des données conservées et finalité de leur conservation est apparu en premier sur Philippe Schmitt Avocats.

]]>