Ouvrir le menu principal

Wikipédia β

Page d'aide sur l'homonymie Pour les articles homonymes, voir Donnée.

Une donnée à caractère personnel (couramment "données personnelles") correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres[1]. Les données sont protégées par divers instruments juridiques notamment la loi Informatique, fichiers et libertés de 1978 et le Règlement général sur la protection des données (abrogeant la directive 95/46/CE) au niveau communautaire ainsi que la Convention n°108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données à caractère personnel, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci), chargées de faire appliquer le droit de la protection des données à caractère personnel.

En France, la loi énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Sommaire

DéfinitionModifier

Dans les textesModifier

Les définitions retenues dans les différents textes fondant le droit de la protection des données à caractère personnel ne divergent pas fondamentalement mais offrent un niveau de détail variable.

Droit de l'Union EuropéenneModifier

L'article 4 du Règlement général sur la protection des données définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable [...]; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Cette définition est légèrement plus approfondie que celle qui figurait à l'article 2 de la directive 95/46/CE, laquelle précisait que la personne devenait identifiable « notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Droit françaisModifier

D'après l'article 2 de la loi informatique et libertés, une donnée à caractère personnelle consiste en « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Elle ajoute que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Lors de la transposition, le législateur français n'a pas repris exactement les termes de la directive de 1995, laquelle ajoute dans son considérant 26 que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ».

La loi informatique et libertés originale du 6 janvier 1978[2] se référait plutôt aux « informations nominatives », celles donnant « une définition du profil ou de la personnalité de l'intéressé » (article 2), et « qui permettent sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent » (article 4).

Droit extra-communautaireModifier

La Convention 108 du Conseil de l'Europe définit les données à caractère personnel en son article 2 comme « toute information concernant une personne physique identifiée ou identifiable ».

Étendue de la notion de donnée à caractère personnelModifier

La notion de donnée à caractère personnel fait l'objet d'une définition ample, et est appliquée de manière large par les juridictions et les autorités nationales[3].

Exemples de données à caractère personnelModifier

Sont considérées comme des données à caractère personnel des informations directement nominatives telles que le nom, le prénom, la photographie du visage, mais aussi indirectement nominatives, telles que la date et le lieu de naissance, l'adresse du domicile, l'adresse électronique, le pseudonyme ou le numéro de téléphone, qui peuvent être reliées à la personne par recoupement d'informations. Une adresse IP est également considérée comme une donnée à caractère personnel, qu'elle soit fixe ou dynamique[4].

Ces données peuvent être objectives, comme le groupe sanguin, le numéro de sécurité sociale ou de carte bancaire, ou subjectives, comme des avis ou des appréciations (dans les « zones bloc-note » des logiciels de gestion client, par exemple) sur la personne concernées, lesquels n'ont même pas besoin d'être vrais.

Les données n'ont pas à être structurées ni même contenues dans une base de données pour être à caractère personnel. Elles ne doivent pas non plus à être nécessairement exploitables par celui qui les a en sa possession.

De même, le format est indifférent : il peut s'agir d'images (photographies, tableau, dessins), de vidéos (enregistrements de vidéosurveillance), de sons (échantillons de la voie), d'une partie du corps (empreinte digitale, rétinienne ou veineuse).

En revanche, une donnée à caractère personnel ne peut concerner qu'une personne physique, les informations relatives aux personnes morales n'étant pas protégées. Pour autant, des fichiers tels que le registre du commerce et des sociétés contiennent de nombreuses données à caractère personnel, parmi lesquelles les informations relatives aux dirigeants.

Exemple des données des dossiers passagers (PNR)Modifier

Article détaillé : Données des dossiers passagers.

Les données des dossiers passagers (ou PNR, de l'anglais Passenger Name Record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. La CNIL, et son homologue européen le G29, considèrent que l'échange de ces données entre États ainsi que l'utilisation qui en est faite soulèvent un certain nombre de problèmes quant au respect de la vie privée, particulièrement avec les États-Unis dont la législation protège moins bien ces données que ne le fait la législation de l'Union européenne. Dans son avis concernant la décision-cadre du Conseil européen de novembre 2007, qui reprenait maintes dispositions de l'accord entre l'UE et les États-Unis de juillet 2007 sur l'échange des données PNR, le G29 déclarait : « Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers. »[5] En avril 2012, le Parlement européen a donné son aval au stockage d’informations sur les passagers aériens européens par les autorités américaines[6]. En avril 2016, le Parlement Européen a adopté la Directive sur les données des dossiers passagers de l'UE[7].

Exemple des données médicalesModifier

Articles connexes : Droit de la santé et Données médicales.

Les données médicales surtout quand elles sont nominatives sont considérées comme des « données sensibles » par la directive 95/46/CE et par la loi Informatique et libertés. Elles ne peuvent être collectées que dans certains cas, encadrés par la loi, par exemple pour le dossier médical informatisé d'un patient hospitalisé. Le rapport Babusiaux de 2003 préconisait de les transmettre aux CPAM (Caisses primaires d'assurance maladie), aux mutuelles et aux assurances après anonymisation[8]. Une petite minorité de médecins s'est rebellé contre l'informatisation des dossiers médicaux, lors de la mise en place de la Carte Vitale, en alléguant la nécessité de protéger le secret médical[9].

La « Loi relative à l'assurance maladie » (13 aout 2004) prévoit[10] la création d'un Institut des données de santé (IDS, groupement d'intérêt public, opérationnel en 2007) puis aussi soumis à la loi de 2011 de simplification et d'amélioration de la qualité du droit[11]) ; il réunit l'État, les caisses nationales d'assurance maladie, l'Union nationale des organismes d'assurance maladie complémentaire et l'Union nationale des professionnels de santé et doit assurer la cohérence et la qualité des systèmes d'information utilisés pour la gestion du risque maladie ; il « met à disposition de ses membres, de la Haute Autorité de santé, des unions régionales des professionnels de santé et de certains organismes désignés par décret en Conseil d'État, à des fins de gestion du risque maladie ou pour des préoccupations de santé publique, des données issues des systèmes d'information de ses membres, dans des conditions garantissant l'anonymat fixées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés » et publie annuellement un rapport d'activité d'abord transmis au Parlement.

Exemple du SIDAModifier

En France à la fin des années 1990, le secrétaire d'État à la santé Bernard Kouchner[12] propose l'inclusion du SIDA dans la liste des maladies infectieuses à déclaration obligatoire, qui implique une déclaration obligatoire mais anonymisée des séropositifs. Cette démarche est soutenue par les associations de lutte contre le SIDA, du moment que les données étaient anonymisées[13],[14].

Jean-Baptiste Brunet, directeur du Centre européen de surveillance du sida[13] soutient aussi cette idée, à l'inverse du Conseil national du sida qui souligne les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades » « l'obligation supposerait un dispositif automatique, un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique »[13].

En mai 1999, un décret impose la déclaration obligatoire du SIDA dans le cadre de la loi de 1998 sur la veille sanitaire[15]. Un autre décret, du , inquiète les associations de lutte contre le SIDA à l'été 1999, car incluant possiblement des données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire, avec un risque de discrimination. Le ministre annonce alors que ce décret sera modifié, et la CNIL diffèrera en septembre 2009 la mise en œuvre par l'institut de veille sanitaire du traitement automatisé[16].

Exemple des données biométriquesModifier

Articles détaillés : Donnée biométrique et Biométrie.

La biométrie « désigne une technologie d'identification qui consiste à transformer une caractéristique morphologique ou comportementale en une empreinte numérique. Son objectif est d'attester l'unicité d'une personne à partir de la mesure d'une partie inchangeable et immaîtrisable de son corps. »[17] Le règlement 2016/679 les définit comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4 (14)).

Pour être employées, les caractéristiques en question doivent répondre à certaines exigences cumulatives : elles doivent être uniques, universelles, permanentes et mesurables[18]. Les caractéristiques du corps susceptibles d'être employées par un dispositif d'identification ou d'authentification biométriques sont notamment l'empreinte digitale, le contour de la main, l'analyse de la rétine, de l'iris, du réseau veineux du doigt, de la main ou du visage, la géométrie faciale, jusqu'à l'ADN. Toutes les données biométriques extraites de ces caractéristiques lors de l'enrôlement sont des données à caractère personnel.

Les données biométriques font l'objet d'un régime spécifique en droit français depuis la loi n° 2004-801 du 6 août 2004, qui figure à l'article 25 de la loi informatique et libertés, lequel soumet leur traitement à une autorisation préalable de la CNIL. Le règlement général sur la protection des données personnelles les qualifie de « catégories particulières de données à caractère personnel » (article 9 (1)), dont le traitement est, en principe, interdit.

Dénominations impropresModifier

Les données à caractère personnelles sont parfois improprement nommées « données sensibles », par opposition aux données non identifiantes, ce qui entretient une confusion avec les « catégories particulières de données à caractère personnel » couramment nommées « données sensibles ». Il s'agit alors des données personnelles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8 de la loi informatique et libertés modifiée). Le Règlement y ajoute les « données génétiques » et les « données biométriques aux fins d'identifier une personne physique de manière unique » (article 9).

Une autre appellation impropre est celle de « données privées », notamment parce que les données à caractère personnel peuvent très bien être rendues publiques sans pour autant perdre la protection assurée par le droit.

En revanche, l'appellation abrégée « données personnelles » est d'usage courant et communément admise.

Données anonymiséesModifier

Des données ayant été l'objet d'un procédé d'anonymisation ne sont pas considérées comme des données à caractère personnel. Selon le considérant 26 du règlement général sur la protection des données, « il n'y a […] pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »

En revanche, la collecte de données à caractère personnel, même si celles-ci sont immédiatement anonymisées, reste un traitement de données soumis aux principes de la protection des données.

L'efficacité des techniques d'anonymisation est cependant mise en doute par certains chercheurs. Des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’État du Massachusetts ont été « ré-identifées » en les croisant avec les listes électorales d'une même ville. Le gouverneur même de l’État a pu être ré-identifié, seules six personnes partageant la même date de naissance dont trois de sexe masculin, et, parmi ces dernières, une seule partageait le même code postal, sur un total de 54 000 résidents et sept codes postaux[19].

Plus récemment, une étude de chercheurs du MIT a montré que quatre points géolocalisés étaient suffisants pour identifier 95 % des individus dans une base de données téléphoniques de 1,5 million de personnes[20].

Valeur économiqueModifier

Les données à caractère personnel, par la valeur économique potentielle qui résulte de leur exploitation, font partie de l'actif immatériel d'une entreprise, et sont au cœur de ce que d'aucuns ont nommé, y compris au niveau institutionnel, « l'économie de la donnée »[21]. Plusieurs modèles économiques s'appuient sur l'exploitation de données personnelles parmi lesquels ceux consistant à fournir des services gratuits en échange des données fournies par leurs utilisateurs, qui sont exploitées pour l'essentiel à des fins de personnalisation marketing et ciblage comportemental[22].

En outre, les données à caractère personnel produites par les collectivités ou les administrations, qui font préalablement l'objet d'un procédé d'anonymisation, peuvent être diffusées à des fins d'intérêt général dans le cadre de politiques d'ouverture des données publiques.

Conflits avec les droits des personnesModifier

Parce que les données à caractère personnel renseignent, notamment, sur l'identité, le comportement, les habitudes ou les préférences des personnes concernées, leur exploitation entre en conflit avec le droit au respect de la vie privée et familiale, protégé par la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (article 8 alinéa 1), la Charte européenne des droits fondamentaux (article 7), et le Code civil (article 9).

Dans certains cas, l'exercice des droits offerts aux personnes concernées par le droit de la protection des données suscite des conflits avec d'autres libertés fondamentales, telles que la liberté d'expression ou le droit à l'information, notamment lors de la mise en œuvre du droit à l'oubli.

Protection juridiqueModifier

L'article 1 de la loi informatique et liberté énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». Les différents instruments juridiques existant en la matière énoncent un ensemble de principes que le responsable d'un traitement de données à caractère personnel doit respecter afin de protéger les droits fondamentaux de la personne concernée, laquelle bénéficie de droits lui permettant de conserver le contrôle sur ses données.

Le droit de la protection des données à caractère personnelModifier

En FranceModifier

Le droit positif français de la protection des données à caractère personnel consiste en la loi informatique et libertés modifiée, laquelle assure la transposition de la directive 95/46/CE. Le 25 mai 2018 entrera en application le Règlement général sur la protection des données, lequel est d'applicabilité directe en France sans avoir besoin d'être transposé. Cependant, un projet de loi a été présenté en Conseil des ministres le 13 décembre 2017[23] afin d'adapter la loi informatique et libertés au Règlement, et notamment d'effectuer les choix nationaux permis par les nombreuses clauses d'ouvertures présentes dans le texte communautaire (âge minimum pour consentir au traitement, régime des données sensibles...).

En synthèse, le droit de la protection des données à caractère personnel impose au responsable du traitement de ces données de respecter les principes suivants :

  • Licéité et loyauté de la collecte et du traitement
  • Limitation des finalités, lesquelles doivent être explicites et légitimes
  • Minimisation des données collectées au regard des finalités
  • Exactitude des données
  • Limitation de la durée de conservation à celle nécessaire à l'accomplissement des finalités
  • Sécurité et confidentialité des données

Les personnes concernées disposent de droits à l'information, à la rectification voire à l'effacement des données (parfois nommé « droit à l'oubli » ou « au déréférencement »), de s'opposer ou de limiter le traitement, et, avec le Règlement, du droit d'exiger la portabilité des données.

En SuisseModifier

La Loi fédérale sur la protection des données du 19 juin 1992 (dans son état au 1er janvier 2011) a mis en place une protection très stricte de la vie privée en interdisant pratiquement tout traitement de données non explicitement autorisé par la personne intéressée[24]. Il est en particulier prescrit que :

  • le traitement de données personnelles doit être effectué conformément aux principes de la bonne foi et de la proportionnalité ;
  • les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte ;
  • la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée :
  • lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

En sus, tout particulier peut demander par écrit à une entreprise (gérant un fichier) la rectification ou la suppression des données le concernant[25]. L'entreprise doit répondre dans les trente jours[25].

L'ensemble du dispositif est soumis à l'autorité d'un Préposé fédéral à la protection des données et à la transparence[26].

Le rôle de la Commission Nationale de l'Informatique et des LibertésModifier

La Commission Nationale de l'Informatique et des Libertés est l'autorité administrative indépendante chargée de l'application de la loi informatique et libertés, et du respect des droits des personnes. Pour ce faire, elle accompagne les responsables de traitement, informe les personnes concernées de leurs droits, reçoit et instruit les plaintes qui peuvent conduire à des sanctions.

Nature juridiqueModifier

La question d'un droit de propriété sur les données à caractère personnelModifier

Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques. Ces modes peuvent aller de la collecte d'informations via un formulaire rempli volontairement par les individus, jusqu'à l'enregistrement de traces (habitudes de navigation, localisation géographique de l'adresse de connexion, sites consultés, relations établies avec des individus ou des réseaux, etc.).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes, par recherche d'informations à l'aide d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou bien le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriels non sollicités à caractère commercial (pourriels), etc.[27],[28]. Le modèle économique des acteurs majeurs du Web (Google, Amazon) et des réseaux sociaux (Facebook, Twitter) repose en grande partie sur l'exploitation des données personnelles des utilisateurs[29].

Pierre Bellanger suggère en 2014 la création d'un droit de propriété : celui de sa trace numérique sur les réseaux. Ce droit supposerait que toute captation ou traitement des données provenant d'un citoyen européen réponde du droit européen, mais de surcroît que toute exportation de ces données hors de l'Union soit assujettie à une taxe : la « dataxe »[28],[30].

Atteintes aux données à caractère personnelModifier

Les fuites de données à caractère personnel constituent des atteintes à la sécurité et à la confidentialité des données, qui peuvent avoir d'importantes répercussions pour les personnes concernées. Celles-ci sont toutefois fréquentes :

  • Dropbox : site permettant de stocker ses fichiers et documents en ligne a vu 68 millions de mots de passe et d'identifiants utilisateurs volés en 2016. La faille de sécurité avait été signalée en 2012[31].
  • Myspace : plusieurs centaines de millions de comptes dont 427 millions de mots de passe ont été mis en vente sur un site spécialisé dans le recel de données volées[32].
  • LinkedIn : plus de cent millions d’identifiants et mots de passe sont mis en vente en ligne en 2016. Ces données auraient été volées en 2012[33].
  • Ebay : en 2014, l’une des bases de données de l'entreprise a été forcée entre la fin de février et le début de mars, et des informations non financières de la clientèle ont été volées. Suite à cette violation de données, l'entreprise a demandé à 145 millions d’utilisateurs de changer de mot de passe[34].
  • Orange : l’opérateur téléphonique français reconnaît le 6 mai 2014 un nouveau vol de données personnelles de 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux. Une intrusion détectée le 18 avril a permis de dérober les noms, prénoms, et, quand ils étaient renseignés, l’adresse e-mail, les numéros de téléphone mobile et fixe et la date de naissance des utilisateurs[35]. L’opérateur s’est engagé par la suite à prévenir les utilisateurs concernés pour limiter les risques de « hameçonnage », l’envoi d’e-mails frauduleux à escroquer ou à voler les données de leurs destinataires.

Notes et référencesModifier

  1. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 2.
  2. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (1), https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000000886460
  3. Desgens-Pasanau, Guillaume, La protection des données personnelles, LexisNexis, dl 2015, cop. 2016 (ISBN 9782711024186, OCLC 935676897, lire en ligne), p. 7
  4. Cour de Justice de l'Union Européenne, 19 octobre 2016, Patrick Breyer contre Bundesrepublik Deutschland, C-582/14, disponible en ligne : http://curia.europa.eu/juris/document/document.jsf?docid=184668.
  5. G29, Avis commun sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007
  6. « Accord UE/États-Unis: utilisation et transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure », sur Parlement Européen
  7. « Directive sur les données des dossiers passagers de l'UE (données PNR): aperçu », sur Parlement Européen
  8. Un rapport approuve la diffusion de données médicales aux assureurs, Transfert, 20 juin 2003. Rapport Babusiaux.
  9. « L’informatisation des données de santé menace le secret médical » (Docteur X), Transfert, 9 octobre 2003.
  10. http://www.legifrance.gouv.fr/affichCode.do;jsessionid=1F2EA8A96D56CCA0C917751F3D2846D7.tpdjo01v_2?idSectionTA=LEGISCTA000006172512&cidTexte=LEGITEXT000006073189&dateTexte=20140201 Art L161-36-5] de la http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000625158 Loi relative à l'assurance maladie] (13 aout 2004) Version consolidée au 26 février 2010
  11. voir chapitre II de la loi n° 2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit
  12. Bernard Kouchner du gouvernement Jospin
  13. a, b et c Eric Favereau, « Polémique sur la déclaration obligatoire de la séropositivité », Libération, 31 janvier 1998 [lire en ligne]
  14. Eric Favereau, « Sida: les femmes de plus en plus touchées. La déclaration (obligatoire et anonyme) de la séropositivité est toujours à l'ordre du jour », Libération, 17 novembre 1997 [lire en ligne]
  15. Pour la procédure législative en 1999, voir le 20e rapport de la CNIL (année 1999), chap. V
  16. CNIL, Délibération no 99-042 du 9 septembre 1999.
  17. Définition donnée par Ayse Ceyhan lors du séminaire IHEJ/Esprit du 20 mars 2006, Antoine Garapon et Michaël Foessel, « Biométrie : les nouvelles formes de l'identité », Esprit n°8,‎ , p. 165-172 (ISSN 0014-0759)
  18. Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés : la protection des données à caractère personnel en droit français et européen, Issy-les-Moulineaux, Lextenso, , "La biométrie", p. 1095
  19. (en) "Anonymized" data really isn't—and here's why not
  20. (en) Yves-Alexandre de Montjoye, « Unique in the Crowd: The privacy bounds of human mobility », Nature SRep, no 3,‎ (lire en ligne)
  21. Commission Européenne, Communication de la Commission au Parlement Européen, au Conseil, au Comité Économique et Social Européen et au Comité des Régions, Vers une économie de la donnée prospère, Bruxelles, 2 juillet 2014, COM(2014) 442 final, http://ec.europa.eu/transparency/regdoc/rep/1/2014/FR/1-2014-442-FR-F1-1.Pdf.
  22. Simon Chignard, Louis-David Benyayer, Datanomics : Les nouveaux business models des données, Paris, FYP éditions, (ISBN 978-2364051249)
  23. « Projet de loi relatif à la protection des données personnelles (JUSC1732261L) », sur Légifrance (consulté le 20 décembre 2017)
  24. Loi fédérale sur la protection des données du 19 juin 1992 (page consultée le 2 janvier 2015).
  25. a et b Cesla Amarelle, Droit suisse, Éditions Loisirs et pédagogie, 2008.
  26. Définition de mission sur le propre site du Préposé fédéral à la protection des données et à la transparence (page consultée le 2 janvier 2015).
  27. Voir par exemple : Économie des données personnelles, Fabrice Rochelandet, Ed. La Découverte, Paris, 2010
  28. a et b Pierre Rimbert, « Données personnelles, une affaire politique : Se réapproprier une ressource d’utilité publique », Le Monde diplomatique,‎ (lire en ligne)
  29. Article "L’identité personnelle, carburant de l’économie numérique", humeursnumeriques.wordpress.com
  30. Pierre Bellanger, "Après la crise économique, la crise numérique", huffingtonpost.fr
  31. (en) Samuel Gibbs, « Dropbox hack leads to leaking of 68m user passwords on the internet », The Guardian,‎ (ISSN 0261-3077, lire en ligne)
  32. (en) Sarah Perez, « Recently confirmed Myspace hack could be the largest yet », TechCrunch,‎ (lire en ligne)
  33. Vincent Hermann, « LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations », Next Inpact,‎ (lire en ligne)
  34. (en) Jane Wakefield, « eBay faces investigation over breach », BBC News,‎ (lire en ligne)
  35. Sébastien Gavois, « Attaque informatique, fuite de données : Orange répond à nos questions », Next Inpact,‎ (lire en ligne)

BibliographieModifier

  • Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600
  • Collectif, Informatique et Libertés. La protection des données à caractère personnel en droit français et européen, LGDJ, Intégrales, 16 juillet 2015, (ISBN 978-2359710939).
  • Collectif, Règlement européen sur la protection des données: Textes, commentaires et orientations pratiques, Bruylant Édition, 10 janvier 2018, (ISBN 978-2802759676).
  • Ludovic Coudray, La protection des données personnelles dans l'Union européenne: Naissance et consécration d'un droit fondamental, Éditions Universitaires Européennes, 4 mai 2010, (ISBN 978-6131502699).
  • Guillaume Desgens-Pasanau, La Protection des données à caractère personnel, publié chez Litec LexisNexis, collection Carré Droit, septembre 2012, (ISBN 2711016838)

Voir aussiModifier

Liens internesModifier

Généralités

Aspects techniques

Aspects légaux

Critiques

Liens externesModifier