Fiche de révision : Protection des données personnelles et RGPD

📋 Plan du Cours

1. Données personnelles et traitement
2. RGPD et autorité CNIL
3. Outils de conformité RGPD
4. Droits des personnes et sanctions
5. Donnée de santé et exceptions
6. Obligations spécifiques des données de santé
7. Robotique médicale et responsabilité
8. Responsabilité du robot d'assistance
9. Produits défectueux et indemnisation
10. Transhumanisme et augmentation humaine

📖 1. Données personnelles et traitement

🔑 Notions clés & Définitions

• Donnée à caractère personnel : Une donnée à caractère personnel est toute information qui identifie une personne physique directement ou par recoupement indirect.
• Traitement de données : Un traitement de données est l’ensemble des opérations réalisées sur des données, quel que soit le procédé utilisé.
• Collecte et rapprochement : La collecte et le rapprochement d’opérations entrent dans la qualification de traitement de données personnelles.
• Listing de patient : Un listing de patients constitue un traitement de données à caractère personnel.
• Responsable de traitement : Le responsable de traitement est l’acteur qui encadre le traitement et engage sa responsabilité en cas de problème.

📝 Points essentiels

• La donnée seule n’est pas le cœur du régime : c’est le traitement associé à cette donnée qui compte.
• Le traitement englobe notamment la collecte et l’utilisation avec rapprochement des opérations effectuées.
• Lorsqu’un traitement est réalisé, un responsable de traitement doit être identifié pour répondre des manquements.

💡 Astuce mémo

Donnée = identifie, Traitement = opère (c’est l’opération qui déclenche le droit).

📖 2. RGPD et autorité CNIL

🔑 Notions clés & Définitions

• RGPD : Le RGPD est le règlement qui harmonise en Europe les règles de protection des données personnelles face au numérique.
• Loi informatique et libertés : La loi informatique et libertés est la loi ancienne qui a été modifiée et réécrite à l’issue de l’entrée en place du RGPD.
• CNIL : La CNIL est l’autorité administrative indépendante chargée de prescrire, d’autoriser et de sanctionner.
• Activité juridictionnelle : L’activité juridictionnelle constitue l’exception mentionnée au champ d’application du RGPD dans le texte.

📝 Points essentiels

• Le RGPD concerne le responsable de traitement, notamment les entreprises, associations, collectivités et professions libérales, avec une exception pour les services à activité juridictionnelle.
• Le RGPD s’applique si le service cible un ou plusieurs ressortissants de l’UE, y compris lorsque l’acteur traite des données depuis l’UE.
• Le schéma RGPD inverse l’approche : au lieu de déclarer systématiquement, le responsable met en place des outils de conformité puis la CNIL peut vérifier et sanctionner.

💡 Astuce mémo

CNIL en mode contrôle : le responsable construit la conformité, pas une déclaration automatique.

📖 3. Outils de conformité RGPD

🔑 Notions clés & Définitions

• DPD/DPO : Le DPD ou DPO est chargé d’assurer la conformité des traitements de données au sein d’une organisation.
• Registre des traitements : Le registre des traitements cartographie l’ensemble des traitements réalisés et leurs caractéristiques clés.
• Sécurisation des données : La sécurisation vise à adapter le niveau de protection des données aux catégories traitées et aux risques.
• Analyse d’impact : L’analyse d’impact est réalisée pour certains traitements jugés à dangerosité importante afin d’évaluer la proportionnalité.

📝 Points essentiels

• Le DPD/DPO n’est pas obligatoire pour tous, mais il est obligatoire pour les organismes publics ou fortement recommandé lorsque le traitement nécessite un suivi régulier ou porte sur des données sensibles.
• Le registre doit décrire les données collectées, les parties prenantes, le responsable, les éventuels sous-traitants, et catégoriser les données.
• Le registre doit préciser le but du traitement, les destinataires, la durée d’exploitation et les mesures de sécurisation correspondant au niveau de risque.
• Pour les traitements présentant une dangerosité importante, une analyse d’impact sert à vérifier que la mesure est proportionnée au but poursuivi.

💡 Astuce mémo

Registre = carte, DPO = pilote de conformité, Audit = niveau de sécurité adapté.

📖 4. Droits des personnes et sanctions

🔑 Notions clés & Définitions

• Consentement OPT-IN : Le consentement OPT-IN impose une action positive de la personne pour recevoir des communications, comme une newsletter.
• Consentement OPT-OUT : Le consentement OPT-OUT correspond à un système antérieur où l’inscription pouvait conduire à recevoir des communications après un délai.
• Droit à l’oubli : Le droit à l’oubli permet d’exiger la suppression des données dans les conditions prévues par le régime présenté.
• Droit à la portabilité : Le droit à la portabilité permet de demander le transfert des données vers un nouveau responsable de traitement.

📝 Points essentiels

• Avec le RGPD, le consentement pour la newsletter suit un OPT-IN : cocher l’accord est requis avant l’envoi publicitaire.
• L’envoi de messages liés à une relation commerciale existante est présenté comme une exception au schéma OPT-IN.
• Les sanctions sont graduelles : avertissement par mise en demeure, puis injonction de cesser, puis limitation ou suspension temporaire avant sanction administrative.
• L’amende peut atteindre 20 millions d’euros ou 4% du chiffre d’affaire en cas d’infraction sanctionnée.

💡 Astuce mémo

OPT-IN = Je dis oui activement ; sanctions = avertir puis couper progressivement.

📖 5. Donnée de santé et exceptions

🔑 Notions clés & Définitions

• Donnée concernant la santé : Une donnée concernant la santé est toute information révélant l’état de santé physique ou mental d’une personne, passé, présent ou futur.
• Donnée de santé : La donnée de santé regroupe les informations relatives à l’état de santé et couvrant des éléments qui permettent d’en révéler des aspects.
• Donnée sensible : Le régime applicable aux données de santé relève du statut de données sensibles au sens du texte.
• Consentement en matière de santé : Le consentement de la personne permet, dans les conditions indiquées, de réaliser un traitement de données de santé.

📝 Points essentiels

• Le RGPD rattache la donnée de santé aux informations révélant l’état de santé physique ou mental passé, présent ou futur.
• Le texte vise aussi les informations d’inscription, y compris identifiants comme des numéros ou symboles, lorsqu’elles figurent parmi les données liées au patient.
• Le régime de l’article 9 s’applique aux données de santé et prévoit un principe d’interdiction assorti d’exceptions.
• Des traitements sans consentement sont possibles notamment pour sauvegarder les intérêts vitaux, pour la santé publique et pour la recherche scientifique sous condition.

💡 Astuce mémo

Santé = état de santé révélable ; RGPD : article 9 + interdiction avec exceptions.

📖 6. Obligations spécifiques des données de santé

🔑 Notions clés & Définitions

• Secret médical : Le secret médical est un principe fondamental du droit de la santé applicable en lien avec le traitement des données de santé.
• Hébergement des données de santé : L’hébergement des données de santé fait l’objet d’une réglementation particulière mentionnée par le texte.
• Cryptage : Le cryptage fait partie des obligations renforcées de protection indiquées pour les données de santé.
• Interdiction de cession commerciale : Les données de santé ne peuvent pas être cédées ni exploitées commercialement selon le principe présenté.

📝 Points essentiels

• Le traitement des données de santé entraîne des obligations supplémentaires par rapport au régime général, notamment en matière de secret médical.
• Le texte mentionne une exigence de sécurisation renforcée et des obligations propres comme l’hébergement des données de santé et le cryptage.
• Le principe présenté impose l’interdiction de céder et d’exploiter commercialement les données de santé.
• La qualification de donnée de santé impacte directement le niveau d’obligations pesant sur le responsable de traitement.

💡 Astuce mémo

Données de santé = protection + secret + limites économiques (pas de commerce des données).

📖 7. Robotique médicale et responsabilité

🔑 Notions clés & Définitions

• Robot chirurgical : Un robot chirurgical est un dispositif robotisé utilisé en chirurgie, présenté avec l’exemple de précision accrue.
• Robot d’assistance : Un robot d’assistance intervient pour réaliser des tâches dans des environnements comme les hôpitaux et cliniques.
• Machine learning : Le machine learning est mobilisé pour concevoir et améliorer des systèmes qui prennent des décisions à partir de données.
• Autonomie décisionnelle : L’autonomie décisionnelle désigne la capacité du robot à décider quoi faire à un instant donné.

📝 Points essentiels

• Le texte relie l’augmentation de l’autonomie robotique à des questions de responsabilité civile.
• Les essais et l’IA sont présentés comme une voie vers des robots plus autonomes capables d’assumer des tâches complexes de santé.
• Deux approches doctrinales sont décrites : l’une évoque une logique de patrimoine/assurance pour les actes du robot, l’autre considère que le droit actuel suffirait à gérer la problématique.
• Le robot chirurgical da Vinci est cité comme exemple orienté vers une précision accrue et une remise en état plus courte.

💡 Astuce mémo

Plus le robot décide, plus la responsabilité se complexifie.

📖 8. Responsabilité du robot d'assistance

🔑 Notions clés & Définitions

• Théorie de la garde (1940) : La théorie de la garde distingue une responsabilité selon que le dommage provient de la structure ou du comportement de la chose.
• Présomption de garde : La présomption de garde rattache le risque de dommage à la personne qui a la maîtrise de l’objet dans les conditions décrites.
• Co-gardien : Le texte mentionne un cas de pluralité possible de gardiens, avec une répartition liée à la structure et au comportement.
• Ordre supérieur : Le transfert de maîtrise vers un autre acteur est présenté comme pouvant dépendre du cadre dans lequel le robot agit.

📝 Points essentiels

• Dans le cas pratique, le robot annule la mission lorsque le risque dépasse 50% et rentre, le risque étant fixé à 60%.
• Le texte rattache la responsabilité à la faute liée au comportement ou à la défaillance de sécurité, en discutant négligence/imprudence et la conception du robot.
• Le propriétaire est présenté comme gardien par présomption, mais la garde peut être transférée selon le cadre et les directives qui guident l’action du robot.
• La théorie de 1940 distingue : si le dommage naît de la structure, le responsable est le gardien de la structure, et s’il naît du comportement, c’est le gardien du comportement.

💡 Astuce mémo

Structure vs comportement = deux gardiens possibles, une seule source de responsabilité.

📖 9. Produits défectueux et indemnisation

🔑 Notions clés & Définitions

• Produit mis sur le marché : Un produit doit avoir été mis sur le marché pour que le régime présenté de produit défectueux soit envisagé.
• Défaut de sécurité : Un défaut de sécurité correspond à un niveau de sécurité inférieur à celui qui est légitimement attendu.
• Sécurité non assurée : Le régime vise une absence de sécurité satisfaisante par rapport aux standards attendus.
• Loi Badinter (analogie) : Le texte emploie une analogie avec la loi Badinter pour décrire une logique d’assurance et d’indemnisation.

📝 Points essentiels

• Le régime de produit défectueux suppose un produit mis sur le marché et un défaut de sécurité qui ne répond pas au standard légitimement attendu.
• Une logique d’indemnisation inspirée par l’assurance obligatoire et la mutualisation du risque est décrite via l’analogie à la loi Badinter.

💡 Astuce mémo

Défectueux = mis sur le marché + sécurité insuffisante vs attente légitime.

📖 10. Transhumanisme et augmentation humaine

🔑 Notions clés & Définitions

• Transhumanisme : Le transhumanisme est un courant visant la convergence entre l’homme et la machine grâce à des moyens techniques.
• Bodyhacking : Le bodyhacking désigne des interventions techniques sur le corps, comme l’implantation de dispositifs, citées dans le texte.
• Augmentation : L’augmentation correspond à l’idée d’accroître des capacités humaines au-delà d’une simple compensation du handicap.
• Prothèse bionique : La prothèse bionique est un exemple d’augmentation présentée comme permettant des capacités supérieures au bras humain.

📝 Points essentiels

• Le transhumanisme vise à développer des moyens techniques capables, à terme, de rendre la pensée transférable vers un ordinateur.
• Le texte oppose des courants : des libertaires prônent l’absence de limites tandis que des technoprogressistes privilégient un développement raisonné sur une temporalité longue.
• Le texte cite des exemples d’acteurs : Google et Elon Musk avec une puce implantable, dans la logique du bodyhacking.
• La question juridique soulevée concerne la nature de la personne augmentée et le risque de chosification si l’autonomie devient trop forte.

💡 Astuce mémo

Transhumain = homme + machine ; question juridique = personne ou chose quand l’autonomie augmente.

📅 Repères chronologiques

📊 Tableaux de synthèse

Déclaration avant RGPD vs conformité après RGPD

Sources d’interprétation de la donnée de santé

⚠️ Pièges & confusions fréquents

1. Confondre la donnée seule avec le traitement : le régime porte sur les opérations réalisées et non sur le seul contenu informatif.
2. Croire que la CNIL remplace entièrement la responsabilité du responsable de traitement : le texte insiste sur la mise en conformité par le responsable puis le contrôle CNIL.
3. Mélanger OPT-OUT et OPT-IN : avec le RGPD, le texte décrit un oui actif pour la newsletter, avec une exception liée à la relation commerciale.
4. Traiter toute donnée de santé comme n’importe quelle donnée : le texte rattache spécifiquement la donnée de santé au régime de l’article 9.
5. Oublier que les exceptions existent au principe d’interdiction des données de santé : le texte cite plusieurs cas sans consentement.
6. Se tromper sur la garde en responsabilité robotique : le texte demande de distinguer dommages venant de la structure vs du comportement.
7. S’imaginer que les produits défectueux se définissent uniquement par un défaut technique : le texte insiste sur l’attente légitime de sécurité.

✅ Checklist Examen

1. Définir ce qu’est une donnée à caractère personnel et ce qui caractérise un traitement.
2. Expliquer pourquoi un listing de patients est qualifié de traitement de données personnelles.
3. Identifier le rôle du responsable de traitement et la logique de responsabilité décrite.
4. Décrire le champ d’application du RGPD (responsable, exception activité juridictionnelle, ciblage de ressortissants UE).
5. Expliquer l’inversion du schéma RGPD par rapport à la déclaration CNIL et le rôle de contrôle/sanction.
6. Citer le DPD/DPO et dire dans quels cas l’organisation est présentée comme soumise à l’obligation.
7. Décrire ce que doit contenir le registre des traitements (données, parties prenantes, but, destinataires, durée, sécurisation).
8. Donner la logique du consentement OPT-IN pour la newsletter et l’exception liée à une relation commerciale.
9. Lister au moins trois droits des personnes parmi ceux cités (accès, opposition, rectification, oubli, portabilité).
10. Décrire la gradation des sanctions et les montants maximaux indiqués.
11. Rattacher la donnée de santé à l’état physique ou mental révélé, passé présent ou futur, et lier ce régime à l’article 9.
12. Lister plusieurs exceptions permettant des traitements de données de santé sans consentement (exemples cités dans le texte).
13. Expliquer les obligations renforcées mentionnées pour les données de santé (secret médical, hébergement, cryptage, interdiction de cession/exploitation commerciale).
14. Sur la robotique médicale, relier autonomie décisionnelle et questions de responsabilité, puis citer l’approche doctrinale et l’exemple da Vinci.