En personoplysninger eller DCP (almindeligvis "personoplysninger") svarer i fransk ret til de oplysninger om en identificeret fysisk person eller kan identificeres direkte eller indirekte, ved henvisning til et identifikationsnummer eller et eller flere elementer der er specifikke for det. Data er beskyttet af forskellige juridiske instrumenter såsom databeskyttelsesloven, filer og frihedsrettigheder fra 1978 og den generelle forordning om databeskyttelse eller RGPD (ophævelse af direktiv 95/46 / EF ) i Fællesskabet og konvention nr . 108 om beskyttelse af personoplysninger af Europarådet . Ligesom den franske CNIL har mange lande nu myndigheder, der er ansvarlige for beskyttelsen af personoplysninger , som ofte er uafhængige administrative myndigheder (eller deres ækvivalenter), der er ansvarlige for at håndhæve lovgivningen om beskyttelse af personoplysninger.
I Frankrig siger loven, at "alle har ret til at beslutte og kontrollere de anvendelser, der foretages af de personoplysninger, der vedrører ham".
Den europæiske GDPR-regulering er blevet tilpasset til national lov ved lov af 20. juni 2018 om beskyttelse af personoplysninger. Derudover giver denne lov CNIL yderligere missioner og en øget magt til kontrol og sanktion i spørgsmål om databeskyttelse.
De definitioner, der er vedtaget i de forskellige tekster, som databeskyttelsesloven er baseret på, adskiller sig ikke fundamentalt, men tilbyder et variabelt detaljeringsniveau.
EU-lovgivningI artikel 4 i den generelle databeskyttelsesforordning defineres personoplysninger som “enhver information vedrørende en identificeret eller identificerbar fysisk person […]; betragtes som en "identificerbar fysisk person", en fysisk person, der kan identificeres direkte eller indirekte, især ved henvisning til en identifikator, såsom et navn, et identifikationsnummer, placeringsdata, en online-identifikator eller til en eller mere specifikke elementer, der er specifikke for dets fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sociale identitet ”. Denne definition er lidt mere detaljeret end den, der fremgår af artikel 2 i direktiv 95/46 / EF , hvori det specificeres, at personen blev identificerbar "især ved henvisning til et identifikationsnummer eller til et eller flere specifikke, specifikke elementer. Til deres fysiske , fysiologisk, psykologisk, økonomisk, kulturel eller social identitet ”.
Fransk retI henhold til artikel 2 i lov om databeskyttelse , personoplysninger består af "alle oplysninger om en identificeret fysisk person, eller som kan identificeres direkte eller indirekte, ved henvisning til et identifikationsnummer eller et eller flere elementer, der er specifikke for det ”. Den tilføjer, at "for at afgøre, om en person kan identificeres, er det nødvendigt at overveje alle midlerne med henblik på at muliggøre hans identifikation, som er tilgængelige, eller som den dataansvarlige eller enhver anden person kan have adgang til". Under gennemførelsen gentog den franske lovgiver ikke nøjagtigt betingelserne i 1995-direktivet, der tilføjer i betragtning 26, at "for at afgøre, om en person kan identificeres, er det nødvendigt at overveje alle de midler, der sandsynligvis vil blive implementeret med rimelighed, enten af den registeransvarlige eller af en anden person til at identificere den nævnte person ”.
Den oprindelige databehandlingslov og frihedsrettigheder fra 6. januar 1978 henviste snarere til "nominativ information", dem, der gav "en definition af den interesserede parts profil eller personlighed" (artikel 2) og "som tillader i enhver form overhovedet , direkte eller ej, identifikationen af de fysiske personer, som de finder anvendelse på ”(artikel 4).
Lovgivning uden for samfundetEuroparådets konvention 108 definerer personoplysninger i sin artikel 2 som "enhver information vedrørende en identificeret eller identificerbar fysisk person".
Begrebet personoplysninger er bredt defineret og anvendes bredt af nationale domstole og myndigheder.
Eksempler på personoplysningerPersonoplysninger er enhver information, der vedrører en identificeret fysisk person, eller som kan identificeres direkte eller indirekte ved hjælp af en eller flere identifikatorer. Disse identifikatorer kan være direkte nominativ information såsom navn, fornavn, fotografi af ansigtet, men også indirekte nominativ, såsom fødselsdato og fødested, hjemadresse, e-mail-adresse, pseudonym, et referencenummer, en pseudo-anonymiseringskode eller telefonnummeret, som kan linkes til personen ved krydstjekoplysninger. En IP-adresse betragtes også som personlige data, uanset om de er faste eller dynamiske, fordi de kan bruges uden at kende individets rigtige navn til at spore deres adfærd på Internettet, oprette detaljerede "profiler" og dermed sende personlige annoncer baseret på deres browservaner og købshistorik.
Disse data kan være objektive, såsom blodtype, socialsikring eller bankkortnummer eller subjektivt, såsom meninger eller vurderinger (for eksempel i "notesblokke" i kundestyringssoftware ) på de involverede personer, som ikke skal endda være sandt.
Data behøver ikke at være struktureret eller endda indeholdt i en database for at være personlige. De behøver ikke nødvendigvis at kunne udnyttes af den, der har dem i sin besiddelse.
Ligeledes er formatet irrelevant: det kan være billeder (fotografier, maleri, tegninger), videoer (CCTV-optagelser), lyde (stemmeprøver), en del af kroppen (fingeraftryk, retinal eller venøs).
På den anden side kan personoplysninger kun vedrøre en fysisk person, oplysninger om juridiske personer, der ikke falder inden for rammerne af reglerne om personoplysninger. Dog indeholder filer såsom handels- og virksomhedsregister en hel del personoplysninger, herunder oplysninger om ledere, på dette punkt skal det blandt andet bemærkes, at reglerne om personoplysninger skal betragtes sammen med andre regler, der kan begrænse visse rettigheder såsom retten til at slette eller få adgang til personlige data.
Eksempel på data om passagernavnsregistrering (PNR)PNR- oplysninger ( Passenger Name Record ) er personoplysninger, der vedrører alle detaljer om en rejse for passagerer, der rejser sammen. Den CNIL , og dets europæiske modstykke i G29 , mener, at udvekslingen af disse data mellem stater samt den brug, der er lavet af det rejser en række problemer med hensyn respekt for privatlivet , især med USA som loven beskytter disse data mindre godt end EU-lovgivningen . I sin udtalelse om rammeafgørelsen fra Det Europæiske Råd i november 2007, som indeholdt mange bestemmelser i aftalen mellem EU og De Forenede Stater fra juli 2007 om udveksling af PNR-oplysninger, erklærede G29: ”Et regime, som europæisk PNR ikke kan føre til generel overvågning af alle passagerer ” . I april 2012 godkendte Europa-Parlamentet de amerikanske myndigheders opbevaring af information om europæiske flypassagerer. I april 2016 vedtog Europa-Parlamentet EU-direktivet om registrering af passagernavne.
Eksempel på medicinske dataDe medicinske data, især når de er registreret, betragtes som " følsomme data " af RGPD og databeskyttelsesloven . De kan kun indsamles i visse tilfælde, reguleret ved lov, for eksempel til den computeriserede medicinske fil for en indlagt patient. I Babusiaux- rapporten fra 2003 blev det anbefalet at sende dem til CPAM (primære sygesikringskasser), gensidige samfund og forsikringsselskaber efter anonymisering. Et lille mindretal af lægerne gjorde oprør mod computeriseringen af lægejournaler, da Carte Vitale blev indført og hævdede behovet for at beskytte medicinsk fortrolighed . "Loven vedrørende sundhedsforsikring" (13. august 2004) indeholder bestemmelser om oprettelse af et sundhedsdatainstitut (IDS, gruppe af offentlige interesser , operationelt i 2007 ), og derefter også underlagt loven fra 2011 om forenkling og forbedring af lovens kvalitet. ); den samler staten, de nationale sundhedsforsikringskasser , den nationale union af supplerende sundhedsforsikringsorganisationer og den nationale union for sundhedsprofessionelle og skal sikre sammenhæng og kvalitet i de informationssystemer, der anvendes til styring af sygdomsrisici det "stiller til rådighed for sine medlemmer, den høje myndighed for sundhed , regionale fagforeninger for sundhedsprofessionelle og visse organer, der er udpeget ved dekret i statsrådet , med henblik på sygdomsrisikostyring eller af sundhedsmæssige hensyn offentligheden , data fra informationssystemerne i dets medlemmer under betingelser, der garanterer anonymitet, der er fastsat ved dekret fra statsrådet, taget efter høring af den nationale kommission for informatik og friheder ” og offentliggør en årlig rapport. aktivitet, der først blev sendt til parlamentet.
Eksempel på AIDSI Frankrig i slutningen af 1990'erne foreslog ministeren for sundhed, Bernard Kouchner , at AIDS skulle optages på listen over obligatoriske infektionssygdomme , hvilket indebærer obligatorisk, men anonymiseret erklæring om seropositive mennesker . Denne tilgang understøttes af foreninger, der kæmper mod aids , så længe dataene var anonymiserede.
Jean-Baptiste Brunet, direktør for det europæiske AIDS-overvågningscenter , støtter også denne idé, i modsætning til det nationale AIDS-råd, der understreger "risikoen for krænkelse af individuelle friheder " såvel som den lavere effektivitet af "obligatoriske foranstaltninger, som ikke er direkte i patienternes interesse "" forpligtelsen ville indebære en automatisk anordning, et illusorisk system med sanktioner i tilfælde af manglende overholdelse af reglerne eller endda en lovændring af folkesundhedskodeksen ".
I maj 1999 indførte et dekret den obligatoriske erklæring om AIDS i henhold til 1998-loven om sundhedsovervågning . Endnu et dekret fra6. maj 1999, bekymrede foreningerne, der kæmper mod AIDS i sommeren 1999, fordi de muligvis medtager personoplysninger i den automatiserede behandling implementeret af Institut for Folkesundhedsovervågning med risiko for diskrimination . Ministeren meddeler derefter, at dette dekret vil blive ændret, og CNIL udsætter i september 2009 implementeringen af automatiseret behandling af sundhedsovervågningsinstituttet.
Eksempel på biometriske dataBiometri “henviser til en identifikationsteknologi, der består i at omdanne en morfologisk eller adfærdsmæssig karakteristik til et digitalt fingeraftryk. Dens mål er at attestere en persons unikke egenskaber ved at måle en uforanderlig og uhåndterbar del af hans krop ”. De settlement 2016/679 definerer som "personoplysninger som følge af specifikke tekniske behandling i forbindelse med fysiske, fysiologiske eller adfærdsmæssige en person, som tillader eller bekræfte sin entydig identifikation, såsom ansigts billeder eller fingeraftryksoplysninger”(artikel 4 (14)) .
For at kunne bruges skal de pågældende egenskaber opfylde visse kumulative krav: de skal være unikke, universelle, permanente og målbare. Karakteristika for kroppen, der sandsynligvis vil blive brugt af en biometrisk identifikations- eller godkendelsesanordning, er især fingeraftrykket , omridset af hånden, analysen af nethinden , iris, det venøse fingernetværk., Fra hånden. eller ansigt, ansigtsgeometri, ned til DNA . Alle biometriske data, der ekstraheres fra disse egenskaber under tilmelding, er personlige data.
Biometriske data er underlagt en specifik ordning i henhold til fransk lov, siden lov nr . 2004-801 af 6. august 2004, som fremgår af artikel 25 i databeskyttelsesloven, som gør deres behandling forudgående godkendelse af CNIL. Den generelle forordning om beskyttelse af personoplysninger betegner dem som "særlige kategorier af personoplysninger" (artikel 9, stk. 1), hvis behandling i princippet er forbudt.
Personoplysninger omtales undertiden forkert som "følsomme data" i modsætning til ikke-identificerende data, hvilket fører til forveksling med "særlige kategorier af personoplysninger", der almindeligvis kaldes "følsomme data". Det er derfor personoplysninger ", der direkte eller indirekte afslører race eller etnisk oprindelse, politiske, filosofiske eller religiøse meninger eller fagforeningsmedlemskab hos personer, eller som vedrører sundhed eller seksuelt liv." (Artikel 8 i den ændrede Lov om databeskyttelse). Forordningen tilføjer "genetiske data" og "biometriske data med det formål at identificere en fysisk person entydigt" (artikel 9).
En anden misvisende betegnelse er “private data”, især fordi personoplysninger meget vel kan offentliggøres uden at miste den beskyttelse, der er garanteret ved lov. Når det er sagt, er det nødvendigt at tydeligt adskille (hvilket ikke er så klart i angelsaksiske lande, hvor der er en lignende brug af beskyttelse af personlige oplysninger og privatliv) beskyttelsen af personlige data og respekt for privatlivets fred, fordi sidstnævnte er et bredere koncept, men alligevel relaterede. Faktisk kan indsamling, brug og behandling af personoplysninger alvorligt påvirke en persons omdømme, image, følelsesmæssige og sociale personlige liv eller psykologi.
På den anden side er det forkortede navn "personlige data" i almindelig brug og almindeligt accepteret.
Privatliv, offentlige dataVores samfund er vidne til, med Internettet og sociale medier, en udvidelse af vores syn på privatlivets fred. Vi deler en masse information og data hver dag, undertiden bevidst på vores Facebook-, Instagram- eller Twitter-profiler, nogle gange ufrivilligt af vores spor efterladt af accept af cookies fra bestemte sider. Ved at offentliggøre og dele oplysninger om vores digitale profiler accepterer vi at dele medlemskabet af disse data med vores netværk først (venner, tilhængere osv.), Derefter med platformen og med alle personer, der har adgang til disse profiler. Disse oplysninger, selv delt med hele verden, forbliver personlige data. Disse nye former for strategisk videregivelse af personlige oplysninger med henblik på online kapitalstyring er på ingen måde et afkald på privatlivets fred ; vores behov for at beskytte vores privatliv eksisterer stadig. Der er flere motiver for selvoplysning på sociale medier. Afhængigt af det observerede sociale netværk vises der flere måder at administrere din sociale kapital på. Alle tillader en justering af online præsentationen af brugeren, nogle tillader pooling af udvalgte detaljer i forskellige mere eller mindre intime områder. Ifølge sociologen Antonio Casilli, på sociale medier, betegner begrebet social kapital "erhvervelse, via relationer medieret af IKT, af materiale, information eller følelsesmæssige ressourcer". Denne videregivelse og forvaltning af social kapital er underlagt omkostninger, såsom tab af privatlivets fred ; At gøre dig selv kendt betyder især at ofre en del af dit privatliv for at tiltrække forbindelser. Stadig ifølge Antonio Casilli, “ingen af de delte data er private eller offentlige, det repræsenterer på en måde et signal, som brugerne sender til deres miljø (her medlemmerne af deres personlige online-netværk) for at modtage et back ( feedback ) af nævnte miljø. " Den privatliv derefter baseret på søgen efter en aftale mellem flere parter; skuespillerne er klar til at konfrontere deres interesser og give og tage med hensyn til at afsløre potentielt intim information. Fortrolighed, intimitet og privatliv afhænger ikke udelukkende af egenskaber, der er specifikke for den enkelte, men bliver sammenhængende og derfor genstand for kollektiv høring.
Data, der har været genstand for en anonymiseringsproces , betragtes ikke som personlige data. I henhold til betragtning 26 i den generelle databeskyttelsesforordning er 'der ikke behov for at anvende databeskyttelsesprincipper på anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret fysisk person eller identificerbar, eller personlige oplysninger, der er gjort anonyme på en sådan måde, at dataene emnet er ikke eller ikke længere identificerbart. Denne forordning finder derfor ikke anvendelse på behandling af sådanne anonyme oplysninger, herunder til statistiske formål eller forskningsformål ”.
Der skal dog sondres mellem "virkelig anonymiserede" data og "pseudo-anonymiserede" data (ved hjælp af en "fortrolig" referencekode), som ofte bruges inden for områder som medicinsk forskning. "Pseudo-anonymiserede (eller kodede) data forbliver personoplysninger og falder derfor inden for anvendelsesområdet for persondataforskrifterne.
På den anden side forbliver indsamlingen af personoplysninger, selvom disse straks anonymiseres, en databehandling underlagt databeskyttelsesprincipperne.
Effektiviteten af anonymiseringsteknikker stilles dog spørgsmålstegn ved nogle forskere. Anonyme medicinske data (hospitalbesøg, medicinske konsultationer) for ansatte i staten Massachusetts blev "genidentificeret" ved at krydse dem med valglisterne i samme by. Guvernøren af staten selv kunne være re-identificeret, med kun seks personer, der deler den samme fødselsdato, hvoraf tre var mænd, og af disse, kun én delte den samme postnummer, ud af i alt 54.000 indbyggere. Og syv postnumre. Effektiviteten af anonymisering afhænger også af informationens granularitet, for på små prøver eller i tilfælde af meget fin granularitet op til et par individer bliver anonymisering ikke-eksisterende.
For nylig viste en undersøgelse foretaget af MIT- forskere , at fire geolokaliserede punkter var tilstrækkelige til at identificere 95% af individerne i en telefondatabase på 1,5 millioner mennesker.
Personoplysninger, gennem den potentielle økonomiske værdi, der er resultatet af deres anvendelse, er en del af et virksomheds immaterielle aktiv og er kernen i, hvad nogle har kaldt, også på det institutionelle niveau, "l 'dataøkonomi". Flere forretningsmodeller er baseret på brugen af personlige data, herunder dem, der består i at levere gratis tjenester i bytte for data leveret af deres brugere, som hovedsagelig bruges til markedsføringstilpasning og adfærdsmålretning .
Nylige skandaler (dvs. Facebook-Cambridge Analytica ) har også vist brugen af personoplysninger til politiske formål for direkte eller indirekte at påvirke vælgernes politiske valg ved større valg.
Derudover kan personoplysninger, der produceres af samfund eller administrationer, som tidligere er underlagt en anonymiseringsproces, formidles med henblik på generel interesse inden for rammerne af åbne datapolitikker .
Da personoplysninger især giver oplysninger om de berørte personers identitet, adfærd, vaner eller præferencer, kommer deres anvendelse i konflikt med retten til respekt for privatliv og familieliv , beskyttet af den europæiske konvention. Beskyttelse af menneskerettigheder og grundlæggende friheder (artikel 8, stk. 1), det europæiske charter om grundlæggende rettigheder (artikel 7) og den civile lovgivning (artikel 9).
I nogle tilfælde giver udøvelsen af de rettigheder, der tilbydes personer, der er berørt af databeskyttelsesloven, konflikter med andre grundlæggende friheder, såsom ytringsfriheden eller retten til information, især når implementeringen af retten til at blive glemt .
Google-sagHvis lækage af personlige data undertiden er resultatet af hacking fra eksterne enheder, sker det også, at disse er frivillige fra deres indehavers side med risiko for at straffe brugerne. I august 2014 blev en Gmail-e-mail-bruger rapporteret til de lokale myndigheder af Google efter at have sendt et børnepornografibillede som en vedhæftet fil til e-mail. Dog siger Google det klart i sine brugsbetingelser: "Vores automatiserede systemer analyserer dit indhold (inklusive e-mails) for at tilbyde dig [...] Denne analyse finder sted under afsendelse, modtagelse og lagring af indhold".
Hvis ingen kan bestride fordelene ved denne handling, fremhæver denne nyhed den massive kontrol med udvekslinger foretaget af Google. Denne metode er også i modstrid med artikel 29 i CNIL, der bestemmer, at: "Adgang til personoplysninger af sikkerhedshensyn er ikke acceptabelt i et demokratisk samfund, da det er massivt og uden betingelse. De kompetente nationale myndigheders opbevaring, adgang og brug af data bør begrænses til, hvad der er strengt nødvendigt og forholdsmæssigt i et demokratisk samfund. De skal være underlagt betydelige og effektive garantier ”.
Den første lov om automatisk behandling af personlige oplysninger blev vedtaget af Landtag i Hesse i 1970. Den første nationale lov til beskyttelse af personoplysninger var den svenske Datalagen af 11. maj 1973.
I artikel 1 i databeskyttelsesloven hedder det, at "alle har ret til at beslutte og kontrollere anvendelsen af personlige data vedrørende ham". De forskellige eksisterende retlige instrumenter på dette område opstiller et sæt principper, som den person, der er ansvarlig for behandling af personoplysninger, skal respektere for at beskytte den registreredes grundlæggende rettigheder, der har rettigheder, der gør det muligt for ham at bevare kontrollen over sine personoplysninger. .
Fransk positiv lov om beskyttelse af personoplysninger består af den ændrede databeskyttelseslov , der sikrer gennemførelsen af direktiv 95/46 / EF . Den 25. maj 2018 trådte den generelle databeskyttelsesforordning i kraft i hele Den Europæiske Union, da det er en standard for direkte anvendelse, som ikke behøver at blive gennemført. Når det er sagt, blev der fremlagt et lovforslag for Ministerrådet den 13. december 2017 for at tilpasse databeskyttelsesloven til bestemmelserne i denne forordning, især med hensyn til de nationale valg, der er tilladt i de mange åbningsklausuler, der er til stede. fællesskabstekst (minimumsalder for samtykke til behandling, ordning for følsomme data osv.).
Sammenfattende kræver persondatabeskyttelsesloven, at den dataansvarlige overholder følgende principper:
Registrerede har ret til information, til berigtigelse eller endda sletning af data (undertiden benævnt "ret til at blive glemt" eller "til ophævelse af listen"), til at modsætte sig eller begrænse behandling og med forordningen retten til kræve dataportabilitet (dette kaldes " retten til bærbarhed ").
SchweiziskDen føderale lov om databeskyttelse af 19. juni 1992 (som den stod den 1. januar 2011) etablerede meget streng privatlivsbeskyttelse ved at forbyde stort set al databehandling, der ikke udtrykkeligt er godkendt af den registrerede. Især er det ordineret, at:
Derudover kan enhver person skriftligt anmode om et selskab (administrerer en fil) om berigtigelse eller sletning af data om ham. Virksomheden skal svare inden for tredive dage.
Hele systemet er underlagt en føderal databeskyttelses- og gennemsigtighedsofficer .
KinaSiden 2012 og en "beslutning" fra ANP's stående udvalg, der opfordrer til at styrke beskyttelsen af data fra Internettet og foreslår en første definition af "personoplysninger", har bestemmelser vedrørende beskyttelse af sidstnævnte infunderet mange tekster, især sektorbestemt indtil 2017 og vedtagelsen af loven om cybersikkerhed (CSL, 2017), en slags rammelov siden suppleret med en lang række tekster. Blandt disse fonde: (1) en standard (Personal Information Security Specification eller "PISS") teoretisk frivillig, men stort set obligatorisk i praksis, og som specificerer de foranstaltninger, der skal træffes med hensyn til indsamling, opbevaring, brug, deling, overførsel og offentliggørelse af personoplysninger (maj 2018) (2) et udkast til ny forordning om grænseoverskridende overførsel af personoplysninger (juni 2019).
Alt dette juridiske og regulerende system er stort set inspireret af GDPR. Selv om GDPR ofte er både mere omfattende og præcis, og at den går ud fra et andet udgangspunkt (beskyttelse af individuelle rettigheder, mens CSL insisterer på at beskytte den nationale sikkerhed), er de to regimer enige om mange punkter, herunder følgende: ( 1) behovet for at indhente brugerens samtykke inden indsamlingen af deres data (kinesisk lov om cybersikkerhed kræver endda "eksplicit" samtykke); (2) visse principper såsom minimering af de indsamlede oplysninger i forhold til det ønskede mål minimering af opbevaringstid osv. ; (3) brugernes ret til at få adgang til data og til at anmode om rettelse eller sletning af dem (4) begrænsning af deling af data til tredjeparter (PISS godkender kun dette, hvis det er nødvendigt, forudsat at modtageren er i stand til at sikre dets sikkerhed); (5) vedtagelse af en kontraktlig tilgang til tværnationale overførsler af personoplysninger.
Bemærkelsesværdige forskelle forbliver dog. I nogle tilfælde viser kinesisk lov at være mere restriktiv end GDPR. Således: (1) loven om cybersikkerhed indeholder sanktioner på op til ti gange det overskud, der er opnået ved grænseoverskridende overførsler, er underlagt strengere kontrol i Kina: brugeren skal have været informeret og har givet samtykke til enhver output af følsomme data skal en risikovurderingsrapport være indsendt og godkendt af myndighederne osv. ; (2) med hensyn til sikring af personoplysninger er det kinesiske korpus meget mere receptpligtigt med hensyn til de midler, der skal implementeres; årlig revision og uddannelse, etablering af beredskabsplaner, oprettelse af en fuldtids stilling som "datasikkerhedsofficer" i organisationer, der opfylder bestemte kriterier, anmeldelse af ethvert sikkerhedsbrud til myndighederne osv. Imidlertid anerkendes "retten til at blive glemt" ikke som sådan i Kina, og sletning af data efter anmodning fra brugerne er underlagt flere betingelser (fravær af samtykke, ulovlig indsamling eller brug osv.) Som vedtaget. I " PISS ”standard. Derudover er der ingen specifik myndighed, der er ansvarlig for beskyttelsen af personoplysninger, selvom netoperatører og tjenesteudbydere er forpligtet til at dele de indsamlede data med deres tilsynsmyndigheder og offentlige sikkerhedsorganer.
I mangel af en effektiv kanal, der giver borgerne mulighed for at hævde deres rettigheder, er gennemførelsen af denne lovgivning hovedsageligt på regeringens initiativ og forbliver meget ufuldkommen. En første "kampagne" målrettet mod de kinesiske digitale giganter: Alibaba, Tencent, Sina, Baidu osv., Inspiceret igen. I 2018 var fokus på kriminel og ondsindet adfærd (tyveri, salg af personoplysninger) under ledelse af ministeriet for offentlig sikkerhed. Derefter i 2019 på de mest populære mobiltelefonapplikationer for at vurdere, om de indsamlede data ulovligt eller i store mængder. Der er planlagt økonomiske og strafferetlige sanktioner, men oftest beordres virksomheder til at gennemføre korrigerende foranstaltninger, og i nogle tilfælde tages ansøgninger offline. Implementeringen forbliver stort set lodret på de offentlige myndigheders initiativ. Denne kampagnelogik resulterer automatisk i en implementering af varierende intensitet over tid afhængigt af aktører og sektorer. Loven er desuden modtagelig for at blive tilpasset forholdene og statens overordnede interesser. For eksempel: For at bekæmpe COVID-19-epidemien generaliserede den kinesiske regering i februar 2020 brugen af løsninger til sporing af potentielt berørte personer udviklet af Tencent og Alibaba. Ifølge New York Times delte Alibabas app automatisk data med politiet uden at underrette brugerne.
Amerikas Forenede StaterDisse data kan sælges, hvis den registrerede ikke udtrykkeligt udtrykker sin uenighed. Dette er for eksempel tilfældet med data om lønningssoftware.
Den Nationale Kommission for Informatik og Friheder er den uafhængige administrative myndighed, der er ansvarlig for anvendelsen af loven om informationsteknologi og friheder og respekt for enkeltpersoners rettigheder. For at gøre dette understøtter den dataansvarlige, informerer registrerede om deres rettigheder, modtager og undersøger klager, der kan føre til sanktioner.
Den digitale integritet er et nyt juridisk koncept, der sigter mod at opnå en bedre databeskyttelse ved at garantere retten til informativ selvbestemmelse. Introduceret inden for grundlæggende rettigheder foreslås retten til digital integritet som en begrundelse for alle digitale rettigheder, herunder databeskyttelsesret.
Indsamlingsmetoder er blevet særligt diversificeret med digitale teknologier. Disse metoder kan variere fra at indsamle information via en formular, der frivilligt udfyldes af enkeltpersoner, til registrering af spor (browservaner, geografisk placering af forbindelsesadressen, konsulterede websteder, relationer etableret med enkeltpersoner eller netværk osv.).
Udnyttelsesformerne kan udføres af enkeltpersoner selv ved at søge efter information ved hjælp af en søgemaskine eller på sociale sociale netværk eller af organisationer: målrettet markedsføring, listeoplysninger af staten, massiv afsendelse af uopfordrede kommercielle e-mails ( spam ) osv. . Forretningsmodellen for de største aktører på Internettet ( Google , Amazon ) og sociale netværk ( Facebook , Twitter ) er stort set baseret på brugen af brugernes personlige data.
Pierre Bellanger foreslår i 2014 oprettelsen af en ejendomsret: det af dets digitale spor på netværkene. Denne ret antager, at enhver indsamling eller behandling af data fra en europæisk borger opfylder europæisk lov, men derudover er enhver eksport af disse data uden for Unionen underlagt en afgift: "dataxe".
AFAPDP, sammenslutningen af databeskyttelsesmyndigheder, afviser oprettelsen af en sådan ejendomsret. Den 18. oktober 2018 stemmer foreningen, der mødes i forsamlingen i Paris , en beslutning, der erklærer, at "personoplysninger er konstituerende elementer i den menneskelige person, som derfor har umistelige rettigheder over dem". Denne beslutning blev foreslået af CNIL .
Deling og utæthed af personlige data er en krænkelse af datasikkerhed og privatlivets fred, hvilket kan have alvorlige konsekvenser for de berørte personer. Disse er dog hyppige:
Elise Lucet i dokumentaren, Kontantundersøgelse : "Vores personlige data er guld værd" i Frankrig 2 i maj 2021 understreger manglerne i beskyttelsen af personoplysninger i Frankrig.
Generel
Tekniske aspekter
Juridiske aspekter
Anmeldelser