Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 32
Sécurité du traitement

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 32 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 32 keyboard_arrow_up

(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en oeuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en oeuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.

Afficher les considérants de la Directive 95/46 liés à l'article 32 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 32 keyboard_arrow_up

Considérant 25 : « (25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances »

Considérant 37 : « (37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d'expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d'expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales; qu'il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, les mesures relatives au transfert des données vers des pays tiers ainsi que les compétences des autorités de contrôle, sans qu'il y ait lieu toutefois de prévoir des dérogations aux mesures visant à garantir la sécurité du traitement; qu'il conviendrait également de conférer au moins à l'autorité de contrôle compétente en la matière certaines compétences a posteriori, consistant par exemple à publier périodiquement un rapport ou à saisir les autorités judiciaires;

Considérant 46 : « (46) considérant que la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l'état de l'art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

France

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l’application et la fixation des amendes
administratives - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - wp250rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Retour au sommaire

France

La CNIL

Recommandation relative aux mots de passe (19 janvier 2017)

Lien

Guide: La sécurité des données personnelles (2018)

La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (article 34 de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32). Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en oeuvre. Pour vous aider dans votre mise en conformité, ce guide rappelle ces précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Lien

Recommandation relative à la journalisation (14 octobre 2021)

1. La présente délibération constitue une recommandation relative aux modalités de conservation et d’usage des données de journalisation. Elle vise à faciliter la mise en conformité des différents responsables de traitement, et tient compte d’échanges avec des parties prenantes et du résultat de la consultation organisée sur ce sujet. Cette recommandation, et notamment les exemples qui y sont proposés, n’est ni prescriptive ni exhaustive et a pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité.

2. Les dispositifs de journalisation sont définis comme des dispositifs qui permettent d’assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d’information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ces dispositifs peuvent être adossés soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits « applicatifs »), soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits « périmétriques »). La présente recommandation est applicable aux dispositifs de journalisation liés à l’application sur laquelle repose le traitement et non à la journalisation périmétrique, qui répond à une logique différente.

3. Cette recommandation a pour champ d'application la mise en œuvre de dispositifs de journalisation. L’analyse et les recommandations contenues dans le présent document s’appliquent de la même manière à un organisme public ou privé, et ne s’appliquent pas aux traitements dont la finalité principale serait la journalisation ellemême.

4. La mise en place d’un dispositif de journalisation participe au respect de l’obligation de sécurisation de tout traitement de données à caractère personnel, en application des articles 5 et 32 du RGPD, ainsi que des articles 99 et 101 de la loi « informatique et libertés » pour les traitements soumis à la directive « Police-Justice » et, pour les traitements soumis à la seule loi « informatique et libertés », de l’article 121 de cette loi. Ces dispositifs peuvent, dans certains cas, poursuivre d’autres finalités (voir cidessous, section « Autres cas »). Ils peuvent notamment permettre de documenter les transmissions de données à des « destinataires », afin de satisfaire à l’obligation pour le responsable de traitement d’être en capacité de fournir aux personnes concernées une information sur les « destinataires ou catégories de destinataires auxquels les données le concernant ont été communiquées » et sur les informations qui leur ont été communiquées (voir notamment l’article 15 du RGPD et la décision de la Cour de justice de l’Union européenne (CJUE), 7 mai 2009, Rijkeboer, C-553/07, Rec.). La durée de conservation des journaux doit alors tenir compte de cette finalité spécifique, dans le respect de la jurisprudence de la CJUE. La Commission souligne que cette obligation du responsable de traitement peut également être satisfaite par d’autres moyens que les dispositifs de journalisation.

5. A cet égard, il est nécessaire de trouver un équilibre entre la sécurité apportée par la journalisation, la surveillance que ce type de système peut créer pour les utilisateurs habilités et l’émergence de risques particuliers liés à une conservation trop longue. Dans la majorité des cas, les données journalisées contiennent des données relatives aux personnes concernées par le traitement principal. En conséquence, l’enregistrement de ces données de journalisation ne modifie pas la sensibilité de ces traitements, mais peut offrir des garanties importantes pour la sécurité de ces données. En revanche, ces journaux contiennent également des données relatives aux utilisateurs habilités du système. Ces données peuvent révéler des informations sur ces personnes, notamment des informations relatives à leur comportement professionnel. Il convient de veiller à limiter les risques portant sur ces catégories de personnes, en proportionnant la collecte, au sein des journaux, de données à caractère personnel relatives aux utilisateurs habilités, à la sensibilité des données à caractère personnel du traitement principal et aux risques qu’un mésusage de celui-ci ferait courir aux personnes concernées. La présente délibération présente les recommandations de la Commission pour trouver cet équilibre en fonction de différents cas de figure.

Lien

Fiche pratique: les outils informatiques au travail (2018)

L’utilisation des outils informatiques s’est largement développée dans le monde du travail. Une utilisation personnelle de ces outils est tolérée si elle reste raisonnable et n’affecte pas la sécurité des réseaux ou la productivité. C’est à l’employeur de fixer les contours de cette tolérance et d’en informer ses employés.

Lien

Fiche pratique: L’accès aux locaux et le contrôle des horaires (2018)

Parce que les locaux professionnels ne sont pas ouverts à tous et que les employeurs comme les employés ont besoin de connaître les horaires effectués, les contrôles d’accès et du temps de travail existent depuis bien longtemps. Le développement des technologies facilite ces contrôles mais permet aussi de collecter bien plus d’informations sur les personnes concernées. Des limites à leur utilisation sont donc indispensables pour préserver les droits et libertés de chacun.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-340/21,  VB contre Natsionalna agentsia za prihodite (14 décembre 2023)

1)      Les articles 24 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.

2)      L’article 32 du règlement 2016/679

doit être interprété en ce sens que :

le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.

3)      Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui‑ci,

doit être interprété en ce sens que :

dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.

4)      L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union

doivent être interprétés en ce sens que :

afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

5)      L’article 82, paragraphe 3, du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

6)      L’article 82, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°118/2020 (24 septembre 2020)

1. Le règlement général sur la protection des données est directement applicable aux traitements de données à caractère personnel en droit interne. Ainsi, les obligations qu’il impose au responsable du traitement et les droits qu’il confère à la personne concernée sont directement applicables aux traitements de données à caractère personnel par les bureaux d’aide juridique.

Il s’ensuit que la disposition attaquée, qui se borne à habiliter le Roi à autoriser les bureaux d’aide juridique à procéder à un traitement de données à caractère personnel déterminé et à en organiser les modalités, ne viole pas les articles 10, 11 et 22 de la Constitution, combinés avec les articles 5, 6, 9, 10, 13 et 32 du règlement général sur la protection des données, avec les articles 7, 8 et 52 de la Charte des droits fondamentaux de l’Union européenne et avec l’article 8 de la Convention européenne des droits de l’homme.

2. Lorsque le traitement de données à caractère personnel est susceptible d’engendrer un « risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer, préalablement au traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, conformément à l’article 35 du règlement général sur la protection des données. Ensuite, en vertu de l’article 36 du même règlement, lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement.

Sans se prononcer sur la compétence de la Cour à connaître de griefs relatifs au processus ou aux modalités d’élaboration de la disposition attaquée, il y a lieu de constater que la partie requérante n’indique pas en quoi l’autorisation, donnée aux bureaux d’aide juridique, de demander des pièces justificatives à des tiers engendrerait un « risque élevé pour les droits et libertés des personnes physiques » au sens du règlement général sur la protection des données.

Arrêt rendu

C. const. Be. n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1333 (27 janvier 2021)

La Cour d'appel a annulé la décision de la DPA pour défaut de justification comme l'exige l'article 83 du RGPD et défaut de proportionnalité. La décision a été renvoyée à l'autorité qui est en outre tenue de rembourser les frais de justice de 1 400 €, la Cour ne pouvant elle-même réformer ou amender la décision.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°01-45.227 (6 avril 2004)

Il résulte de la combinaison des articles 16, 27 et 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (CNIL), 226-16 du Code pénal, L. 121-8, L. 432-2-1 et L. 122-14-3 du Code du travail, qu'à défaut de déclaration à la CNIL d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en oeuvre d'un tel traitement ne peut lui être reproché.

Est dès lors légalement justifié l'arrêt qui décide que le refus par un salarié d'utiliser à sa sortie de l'entreprise un badge géré par des moyens automatisés, et dont le traitement n'a pas été déclaré à la CNIL, ne peut justifier son licenciement, et cela nonobstant le fait qu'une disposition du règlement intérieur faisait obligation aux salariés d'utiliser le badge.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 32 du Règlement reprend en substance, en les étendant, le contenu des dispositions de la Directive relatives aux devoirs de sécurité.

L’objet principal de l’obligation reste la mise en œuvre des mesures techniques et organisationnelles appropriées par le responsable du traitement et le sous-traitant pour garantir un niveau de sécurité approprié au risque. Le risque est donc logiquement le critère principal de la mesure à prendre. Cette référence directe au risque est neuve par rapport à la Directive. Il s’agit néanmoins toujours d’une norme prévoyant un « standard » de comportement sans que l’on y trouve le contenu réel de la norme qui doit être apprécié par ses destinataires eux-mêmes. Le nouveau Règlement  tente de préciser la norme de différentes manières :

-en amont, il précise les critères généraux d’appréciation des mesures appropriées : il faudra avoir égard à l’état de l’art et aux coûts de l’implémentation des mesures de sécurité en tenant compte de la nature, la portée, le contexte et les finalités du traitement aussi bien que de la vraisemblance et de la gravité du risque d’atteinte au aux droits et libertés de la personne concernée. Cette prise en considération du risque est également éclairée par le 2e paragraphe de l’article 32 qui en précise l’origine et l’objet c’est-à-dire les risques pour le traitement des données lui-même, en particulier, la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel transmises, stockées ou faisant l'objet d'un traitement de données;.

-en aval, le Règlement -dans sa dernière version- énonce quatre catégories de mesures qui pourront être, entre autres, appropriées selon les besoins. D’abord, la pseudonymisation et le chiffrement des données à caractère personnel (a). Ensuite, la capacité d’assurer, de manière permanente, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement (b). Il vise aussi l’aptitude à restaurer la disponibilité et l’accès aux données dans un délai raisonnable en cas d’incident physique ou technique (c). Enfin, la mise en place d’un processus régulier de test et d’évaluation des mesures techniques et organisationnelles prises pour garantir la sécurité du traitement (d).

Tant le responsable du traitement que le sous-traitant sont soumis au respect de la même règle, même si dans sa relation avec le sous-traitant, le responsable est en outre soumis à certaines règles spécifiques qui ont été rassemblées à l’article 28 du Règlement.

Le Règlement, conscient de la difficulté pour les responsables de traitement et sous-traitants de se conformer à un devoir dont le contenu est forcément assez vague indique que la soumission à un code de conduite approuvé, visé à l'article 40, ou à un mécanisme de certification approuvé, visé à l'article 42, peut être utilisé comme un élément pour démontrer la conformité aux exigences du devoir de sécurité.

Rappelons que l’article 30, 4) oblige ici encore (cfr déjà l’article 29) responsables et sous-traitants à prendre les mesures pour garantir que les personnes agissant sous leur autorité et qui ont accès aux données ne traite les données que sur instruction non seulement du responsable que du sous-traitant.

La Directive

La Directive, en son article 17, imposait au responsable du traitement de prendre des mesures techniques et d’organisation appropriées en vue de protéger les données. Ces mesures devaient assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

En cas de recours à un sous-traitant, le responsable du traitement devait veiller à ce que ce dernier apporte des garanties suffisantes quant à la mise en œuvre et au respect des mesures de sécurité à effectuer.

Un contrat ou acte juridique obligatoire devait le lier au sous-traitant, celui-ci mentionnant notamment que ce dernier n’agissait que sur instruction du responsable du traitement ainsi que les mesures de sécurité qu’il devait prendre.

Belgique

Le droit belge avait implémenté cette disposition à l’article 16 de la loi du 8 décembre 1992 en précisant certaines obligations du responsable du traitement. Ainsi, devait-il faire toute diligence pour tenir les données à jour ou les corriger (art. 16, § 2, 1°), limiter l’accès aux données aux personnes agissant sous son autorité (art. 16, § 2, 2°), informer ces dernières des dispositions légales et réglementaires régissant la matière (art. 16, § 2, 3°), s’assurer de la conformité des programmes servant au traitement avec les termes de la déclaration visée à l’article 17 de la loi (art. 16, § 2, 4°).

Enfin, l’article 16, § 4 de la loi du 8 décembre 1992 rappelle que le principe de sécurité implique que le responsable et le sous-traitant prennent les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel, compte tenu de l’état de la technique et de la nature des données et des risques potentiels.

France

En droit français, l’article 34 définit de manière générale l’obligation de sécurité incombant au responsable selon laquelle il doit prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Enfin, l’article 34 autorise également le législateur à fixer, par voie de décrets, les prescriptions techniques auxquelles doivent se conformer certains traitements.

Par ailleurs, l’article 35 oblige le sous-traitant à présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34, sans que le responsable ne soit déchargé de son obligation de sécurité et de confidentialité. En d’autres termes, en cas de sous-traitance, le responsable assume l’obligation de vérifier la capacité du sous-traitant à assurer la sécurité et la confidentialité des traitements.

L’article 35 prévoit enfin la conclusion d’un contrat entre le responsable et le sous-traitant et précise les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données. Ce contrat doit en outre souligner que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Difficultés probables

Le nouveau texte ne fera pas disparaître toutes les difficultés d’appréciation du devoir de sécurité, auxquelles sont depuis des années confrontés les responsables et sous-traitants.

Le texte de l’article 32, en sa version finale tente néanmoins de donner des critères d’évaluation de la portée et de l’étendue du devoir de sécurité.

Il n’empêche que sa correcte exécution dépendra, dans la structure du responsable du traitement, de la qualité du dialogue et de la communication entre le juriste (et/ou le compliance officer et/ou le DPO) et le technicien, étant, chacun d’eux, bien incapables d’y donner seul une suite éclairée.

La substance de l’obligation est en effet technique et la règle de droit ne peut perdre sa neutralité face à un environnement technique en constante évolution. Il revient alors aux techniciens d’informer le juriste ou le décideur afin qu’il puisse opérer les choix des mesures de sécurité de la manière la plus éclairée. Mais ce dernier semble de plus en plus dépendant d’une connaissance et maîtrise qui lui échappe souvent totalement.

Le Règlement paraît d’ailleurs se rendre compte du grand dénuement des destinataires de la règle en les « invitant » à se soumettre à des codes de conduite ou processus de certification, censés quant à eux contenir des règles et mesures plus précises. Reste à voir quand ils seront disponibles et comment ils seront mis-en-œuvre notamment au niveau de l’indépendance et de la neutralité d’éventuelles autorités de certification.

Règlement
1e 2e

Art. 32

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément attestant du respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous- traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Proposition 1 close

1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

2. À la suite d'une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour  empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorités, ou l'altération de données à caractère personnel.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique.

4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue:

a) d’empêcher tout accès non autorisé à des données à caractère personnel;

b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel;

c) d'assurer la vérification de la licéité des traitements. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

Compte tenu des techniques disponibles et des coûts liés à la mise en œuvre et prenant en considération la nature, la portée, le contexte et les finalités du traitement ainsi que la probabilité et la gravité du risque pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées, notamment (...) la pseudonymisation de données à caractère personnel, afin de garantir un niveau de sécurité approprié au regard du risque.

1 bis. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement des données (...), résultant notamment de la destruction accidentelle ou illégale, de la perte, de l'altération, de la divulgation ou de l'accès non autorisé à des données à caractère personnel transmises, stockées ou faisant l'objet d'un autre traitement.

2. (…)

2 bis. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen d'attester du respect des exigences visées au paragraphe 1.

2 ter. Le responsable du traitement et le sous-traitant prennent des mesures pour que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne puisse les traiter que sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou la législation d'un État membre.

3. (…)

4. (…)

Directive close

Art. 17

1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 4

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les données à caractère personnel doivent être :

(...)

6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, ou l'accès par des personnes non autorisées, à l'aide de mesures techniques ou organisationnelles appropriées.

Art. 57

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

En application de l'article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

(...)

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 34

Version initiale

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Art. 35

Version initiale

(…)

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Art. 34

Modifié par la loi n°2004-801 du 6 août 2004

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8.

Art. 35

Modifié par la loi n°2018-493 du 20 juin 2018

(...) 

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi.

II. - Dans le champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le sous-traitant respecte les conditions prévues par ce règlement.

 

Belgique

Aucune disposition spécifique

Ancienne loi
en Belgique
close

Art. 16

§ 1er. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement ou, le cas échéant, son représentant en Belgique, doit :

  1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;

  2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;

  3° fixer dans le contrat la responsabilité du sous-traitant à l'égard du responsable du traitement;

  4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du paragraphe 3;

  5° consigner par écrit ou sur un support électronique les éléments du contrat visés aux 3° et 4° relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 3.

  § 2. Le responsable du traitement ou, le cas échéant, son représentant en Belgique, doit :

  1° faire toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des articles 4 à 8;

  2° veiller à ce que, pour les personnes agissant sous son autorité, l'accès aux données et les possibilités de traitement soient limités à ce dont ces personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;

  3° informer les personnes agissant sous son autorité des dispositions de la présente loi et de ses arrêtés d'exécution, ainsi que de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel;

  4° s'assurer de la conformité des programmes servant au traitement automatisé des données à caractère personnel avec les termes de la déclaration visée à l'article 17 ainsi que de la régularité de leur application.

  § 3. Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi, d'un décret ou d'une ordonnance.) <L 1998-12-11/54, art. 23, 004; En vigueur : 01-09-2001>

  (§ 4.) Afin de garantir la sécurité des données à caractère personnel, le (responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel) contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel. <L 1998-12-11/54, art. 23, 004; En vigueur : 01-09-2001>

Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.

Sur avis de la Commission de la protection de la vie privée, le Roi peut édicter des normes appropriées en matière de sécurité informatique pour toutes ou certaines catégories de traitements.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK