Régimes de responsabilité de traitements de données à caractère personnel

par Sébastien Chaudat

Projet de thèse en Droit privé et sciences criminelles

Sous la direction de Mélanie Clement-fontaine et de Célia Zolynski.

Thèses en préparation à université Paris-Saclay , dans le cadre de DROIT, ECONOMIE, MANAGEMENT (DEM) , en partenariat avec DANTE - Laboratoire de Droit des Affaires et Nouvelles Technologies (laboratoire) et de Université de Versailles-Saint-Quentin-en-Yvelines (référent) depuis le 08-11-2018 .


  • Résumé

    Le renforcement des droits de la personne concernée, notamment assuré par le règlement général relatif à la protection des données à caractère personnel et à leur libre circulation, conforte la mise en pouvoir de l'individu sur ses données. L'individu, fort de la maîtrise de ses données à caractère personnel, peut être en mesure de rapatrier l'ensemble de ces dernières au sein de services de stockage respectueux de la vie privée. L'analyse confronte les qualifications de la chaîne des acteurs intervenant dans la mise en oeuvre de traitements de données. Un regard particulier est porté sur la personne concernée. En effet, la mise en pouvoir de l'individu, tant par la réglementation que par les solutions techniques, assure à ce dernier un contrôle complet de ses données. En ce cadre, l'étude se porte sur les enjeux des responsabilités des acteurs, notamment dans le cadre du partage de données au sein d'un écosystème de cloud personnel. Le partage des données participe de la libre circulation des données à caractère personnel, permettant aux utilisateurs de cloud personnel de bénéficier d'un traitement de données, s'exécutant sur un algorithme créé par l'ensemble des données partagées au sein d'une structure commune et partagée. La position choisie des acteurs de créer un écosystème respectueux des droits de la personne en portant les traitements algorithmiques au sein du système de l'utilisateur, implique une définition claire des qualifications et des responsabilités des acteurs dans le cadre des traitements de données. La place des acteurs fournissant de telles solutions techniques seront mises en exergue, tant du point de vue de leur qualification à l'aune de la réglementation, que de celui de leurs responsabilités primaires, voire secondaires.

  • Titre traduit

    Liability rules in personal data processing


  • Résumé

    The general data protection regulation undermine the empowerment of the data subject on its personal information. The portability right given to the data subject, empowers him to gather all his personal information inside a personal cloud - a personal information management system. The analysis tends to focus on the qualification of actors intervening in the chain of data processing. There, empowerment of the user, thanks to legal provisions translated into technical architectures, gives back the control of his data, comforting its place on the determination of processing of his data. As a consequence, the definition of the final user might be subject to questioning, in the light of the plasticity of the data controller notion. Thus, actors' liabilities, notably in the sharing of data in a "community cloud" must be examined. There, the process within the community cloud allow individuals to benefit from a process, based on an algorithm created by the sum of data shared by all users. Community data processing, allowing the creation of an algorithm for providers of services, contributes to the enactment of the fifth freedom of the European Union. The actors' choice to provide services on a user centric approach, circumventing the economic model of mass data flow from services providers, involve a clear definition and allocation of liabilities in the context of personal data processing. Thus, part of the study will focus on the qualification of intermediaries providing technical solutions for data processing, and their ongoing liabilities, primary and secondary.