Transferts de données à l’international - le Brésil reconnu comme offrant un niveau de protection adéquat

 

Le 26 janvier 2026, le Brésil a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 15é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-bresil-reconnu-comme-offrant-un-niveau-de-protection-adequat

Campagnes électorales et données personnelles : quel cadre juridique pour la publicité politique ?

 

Ce qu’il faut retenir

Lors de chaque scrutin, la CNIL relève des manquements liés à l’absence d’information des électeurs, à la non-application du droit d’opposition ou encore à l’utilisation de fichiers dans des conditions non conformes à leur finalité initiale, donnant lieu à un nombre significatif de signalements d’électeurs.

Ainsi, le 18 décembre 2025, la CNIL a prononcé cinq sanctions à l’encontre de candidats aux élections européennes et législatives anticipées de 2024, en raison de l’envoi de messages de prospection politique non conformes aux règles de la protection des données personnelles (absence de base légale ou information insuffisante des destinataires notamment). Ces sanctions ont été prononcées à la suite de signalements de destinataires de ces messages.

L’utilisation de données personnelles pour des actions de communication politique est encadrée par un corpus de règles combinant d’une part le RGPD et le nouveau règlement sur la transparence politique, et d’autre part des règles issues du code électoral et du code des relations entre le public et l’administration (CRPA). 

Le présent article propose un décryptage de la réglementation applicable en matière de communication politique lors des campagnes électorales.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-campagnes-electorales-et-donnees-personnelles-quel-cadre-juridique-pour-la-publicite-politique

Transfert de données vers le Royaume-Uni : la Commission renouvelle sa décision d’adéquation

 

Le 19 décembre 2025, la Commission européenne a renouvelé sa décision d’adéquation relative aux transferts de données personnelles vers le Royaume-Uni. (1) 

Cette décision signifie que la réglementation britannique sur la protection des données personnelles offre un niveau de protection équivalent à celui accordé par le RGPD. En conséquence, les organismes peuvent continuer à transférer des données personnelles vers le Royaume-Uni sans contraintes supplémentaires.

 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-transfert-de-donnees-vers-le-royaume-uni-la-commission-renouvelle-sa-decision-d-adequation

Protection des données : comment justifier l’intérêt légitime comme base légale du traitement

 

 Ce qu’il faut retenir

L’intérêt légitime est l’une des bases légales d’un traitement de données personnelles. Identifier l’intérêt légitime comme base légale nécessite de réaliser une analyse aux fins de justifier le caractère licite du traitement. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-protection-des-donnees-comment-justifier-l-interet-legitime-comme-base-legale-du-traitement

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Bilan des sanctions prononcées par la CNIL en 2024

 

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-bilan-des-sanctions-prononcees-par-la-cnil-en-2024

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

 

 

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-designation-d-un-dpo-une-commune-sanctionnee-par-la-cnil

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Données personnelles des enfants : TikTok condamné à 345 millions d'euros d'amende pour violation du RGPD

 

Ce qu'il faut retenir

TikTok a été condamné par la DPC irlandaise à une amende de 345 millions d’euros pour violation du RGPD concernant les données de mineurs

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-donnees-personnelles-des-enfants-tiktok-condamne-a-345-millions-d-amende-pour-violation-du-rgpd

Transfert de données vers les Etats-Unis : la Commission européenne publie le nouveau Cadre de protection des données

 

Ce qu'il faut retenir

La Commission européenne vient d’adopter le Data Privacy Framework (DPF) ou Cadre de protection des données personnelles pour faciliter l’exportation de données personnelles vers les Etats-Unis. Le Data Privacy Framework vient ainsi replacer le Privacy Shield, trois ans après son invalidation par la CJUE. Par cette nouvelle décision, la Commission reconnaît que les règles de protection des données personnelles mises en oeuvre aux Etats-Unis offrent un niveau de protection équivalent au RGPD.

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-transfert-des-donnees-vers-les-etats-unis-la-commission-europeenne-publie-le-nouveau-cadre-de-protection-des-donnees

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Les cookie walls validés sous conditions par la CNIL

 

Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.

Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.

Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)

Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)


1. L’existence d’alternatives réelles et satisfaisantes

Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute.

Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.

L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.


2. Le caractère raisonnable de l’accès payant

Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site.

La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).

L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.


    La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.

* * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs

(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2022

La Chine adopte sa loi sur la protection des données personnelles

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-chine-adopte-sa-loi-sur-la-protection-des-donnees-personnelles

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne

 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-royaume-uni-reconnu-comme-offrant-un-niveau-de-protection-adequat-par-la-commission-europeenne

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-personnelles-et-brexit-comment-se-preparer-a-une-sortie-de-l-ue-sans-accord

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

Lire le suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-prononce-une-sanction-record-de-50-millions-d-euros-a-l-encontre-de-google

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?

La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale

Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017