Le système Global CBPR : un cadre de conformité pour les flux de données transfrontalières entre pays non-membres de l’UE

 

 Ce qu’il faut retenir

Le Global Cross-Border Privacy Rules (Global CBPR) est un cadre de règles destinées à faciliter les flux internationaux de données personnelles entre pays non-membres de l’Union européenne. L’objectif de ce système est de garantir que les organismes traitant des données personnelles respectent un socle commun de règles en matière de protection des données dans les territoires des pays adhérents.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-le-systeme-global-cbpr-un-cadre-de-conformite-pour-les-flux-de-donnees-transfrontalieres-entre-pays-non-membres-de-l-ue

Droit à l’oubli contre liberté d’expression : la Cour d’appel de Paris confirme la primauté de la liberté d’expression

 

 

Ce qu’il faut retenir

Dans une décision du 20 février 2025, la Cour d’appel de Paris s’est prononcée sur la portée du droit à l’oubli en ligne, dans le cadre d’un litige opposant un ancien dirigeant sportif à un organe de presse numérique. La cour rappelle que la demande d’effacement fondée sur le droit à l’oubli ne saurait prévaloir sur le droit du public à l’information. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-droit-a-l-oubli-contre-liberte-d-expression-la-cour-d-appel-de-paris-confirme-la-primaute-de-la-liberte-d-expression

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Bilan des sanctions prononcées par la CNIL en 2024

 

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-bilan-des-sanctions-prononcees-par-la-cnil-en-2024

L’utilisation des dashcams est-elle licite ?

Ce qu’il faut retenir

L’utilisation des dashcams dans les véhicules n’est pas réglementée spécifiquement en France. L’utilisation des enregistrements doit toutefois respecter les règles de droit à la vie privée, de protection des données personnelles et d’admissibilité de la preuve.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-des-dashcams-est-elle-licite

L’utilisation de drones pour le maintien de l’ordre validée par le Conseil d’Etat

 

Ce qu’il faut retenir

Le Conseil d’Etat a validé le décret définissant les conditions d’utilisation, par les forces de l’ordre, de caméras embarquées sur des drones pour le maintien de l’ordre.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-de-drones-pour-le-maintien-de-l-ordre-validee-par-le-conseil-d-etat

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

 

 

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-designation-d-un-dpo-une-commune-sanctionnee-par-la-cnil

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Données personnelles des enfants : TikTok condamné à 345 millions d'euros d'amende pour violation du RGPD

 

Ce qu'il faut retenir

TikTok a été condamné par la DPC irlandaise à une amende de 345 millions d’euros pour violation du RGPD concernant les données de mineurs

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-donnees-personnelles-des-enfants-tiktok-condamne-a-345-millions-d-amende-pour-violation-du-rgpd

Transfert de données vers les Etats-Unis : la Commission européenne publie le nouveau Cadre de protection des données

 

Ce qu'il faut retenir

La Commission européenne vient d’adopter le Data Privacy Framework (DPF) ou Cadre de protection des données personnelles pour faciliter l’exportation de données personnelles vers les Etats-Unis. Le Data Privacy Framework vient ainsi replacer le Privacy Shield, trois ans après son invalidation par la CJUE. Par cette nouvelle décision, la Commission reconnaît que les règles de protection des données personnelles mises en oeuvre aux Etats-Unis offrent un niveau de protection équivalent au RGPD.

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-transfert-des-donnees-vers-les-etats-unis-la-commission-europeenne-publie-le-nouveau-cadre-de-protection-des-donnees

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat

La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-la-republique-de-coree-reconnue-comme-offrant-un-niveau-de-protection-adequat

La Chine adopte sa loi sur la protection des données personnelles

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-chine-adopte-sa-loi-sur-la-protection-des-donnees-personnelles

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne

 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-royaume-uni-reconnu-comme-offrant-un-niveau-de-protection-adequat-par-la-commission-europeenne

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 

La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.

* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 

Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

 

 Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-protection-des-donnees-personnelles-analyse-comparative-entre-le-rgpd-ue-et-les-cbpr-apec

 

CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles

Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-cbpr-et-prp-singapour-modifie-la-loi-sur-le-transfert-des-donnees-personnelles

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment.

 

Lire la suite de l'article :https://www.deleporte-wentz-avocat.com/actualite-flux-transfrontieres-de-donnees-personnelles-en-asie-pacifique-le-systeme-cbpr

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020