Protection des données : comment justifier l’intérêt légitime comme base légale du traitement

 

 Ce qu’il faut retenir

L’intérêt légitime est l’une des bases légales d’un traitement de données personnelles. Identifier l’intérêt légitime comme base légale nécessite de réaliser une analyse aux fins de justifier le caractère licite du traitement. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-protection-des-donnees-comment-justifier-l-interet-legitime-comme-base-legale-du-traitement

Le système Global CBPR : un cadre de conformité pour les flux de données transfrontalières entre pays non-membres de l’UE

 

 Ce qu’il faut retenir

Le Global Cross-Border Privacy Rules (Global CBPR) est un cadre de règles destinées à faciliter les flux internationaux de données personnelles entre pays non-membres de l’Union européenne. L’objectif de ce système est de garantir que les organismes traitant des données personnelles respectent un socle commun de règles en matière de protection des données dans les territoires des pays adhérents.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-le-systeme-global-cbpr-un-cadre-de-conformite-pour-les-flux-de-donnees-transfrontalieres-entre-pays-non-membres-de-l-ue

Droit à l’oubli contre liberté d’expression : la Cour d’appel de Paris confirme la primauté de la liberté d’expression

 

 

Ce qu’il faut retenir

Dans une décision du 20 février 2025, la Cour d’appel de Paris s’est prononcée sur la portée du droit à l’oubli en ligne, dans le cadre d’un litige opposant un ancien dirigeant sportif à un organe de presse numérique. La cour rappelle que la demande d’effacement fondée sur le droit à l’oubli ne saurait prévaloir sur le droit du public à l’information. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-droit-a-l-oubli-contre-liberte-d-expression-la-cour-d-appel-de-paris-confirme-la-primaute-de-la-liberte-d-expression

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Bilan des sanctions prononcées par la CNIL en 2024

 

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-bilan-des-sanctions-prononcees-par-la-cnil-en-2024

L’utilisation des dashcams est-elle licite ?

Ce qu’il faut retenir

L’utilisation des dashcams dans les véhicules n’est pas réglementée spécifiquement en France. L’utilisation des enregistrements doit toutefois respecter les règles de droit à la vie privée, de protection des données personnelles et d’admissibilité de la preuve.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-des-dashcams-est-elle-licite

L’utilisation de drones pour le maintien de l’ordre validée par le Conseil d’Etat

 

Ce qu’il faut retenir

Le Conseil d’Etat a validé le décret définissant les conditions d’utilisation, par les forces de l’ordre, de caméras embarquées sur des drones pour le maintien de l’ordre.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-de-drones-pour-le-maintien-de-l-ordre-validee-par-le-conseil-d-etat

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

 

 

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-designation-d-un-dpo-une-commune-sanctionnee-par-la-cnil

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Données personnelles des enfants : TikTok condamné à 345 millions d'euros d'amende pour violation du RGPD

 

Ce qu'il faut retenir

TikTok a été condamné par la DPC irlandaise à une amende de 345 millions d’euros pour violation du RGPD concernant les données de mineurs

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-donnees-personnelles-des-enfants-tiktok-condamne-a-345-millions-d-amende-pour-violation-du-rgpd

Transfert de données vers les Etats-Unis : la Commission européenne publie le nouveau Cadre de protection des données

 

Ce qu'il faut retenir

La Commission européenne vient d’adopter le Data Privacy Framework (DPF) ou Cadre de protection des données personnelles pour faciliter l’exportation de données personnelles vers les Etats-Unis. Le Data Privacy Framework vient ainsi replacer le Privacy Shield, trois ans après son invalidation par la CJUE. Par cette nouvelle décision, la Commission reconnaît que les règles de protection des données personnelles mises en oeuvre aux Etats-Unis offrent un niveau de protection équivalent au RGPD.

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-transfert-des-donnees-vers-les-etats-unis-la-commission-europeenne-publie-le-nouveau-cadre-de-protection-des-donnees

La protection des données personnelles : un droit fondamental, mais non absolu

 

Ce qu’il faut retenir

Le droit à la protection des données personnelles est un droit fondamental mais non absolu. Les juges sont régulièrement amenés à le mettre en balance avec d’autres droits fondamentaux, selon le principe de proportionnalité.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-protection-des-donnees-personnelles-un-droit-fondamental-mais-non-absolu

Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat

La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-la-republique-de-coree-reconnue-comme-offrant-un-niveau-de-protection-adequat

La Chine adopte sa loi sur la protection des données personnelles

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-chine-adopte-sa-loi-sur-la-protection-des-donnees-personnelles

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne

 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-royaume-uni-reconnu-comme-offrant-un-niveau-de-protection-adequat-par-la-commission-europeenne

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 

La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.

* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 

Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

 

 Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-protection-des-donnees-personnelles-analyse-comparative-entre-le-rgpd-ue-et-les-cbpr-apec

 

CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles

Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-cbpr-et-prp-singapour-modifie-la-loi-sur-le-transfert-des-donnees-personnelles

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment.

 

Lire la suite de l'article :https://www.deleporte-wentz-avocat.com/actualite-flux-transfrontieres-de-donnees-personnelles-en-asie-pacifique-le-systeme-cbpr