Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment.

 

Lire la suite de l'article :https://www.deleporte-wentz-avocat.com/actualite-flux-transfrontieres-de-donnees-personnelles-en-asie-pacifique-le-systeme-cbpr

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Renforcement des mesures de lutte contre la fraude à la TVA sur les plateformes en ligne

Suite aux contrôles réalisés par la Direction nationale des enquêtes fiscales (DNEF) courant 2019, 98% des vendeurs étrangers sur internet ne sont pas immatriculés à la TVA en France. Cette situation crée une distorsion de concurrence importante avec les vendeurs français. Pour y remédier, la loi de finance pour 2020 prévoit une série de mesures issues notamment de la transposition de la directive du 5 décembre 2017 relative au régime de TVA en matière de vente à distance. (1)

Les mesures entrant en application à compter du 1^er janvier 2021 :

-        Assujettissement à la TVA des opérateurs de plateformes en ligne (places de marché ou autre) ayant facilité la vente à distance de biens importés de moins de 150€ entre un vendeur et un acheteur. Cette obligation s’appliquera également aux opérateurs qui facilitent la livraison de biens dans l’Union européenne par un vendeur établi en dehors de l’UE, sans seuil de valeur minimum.

-        Obligation pour les plateformes de tenir un registre permettant aux Etats-membres de contrôler l’acquittement de la TVA. Ce registre devra être conservé par l’opérateur pendant 10 ans et mis à disposition de l’Administration fiscale par voie électronique en cas de demande.

De même, les exploitants des entrepôts et plateformes logistiques de stockage doivent conserver les informations permettant la traçabilité des biens vendus (propriétaires, provenance, destination, volumes, etc.).

Les mesures entrées en application à compter du 1^er janvier 2020 :

-        Assujettissement à la TVA du fournisseur intervenant indirectement dans le transport ou l’expédition des biens. De nouvelles obligations s’imposent aux opérateurs de plateformes en ligne dont l’activité est supérieure à 5 millions de visiteurs uniques par mois : lorsqu’il apparaît qu’un vendeur assujetti à la TVA se soustrait à ses obligations fiscales et que l’Administration le signale à l’opérateur, celui-ci est tenu de prendre les mesures permettant au vendeur de régulariser la situation. Ces mesures doivent être notifiées à l’Administration. Si les présomptions persistent au bout d’un mois, l’Administration peut mettre l’opérateur en demeure de prendre des mesures supplémentaires ou d’exclure le vendeur de la plateforme et de lui notifier les mesures prises. Enfin, en cas de non-respect de ces mesures par l’opérateur, celui-ci sera tenu solidairement redevable de la TVA due par le vendeur.

-        Création d’une liste noire des opérateurs de plateforme « non coopératifs ».

                                                             * * * * * * * * * * 

(1) Loi n°2019-1479 du 28 décembre 2019 de finance pour 2020, articles 149 et s. ; articles 256, 283 bis 293 A ter du code général des impôts ; et Directive (UE) 2017/2455 du 5 décembre 2017 (…) en ce qui concerne certaines obligations en matière de taxe sur la valeur ajoutée applicables aux prestations de services et aux ventes à distance de biens 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2020

 

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur

Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-nouvelles-lignes-directrices-de-la-cnil-en-matiere-de-cookies-l-accent-est-mis-sur-le-consentement-de-l-utilisateur

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance

Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-ico-des-dispositions-innovantes-dans-la-loi-pacte-pour-developper-la-confiance

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde

La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 

Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

Noms de domaine : le cybersquatting en hausse selon l’OMPI

De nombreuses entreprises sont victimes chaque année de cybersquatting (ou cybersquattage), en particulier dans les domaines du commerce de détail, de la mode et du luxe ou de la finance. Pour se défendre, les victimes peuvent soit engager une action en justice, soit lancer une procédure extrajudiciaire.

Dans un communiqué de presse publié le 15 mars 2019, l’OMPI (Organisation mondiale de la Propriété intellectuelle) a annoncé que son Centre d’arbitrage et de médiation avait reçu 3.447 plaintes relatives aux noms de domaine en 2018. Ces plaintes, déposées en vertu des Principes UDRP par des titulaires de marques, sont en hausse de 12% par rapport à l’année précédente. (1)


1. Le rôle du Centre d’arbitrage et de médiation de l’OMPI dans le règlement extrajudiciaire des litiges sur les noms de domaines (principes UDRP)

Le Centre d’arbitrage et de médiation est un organisme relevant de l’OMPI, dont le siège est situé à Genève, avec un bureau à Singapour. L’objet du Centre d’arbitrage est de proposer des services de règlement extrajudiciaires des litiges (médiation et arbitrage) dans les domaines de la propriété intellectuelle, des technologies et des noms de domaines, en particulier de nature internationale. (2)

Les procédures concernent tant des litiges contractuels (exécution de licences de brevets et de logiciels, contrats de coexistence de marques, contrats de recherche et de développement) que des litiges non-contractuels (tels que des litiges de contrefaçon ou le cybersqatting). Les litiges relatifs aux noms de domaines sont, de loin, les plus nombreux.

Les litiges relatifs aux noms de domaine sont traités par le Centre d’arbitrage et de médiation en vertu des Principes directeurs concernant le règlement uniforme des litiges relatifs aux noms de domaine (principes UDRP - Uniform Dispute Resolution Policy). (3) Cette procédure ne s’applique qu’aux litiges entre noms de domaine et marques.

Concernant les noms de domaine, seuls les litiges portant sur des noms de domaine enregistrés dans les domaines génériques de premier niveau (gTLD), tels que les domaines en .com, .org, .net, et les nouveaux gTLD en .online, .info., .app par exemple, sont pris en compte. Il convient d’ajouter plusieurs domaines de pays de premier niveau (ccTLD), notamment plusieurs extensions “exotiques” pouvant être utilisées à des fins frauduleuses, tels que les domaines en .ag (Antigua-et-Barbuda), .bm (Bermudes), .bs (Bahamas), .tv (Tuvalu), mais également le .fr, ou le .eu. (4) On notera toutefois que les noms de domaine en .com représentent encore plus de 70% des litiges traités par le Centre.

Pour être recevable, la demande du requérant doit remplir trois conditions cumulatives :
    i) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ;
    ii) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et
    iii) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi. (5)

Enfin, l’entrée en application du RGPD permet désormais de masquer les coordonnées des titulaires de noms de domaines sur les bases de données Whois, rendant l’accès à l’information plus difficile en cas de litige. Le Centre d’arbitrage a publié des conseils “informels” afin de permettre aux ayants droit de s’assurer de la recevabilité des leurs plaintes. (6)


2. La hausse des plaintes relatives aux noms de domaine

Les plaintes concernant le cybersquatting sont en hausse. Ainsi, le nombre de plaintes déposées en vertu des principes UDRP par les ayants droit de marques dans des litiges relatifs à des noms de domaine s’est élevé à 3.447 en 2018 et a porté sur un total de 5.655 noms de domaine, en hausse de 12% par rapport à 2017. 

Les sites utilisant des noms de domaines litigieux sont généralement liés à des activités frauduleuses, telles que la vente de contrefaçons, le phishing (hameçonnage), l’atteinte au droit des marques par exemple, ou encore le développement d’une activité parasitaire.

En 2018, les parties aux litiges administrés par l’OMPI en vertu des principes UDRP venaient de 109 pays. 976 plaintes concernent les États-Unis, suivis par la France (553 plaintes), le Royaume-Uni (305 plaintes) et l’Allemagne (244 plaintes).

Les trois principaux domaines d’activité des plaignants sont la banque et la finance (12%), la biotechnologie et les produits pharmaceutiques (11%) et internet et les technologies de l’information (11%).


    Les noms de domaine font partie des actifs majeurs de la plupart des entreprises, qu'elles aient une activité commerciale en ligne ou un simple site "vitrine". Le cybersquatting porte une atteinte manifeste non seulement à l’image des titulaires de marques mais également à la concurrence. Il est donc nécessaire de mettre en place une stratégie de défense comprenant d’une part l’enregistrement de noms de domaines dans les extensions les plus courantes quand cela est possible, et avec des dérivés orthographiques, et d’autre part organiser une veille internet régulière pour détecter les fraudes éventuelles.

Le recours aux services d’arbitrage et de médiation de l’OMPI permet notamment aux ayants droit de récupérer un nom de domaine enregistré de mauvaise foi par un tiers, en évitant des procédures judiciaires longues et coûteuses, et le plus souvent internationales. Cette procédure simple, rapide et peu coûteuse (mais entièrement à la charge du requérant), n’exclut cependant pas la possibilité pour l’une ou l’autre des parties de porter le litige devant les tribunaux.


                                                                   * * * * * * * * * *

(1) « Nouveau record de plaintes pour cybersquattage (+12%) déposées auprès de l’OMPI en 2018 », Communiqué de presse du 15 mars 2019, OMPI

(2) Site de l’OMPI

(3) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’OMPI
 

(4) Il existe deux types de procédures similaires - la procédure Syreli (Système de règlement des litiges) et la procédure PARL Expert (Procédures alternatives de résolution de litiges) administrées par l’Afnic pour l’extension en .fr et les extensions gérées gérées par l’Afnic 

(5) Pour les conditions de recours à la procédure UDRP, voir notre précédent article sur le sujet “Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire”

(6) Voir la page “Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2019

Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 

Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation. 


Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-resiliation-contractuelle-et-stricte-application-de-la-clause-resolutoire

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. 

Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-importance-de-l-implication-du-client-dans-l-execution-d-un-projet-informatique

 

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-personnelles-et-brexit-comment-se-preparer-a-une-sortie-de-l-ue-sans-accord

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-japon-reconnu-comme-offrant-un-niveau-de-protection-adequat

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

Lire le suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-prononce-une-sanction-record-de-50-millions-d-euros-a-l-encontre-de-google

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019