Entretien croisé réalisé par Dorian Marcellin avec notre confrère et ami Romain Perray.

Les entreprises se sont-elles suffisamment préparées au Data Act ? 

Claude-Etienne Armingaud : La maturité est quasiment nulle aujourd’hui sur le Data Act, car il n’y a même pas de connaissance de base du texte chez beaucoup d’acteurs, voire de son existence même. Si on compare avec l’expérience du RGPD il y a 8 ans, la différence, c’est qu’il y avait déjà une culture dans les pays européens autour des données personnelles. Ainsi, certaines filiales européennes avaient prévenu très tôt leur maison mère à l’étranger des impacts de la réglementation en avance de phase. Aujourd’hui, le Data Act reste avant tout un sujet connu des juristes, qui n’a pas provoqué de remous. Avec le RGPD, il fallait nommer des data protection officers, et cela avait fait réagir fortement. Là, on est dans la politique de l’autruche. 

L’échéance du 12 septembre 2025 est-elle un couperet ? 

Claude-Etienne Armingaud : La façon dont je vois les choses, c’est que si les entreprises ne prennent pas le sujet à bras-le-corps avec le temps qui leur reste, ce sont les utilisateurs qui vont les mettre face à leurs responsabilités. J’ai le sentiment que de nombreuses organisations se disent qu’elles verront bien s’il y a d’éventuelles actions en justice avant d’agir. Pourtant, on est sur des changements en termes de processus, de conception des produits, de changements contractuels, qui se font en moyenne sur des délais de 18 mois environ. Sans signaux plus positifs par rapport à l’échéance, je pense que les régulateurs européens vont finir par montrer les dents. 

L’augmentation de la maturité de la gouvernance des entreprises sur le sujet des données depuis une dizaine d’années n’est-elle pas un avantage en ce sens ? 

Claude-Etienne Armingaud : Les partis pris dans les organisations concernant la donnée m’ont toujours choqué : la fragmentation est très importante et il y a très peu d’ownership sur la donnée. Par exemple, l’ESG a toujours évolué séparément de son côté, alors qu’en toute logique, ces sujets devraient être intimement liés avec la vie privée, les données personnelles et la conformité technologique dans son ensemble. Les organisations ont la tentation de délaisser de nombreuses questions sur la donnée en mettant tout sur les épaules de leurs directions IT. Or, une grande partie de l’effort, au-delà de la question technique, va être le travail que le business va devoir faire sur lui-même ! Et en retour, cela contribue à la tendance des équipes IT de vouloir garder des prérogatives exclusives, quitte à jargonner pour repousser les métiers. 

Je pense au contraire que les entreprises qui mettent en avant leur chief data officer, par opposition ou complémentarité avec le data protection officer, avec la mission de raconter une histoire pour fédérer à la fois les métiers et l’IT, sont sur la bonne voie. Leur message est d’une certaine façon que la conformité est un aspect collatéral de la gouvernance de la donnée, qui doit être mise en place de toute façon pour permettre à l’entreprise d’aller de l’avant. Cela implique une conscience à haut niveau que le sujet des fondamentaux data est un investissement vertueux. Travailler sur ces fondamentaux, c’est faire le chemin du Data Act. 

Pensez-vous qu’une prise de conscience puisse avoir lieu suffisamment rapidement pour que les entreprises changent leur vision et leur méthode ? 

Claude-Etienne Armingaud : Elles ont une forte incitation à le faire. Sans cette nouvelle approche sur la donnée, elles ne tireront pas grand-chose de l’intelligence artificielle. Je le répète, cet effort initial de classification, ce n’est pas seulement un enjeu de conformité avec le Data Act, c’est une démarche de valeur globale. Mais pour y parvenir, il est nécessaire d’avoir une impulsion business, plutôt qu’une épée de Damoclès réglementaire. Malheureusement, c’est une vision un peu idéaliste et optimiste de penser que, parce que les dirigeants veulent de l’IA générative qui fonctionne, ils vont accepter de travailler sur les fondamentaux data. Dans les faits, on voit des comités exécutifs qui veulent tout, tout de suite, avec beaucoup d’idées de produits qui surfent juste sur la médiatisation. Trop souvent, l’ambition qui prévaut est de « faire à tout prix », même si c’est mal faire. La reprise d’initiative et d’influence par les chief data officers, je l’appelle bien sûr de mes vœux, mais je ne pense pas qu’elle sera avérée d’ici 2025. 

Lire l’intégralité de l’entretien sur le site Alliancy

Claude-Etienne Armingaud, avocat associé du cabinet K&L Gates spécialisé dans la protection de la vie privée et le droit des technologies, a identifié quatre points de défaillance potentiels dans la réaction du Parlement. S’ils devaient être confirmés, ils pourraient justifier une action éventuelle de l’autorité de protection des données.

Il s’agit d’une défaillance dans la sécurité, d’une quantité injustifiée de données collectées ou pendant une durée injustifiée, ou encore d’une communication incomplète de la violation aux personnes concernées.

Comme il s’agit d’un dossier très important, il est probable qu’il soit suivi par le CEPD, a ajouté M. Armingaud.

Lire l’article complet sur Euractiv

Le message envoyé à tous ceux qui font appel à des brokers est très clair : il faut vérifier les données et tout ce qui s’y attache. Il est plus que jamais nécessaire de rationaliser ses actions de marketing et d’être proactif pour tenir compte des dernières décisions de la CNIL. Celles-ci sont d’ailleurs loin d’être dogmatiques : elles s’inscrivent dans la logique qui a déjà prévalu en matière de traitement des cookies.

Option Droit & Affaires, Mercredi 29 mai 2024

Retrouvez l’intégralité de l’article sur le site Option Droit & Affaires

Citations dans l’article 01net.com de Stéphanie Bascou, à propos de la validation du Data Privacy Framework entre l’Union Européenne et les États-Unis:

« Ils ont mis de l’eau dans leur vin, il y a eu des compromis« , estime Maître Claude-Etienne Armingaud, partenaire au sein de K&L Gates LLP.

Les nouveaux mécanismes mis en place pour les Européens n’ont jamais été vus en droit américain, en termes de protection de personnes qui ne sont pas sur la juridiction américaine, c’est-à-dire qu’il ne s’agit ni de citoyens américains ni d’individus qui résident aux États-Unis.

Si le DPF est adopté, il sera contesté devant la Cour de justice de l’UE, comme l’ont été précédemment les deux autres textes, a rappelé Max Schrems, fondateur de NOYB. Ce conflit pourra-t-il un jour trouver une porte de sortie ? Rien n’est moins sûr car « en Europe, la protection de la vie privée et la protection des données à caractère personnel sont des libertés fondamentales », rappelle Maître Armingaud

Première publication: 01net.com

Entretiens croisés en compagnie d’Alexandra Iteanu, Alan Walter du cabinet Walter Billet:

Énormément de sociétés se sont emparé du sujet, confirme Claude-Etienne Armingaud, associé et membre de la pratique droit des nouvelles technologies & propriété intellectuelle de K&L Gates. Pour autant, beaucoup ne se sentent toujours pas concernées, comme notamment des sociétés mères étrangères disposant pourtant parfois de filiales en Europe.

Le panel qui leur était consacré en mars dernier, lors de la conférence IAPP Data Protection Intensive France 2023, s’est quasi transformé en session de psychanalyse collective, tant ils n’ont souvent pas les moyens de conduire leur mission », s’alarme Claude-Etienne Armingaud.

Même si l’on peut s’en réjouir dans l’absolu, avoir voulu d’emblée frapper très loin et très fort
constitue une limite du règlement, analyse Claude-Etienne Armingaud. Dans les faits, il est souvent difficile d’obtenir de juridictions étrangères de se saisir de l’exécution locale de dossiers bâtis sur les obligations européennes du RGPD.

Accédez à l’intégralité de l’article: LJA – La Lettre des Juristes d’Affaires – 29 mai 2023 – N° 1586

Un grand merci à BSMART et Delphine Sabattier de donner de l’écho à la Journée Mondiale de la Protection des Données qui aura lieu ce samedi !

La réglementation (RGPD, Loi Informatique et Libertés) est-elle parfaite ? Non — mais avec ce double anniversaire (45è bougie de la CNIL – Commission Nationale de l’Informatique et des Libertés et 5è de l’entrée en vigueur du #RGPD), focalisons-nous surtout sur les succès de ces normes — entre prise de conscience des entreprises et prise de pouvoir des personnes concernées.

Pour voir toute l’émission >> https://lnkd.in/eQwC3CkM

Pour fêter avec un peu d’anticipation dès ce soir avec IAPP – International Association of Privacy Professionals >> https://lnkd.in/gUN9ivtJ

(et merci à Jean LARROUMETS et Alain Staron, PhD pour nos échanges hors antenne — à poursuivre!)

#DPD23#DataPrivacyDay#DataProtectionDay#MaTeteDansLePoste

« D’après le règlement européen sur la protection des données (RGPD), les entreprises doivent ne collecter que les données nécessaires », a pointé Claude Étienne-Armingaud. Rappelant la réglementation actuelle, l’avocat associé chez K&L Gates a ensuite présenté différents scénarios possibles de collecte de données.

« Les informations collectées dans la voiture peuvent rester sous la maîtrise unique de l’usager et ne sont pas transmises en dehors du véhicule : c’est le  » in-in « . Ou alors, être transmises au fournisseur de service, tel que Geotab (in-out). Enfin, elles peuvent être transmises au fournisseur de service pour déclencher à distance une action automatique dans le véhicule (in-out-in). Le responsable du traitement des données doit se montrer transparent et documenter la finalité de l’enregistrement de ces données », a argumenté Claude Étienne-Armingaud.

Autre point important rappelé par Claude Étienne-Armingaud, avocat associé chez K&L Gates : « il est indispensable de fixer des durées de conservation des données et de les sécuriser. »

Lire l’intégralité de l’article de Julie Vénier sur le site Flottes Automobiles

Spécificité propre à cette application, on y accède par cooptation, ce qui attise l’appétit des profanes pour ce club très select que fréquentent Elon Musk, Mark Zuckerberg et Bill Gates. « C’est un très bel outil du point de vue humain et intellectuel, dans lequel les personnes se sentent valorisées », estime l’avocat Claude Armingaud, associé du cabinet K&L Gates. Ce spécialiste du droit des nouvelles technologies et de la propriété intellectuelle est d’ailleurs devenu, comme plusieurs de ses confrères, un membre actif de ClubHouse. Il y anime le salon privé « The Privacy House » dédié à la protection des données personnelles.

Parmi les anomalies recensées, l’information sommaire des utilisateurs au moment de leur inscription et un accès à leurs contacts qui enjambe leur consentement. « Lorsqu’une personne s’inscrit, le réseau accède à tous ses contacts et à leurs numéros de téléphone, ce qui constitue une collecte indirecte de données personnelles au sens du RGPD. En principe, ces contacts doivent être informés de cette collecte au plus tard dans les 30 jours suivants, et doivent être en mesure d’exercer leurs droits d’opposition et d’accès à leurs données à tout moment. Sinon, une telle collecte pourrait constituer une violation majeure et caractérisée du RGPD », décrypte Me Armingaud.

Toutefois, relève Me Armingaud, « le risque existe que la plateforme, qui ne dispose pas encore d’un réel modèle économique, enregistre les conversations pour faire de l’analyse de contenu et du marketing. Si tel est le cas, et qu’elle n’en informe pas les utilisateurs, c’est un manquement au RGPD. Si elle compte le faire ultérieurement, elle devra procéder à cette information », détaille-t-il.

La question de l’enregistrement des conversations se pose avec d’autant plus d’acuité que « ClubHouse travaille avec un prestataire établi en Chine, où, d’ailleurs, l’application est interdite », note l’avocat. La voix est une donnée biométrique ultrasensible qui permet d’identifier la personne et, à travers elle, son état de santé, ses opinions et prises de position, autant d’informations à protéger dans le contexte tendu des relations avec la Chine. « Dès lors qu’elle est associée à un profil, la voix fait l’objet d’une protection renforcée du RGPD. Celui-ci interdit de traiter la voix à des fins d’identification », rappelle Me Armingaud.

Pour l’heure, l’enquête doit permettre d’établir si le RGPD s’applique à la société et si ses règles sont respectées. Si tel n’est pas le cas, « la Cnil pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs » a-t-elle prévenu. Néanmoins, nuance Me Armingaud, en cas de sanction, « la société ne possédant aucun établissement en Europe, rien ne garantit que sa décision sera exécutée aux États-Unis, ce qui serait un véritable camouflet pour le RGPD ».

Lire l’article entretien complet avec Laurence Neuer sur LePoint.fr

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

  • Licéité, loyauté et transparence,
  • Limitation des finalités,
  • Minimisation des données,
  • Exactitude,
  • Limitation de la conservation,
  • Intégrité et confidentialité, et
  • Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

(suite…)

L’interview de Me Claude-Etienne Armingaud, expert en droit des nouvelles technologies (K&L Gates) : « Privatiser la justice entraînerait une privation de liberté« 

Le meurtre de Samuel Paty fait ressurgir le rôle des réseaux sociaux et leur difficile contrôle…
Me Claude-Etienne Armingaud : 
La France a un cadre qui remonte à 1881 sur la liberté d’expression et qui fonctionne plutôt bien. À chaque fois qu’il y a des libertés, il y a en corollaire un devoir. Depuis toujours, le juge judiciaire est le gardien des libertés, c’est lui qui doit dire ce qui est légal ou pas en termes de diffamation. Le problème, c’est que le temps judiciaire n’est pas celui d’internet. La plainte de Samuel Paty pour diffamation après la vidéo du père de famille avait tout son sens. Mais même quand on fait un référé d’heures à heures, on n’a jamais de décision avant 48 heures, ce qui est… la durée de vie d’une information. La viralité entraîne une perte de contrôle totale. La tentation qui galope depuis la loi pour la confiance dans l’économie numérique de 2004, voire même le projet de loi sur la société de l’information de 2001, c’est, en quelque sorte, de « privatiser » la justice. Le consensus actuel est de dire que l’on a des intermédiaires purement techniques, auxquels on dit ‘Vous n’avez pas d’obligation de surveillance mais si ce contenu est illicite, vous devez le retirer‘. De cette position, la tentation est de faire reposer sur ces mêmes intermédiaires une obligation d’appréciation de la licéité des contenus.

En juin dernier, la loi Avia allait plus loin mais a été en partie censurée par le Conseil constitutionnel…
La loi Avia voulait que les contenus manifestement illicites – le terrorisme et la pédopornographie – soient retirés dans l’heure ; les appels à la haine sous 24h. Le Conseil constitutionnel a estimé que ces délais imposés ne permettaient pas de saisir le juge judiciaire, gardien des libertés. Ce qui revenait à cette « privatisation » de la justice sans voie de recours, pourtant nécessaire dans un état de droit. Aucun particulier ne va faire une procédure contre les Gafa pour voir son contenu republié, quand bien même il aurait raison sur le fond.

Le Conseil constitutionnel a ramené la suppression du contenu à un « délai raisonnable » mais maintenu des sanctions financières élevées : 1,250 millions d’ pour les personnes morales par infraction…
Face à ces montants, dès qu’il y a un signalement, les plateformes ne vont pas prendre de risque et retirer les contenus. Cette privatisation de la justice peut entraîner à terme une privation de la liberté d’expression. Les juges ont 150 ans de jurisprudence sur l’injure et la diffamation et il y a pourtant toujours des débats. La haine envers une communauté de personnes (sur la base de l’appartenance à une ethnie, une religion…) peut être encore plus subjective et est en tout état de cause un concept plus récent. Ce serait donc normal qu’il revienne aux juges de l’apprécier.

Quelles peuvent être les solutions ?
Il faut pouvoir trouver un équilibre entre la liberté d’expression dans un état de droit et la sécurité des personnes. C’est un exercice très délicat. Les magistrats qui sont déjà sous l’eau ne peuvent raisonnablement pas se prononcer sur chaque tweet contesté. La tentation peut être grande de le mettre entre les mains d’une autorité administrative, comme le CSA, mais là encore, le spectre d’une censure d’État demeure. Un principe de précaution comme un sas avant publication ou en cas de contestation ? Une chambre judiciaire spécialisée ? On en reviendrait encore à des juges encore plus sursollicités…

Retrouvez l’intégralité de l’entretien dans La Provence.