« D’après le règlement européen sur la protection des données (RGPD), les entreprises doivent ne collecter que les données nécessaires », a pointé Claude Étienne-Armingaud. Rappelant la réglementation actuelle, l’avocat associé chez K&L Gates a ensuite présenté différents scénarios possibles de collecte de données.

« Les informations collectées dans la voiture peuvent rester sous la maîtrise unique de l’usager et ne sont pas transmises en dehors du véhicule : c’est le  » in-in « . Ou alors, être transmises au fournisseur de service, tel que Geotab (in-out). Enfin, elles peuvent être transmises au fournisseur de service pour déclencher à distance une action automatique dans le véhicule (in-out-in). Le responsable du traitement des données doit se montrer transparent et documenter la finalité de l’enregistrement de ces données », a argumenté Claude Étienne-Armingaud.

Autre point important rappelé par Claude Étienne-Armingaud, avocat associé chez K&L Gates : « il est indispensable de fixer des durées de conservation des données et de les sécuriser. »

Lire l’intégralité de l’article de Julie Vénier sur le site Flottes Automobiles

« Le pétrole de la nouvelle économie… » C’est souvent par cette expression surannée que sont décrites les données qui résultent de notre utilisation des technologies. Dans le même temps, les géants américains du numérique enchainent les amendes pour non-respect du RGPD[1] (voir notamment la récente amende record prononcée à l’encontre d’Instagram par l’autorité de protection des données irlandaise[2]), et poussent ainsi la Commission européenne à développer de nouveaux outils afin de toujours plus encadrer les utilisations de ces données.

Cette initiative, le « Paquet Numérique », se compose respectivement des DMA[3], DSA[4] et DA[5] et ses objectifs sont clairs – suppléer le RGPD pour les autres données qui seraient issues des utilisateurs, peu important qu’elles fussent personnelles, et instaurer un partage visant une meilleur distribution d’une valeur aujourd’hui accaparée par des acteurs en position quasi-monopolistiques.

(suite…)

Les équipes d’avocats du cabinet K&L Gates en M&A et Droit social à Paris ont conseillé Securitas AB dans le cadre de son acquisition de Stanley Security en France. Cette opération stratégique positionne Securitas comme un acteur global et incontournable sur le marché des services de sécurité.

Securitas AB annonce l’acquisition de Stanley Security, activité de sécurité électronique de Stanley Black & Decker Inc., et consolide sa position d’acteur international de premier plan pour les prestations de services de sécurité et les équipements de surveillance électronique.

La transaction d’un montant de 3,2 milliards de dollars a été approuvée par la Commission Européenne.

En France, Securitas AB était conseillé par le bureau de K&L Gates à Paris avec Raphaël Bloch, (avocat associé) et Samuel Boccara (collaborateur senior) sur les aspects corporate, et Christine Artus (avocate associée), Sarah Chihi (collaboratrice senior) et Anne Ragu (collaboratrice) sur les aspects liés au droit social. Claude Etienne Armingaud est également intervenu sur cette opération en qualité d’associé sur les aspects data privacy.

Au niveau global, l’équipe de K&L Gates était dirigée par Kevin Stichter, associé à Charlotte qui était accompagné par les associés Brittany Doolittle, (Charlotte), Allen Bachman et Steven Hill (Washington), Francesco Carloni et Philip Torbøl (Bruxelles), Rikki Sapolich-Krol (San Francisco), David Lindsay (Raleigh), Richard Dollimore et Philip Morgan (Londres) et les collaborateurs Ryan Beachum, Hillary Dawe et Avery Miller avec la contribution d’autres avocats de la firme.

Stanley Black & Decker était conseillé par le cabinet Freshfields Bruckhaus Deringer.

Fusions Acquisitions
Trois cabinets sur le rachat de Stanley Security par Securitas AB.
Suite au feu vert de la Commission européenne, le groupe suédois Securitas AB, spécialiste des services de sécurité électronique et solutions de soins de santé de l'Américain Stanley Black & Decker, Stanley Security. L'opération a été réalisée pour un montant de 3,2 milliards de dollars (environs 2,8 milliards d'euros). Au total, 335 employés de Stanley Security vont intégrer la filiale belgo-luxembourgeoise de Securitas, qui consolide ainsi sa position sur le marché des services de sécurité et des équipements de surveillance électronique. Avec environ 8000 employés répartis dans près de 200 bureaux, Stanley Security, dont le siège social se situe à Indianapolis, aux États-Unis, opère depuis trente ans dans le secteur mondial de la sécurité. Securitas AB a été accompagné par K&L Gates avec Raphael Bloch, Associé, Samuel Boccara, en corporate, Christine Artus, associée, Sarah Chihi et Anne Ragu, en droit social, et Claude-Etienne Armingaud, associé en data privacy; ainsi que par PwC Société d'Avocats avec Katia Gruzdova, associée, CLément Jouanolle et Elefterika Balkoska sur la due diligence fiscale. Freshfields Bruckhaus Deringer a conseillé Stanley Black & Decker Inc avec Guillemette Burgala et Sami Jebbour, associés, Fabien Costa, en corporate, Gwen Senlanne, associé, Lucie Plan, en droit du travail, Vincent Daniel-Mayeur associé Benjamin Boisanté en fiscal, Jérôme Philippe associé François Godon et Petya Karsarska counsels Anais Jennepin en concurrence et contrôle des investissements étrangers.

Premières publications: Le Monde du Droit et Option Droit & Affaires

La Commission Nationale de l’Informatique et des Libertés (CNIL) a clôturé l’année 2020 avec une amende de 20 000 euros à l’encontre la société française NESTOR spécialisée dans la préparation et la livraison de repas sur le lieu de travail (voir la décision complète CNIL, Décision SAN-2020-018, 8 Décembre 2020).

Plusieurs violations du Règlement Général sur la Protection des DonnéesRGPD ») et la Directive Vie privée et Communications électroniques (« Directive ePrivacy ») concernant le traitement des données à caractère personnel des clients et prospects ont été relevés par la CNIL, et notamment :

  • L’absence de consentement préalable des prospects à recevoir une communication électronique à des fins de marketing direct, en violation de l’Article L.34-5 du Code des Postes et des Communications Électroniques (« CPCE ») ;
  • Le manquement à l’obligation d’informer correctement les personnes concernées (Article 12 et 13 RGPD) soit :
    • Lors de la création de leur compte sur la plateforme de la société ;
    • Lors de la collecte indirecte de données via des sources externes.
  • L’incapacité à traiter correctement les demandes d’accès des personnes concernées (Article 15 RGPD).

Si l’amende apparait relativement limitée au regard du montant maximal de 20 millions d’euros ou de 4% du chiffre d’affaires pouvant être prononcé, cette décision reste une opportunité d’examiner de plus près les pratiques de web scraping et de marketing direct qui se développent rapidement.

(suite…)

La CNIL fixe au 31 mars 2021 la fin du « délai raisonnable » pour mettre en conformité les sites web et applications mobiles.

Suite à l’adoption et la publication de ses lignes directrices modificatives et de la recommandation portant sur l’usage des cookies le 1er octobre 2020 (voir notre alerte sur ce sujet ici), la Commission nationale de l’informatique et des libertés (« CNIL ») a rappelé, le 4 février 2021, la nécessité pour les acteurs privés et publics de s’assurer de leur conformité aux nouvelles obligations en matière de cookies et autres traceurs (« Cookies » – Voir le communiqué de la CNIL du 4 février 2021).

Pour assurer l’effectivité de son plan d’action sur le ciblage publicitaire en ligne et pour lutter contre les lacunes constatées tant dans le secteur public que dans le secteur privé, la CNIL fixe un délai précis : la période d’adaptation accordée à l’ensemble des acteurs afin d’effectuer leur mise en conformité prendra fin le 31 mars 2021.

(suite…)

Le 1er janvier 2021, la période de transition du Brexit (Période de Transition) est enfin arrivée à terme et le Royaume-Uni a officiellement finalisé sa sortie de l’Union européenne (UE). L’accord commercial post Brexit (Accord) négocié à la dernière minute devrait permettre une transition plus douce sur le plan de la protection des données, dans la mesure où le Règlement Général sur la Protection des Données (RGPD) a cessé d’être directement applicable au Royaume-Uni. Il a également été accordé au Royaume-Uni une période de grâce de six mois afin de négocier une décision d’adéquation qui permettrait le libre transfert de données personnelles de l’UE vers le Royaume-Uni.

Si le Comité Européen de la Protection des Données (CEPD) a modifié le 13 janvier 2021 ses Communications sur le Brexit à la suite de l’Accord (Communications), il ne s’est cependant penché que sur:

  • La question des transferts de données de l’UE vers le Royaume-Uni;
  • La fin du mécanisme dit de « guichet unique » pour le Royaume-Uni; et
  • La nécessité pour les entités britanniques qui seraient soumises au RGPD de désigner un représentant conformément à l’article 27 RGPD.
(suite…)

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

  • Licéité, loyauté et transparence,
  • Limitation des finalités,
  • Minimisation des données,
  • Exactitude,
  • Limitation de la conservation,
  • Intégrité et confidentialité, et
  • Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

(suite…)

L’interview de Me Claude-Etienne Armingaud, expert en droit des nouvelles technologies (K&L Gates) : « Privatiser la justice entraînerait une privation de liberté« 

Le meurtre de Samuel Paty fait ressurgir le rôle des réseaux sociaux et leur difficile contrôle…
Me Claude-Etienne Armingaud : 
La France a un cadre qui remonte à 1881 sur la liberté d’expression et qui fonctionne plutôt bien. À chaque fois qu’il y a des libertés, il y a en corollaire un devoir. Depuis toujours, le juge judiciaire est le gardien des libertés, c’est lui qui doit dire ce qui est légal ou pas en termes de diffamation. Le problème, c’est que le temps judiciaire n’est pas celui d’internet. La plainte de Samuel Paty pour diffamation après la vidéo du père de famille avait tout son sens. Mais même quand on fait un référé d’heures à heures, on n’a jamais de décision avant 48 heures, ce qui est… la durée de vie d’une information. La viralité entraîne une perte de contrôle totale. La tentation qui galope depuis la loi pour la confiance dans l’économie numérique de 2004, voire même le projet de loi sur la société de l’information de 2001, c’est, en quelque sorte, de « privatiser » la justice. Le consensus actuel est de dire que l’on a des intermédiaires purement techniques, auxquels on dit ‘Vous n’avez pas d’obligation de surveillance mais si ce contenu est illicite, vous devez le retirer‘. De cette position, la tentation est de faire reposer sur ces mêmes intermédiaires une obligation d’appréciation de la licéité des contenus.

En juin dernier, la loi Avia allait plus loin mais a été en partie censurée par le Conseil constitutionnel…
La loi Avia voulait que les contenus manifestement illicites – le terrorisme et la pédopornographie – soient retirés dans l’heure ; les appels à la haine sous 24h. Le Conseil constitutionnel a estimé que ces délais imposés ne permettaient pas de saisir le juge judiciaire, gardien des libertés. Ce qui revenait à cette « privatisation » de la justice sans voie de recours, pourtant nécessaire dans un état de droit. Aucun particulier ne va faire une procédure contre les Gafa pour voir son contenu republié, quand bien même il aurait raison sur le fond.

Le Conseil constitutionnel a ramené la suppression du contenu à un « délai raisonnable » mais maintenu des sanctions financières élevées : 1,250 millions d’ pour les personnes morales par infraction…
Face à ces montants, dès qu’il y a un signalement, les plateformes ne vont pas prendre de risque et retirer les contenus. Cette privatisation de la justice peut entraîner à terme une privation de la liberté d’expression. Les juges ont 150 ans de jurisprudence sur l’injure et la diffamation et il y a pourtant toujours des débats. La haine envers une communauté de personnes (sur la base de l’appartenance à une ethnie, une religion…) peut être encore plus subjective et est en tout état de cause un concept plus récent. Ce serait donc normal qu’il revienne aux juges de l’apprécier.

Quelles peuvent être les solutions ?
Il faut pouvoir trouver un équilibre entre la liberté d’expression dans un état de droit et la sécurité des personnes. C’est un exercice très délicat. Les magistrats qui sont déjà sous l’eau ne peuvent raisonnablement pas se prononcer sur chaque tweet contesté. La tentation peut être grande de le mettre entre les mains d’une autorité administrative, comme le CSA, mais là encore, le spectre d’une censure d’État demeure. Un principe de précaution comme un sas avant publication ou en cas de contestation ? Une chambre judiciaire spécialisée ? On en reviendrait encore à des juges encore plus sursollicités…

Retrouvez l’intégralité de l’entretien dans La Provence.

« Pour décider, il faudrait créer une juridiction rapide, estime Claude-Etienne Armingaud, avocat chez K&L Gates LLP. Mais cela paraît aujourd’hui impossible. »

Retrouvez l’intégralité de l’article dans Les Echos

  1. Consistency mechanism, Guidelines and EDPB RoP
    1. Art. 64 GDPR Opinion on the guarantees to be included in contractual clauses for transfers by a processor toa controller outside the EEA that is subject to GDPR in accordance with its Art. 3.2 (Art. 46.3 (a) GDPR)
  2. Adoption of the minutes and of the agenda, Information given by the Chair
    1. Minutes of the 38th EDPB meeting
    2. Draft agenda of the 39th EDPB meeting
    3. Update on the EDPB Secretariat
    4. Date of (remote) November plenary meeting
  3. Current Focus of the EDPB Members
    1. Pending Art. 65 procedure
    2. International cooperation – GPA – Application Executive Committee
  4. Consistency mechanism, Guidelines and EDPB RoP
    1. Guidelines 09/2020 on the concept of relevant and reasoned objection
    2. EDPB RoP: Amendment to Art. 11.2 RoP
  5. FOR DISCUSSION AND/OR ADOPTION – Expert Subgroups and Secretariat
    1. Cooperation ESG Working group on Brexit-related matters
  6. Any other business