Venez célébrer avec nous le #DataPrivacyDay2021 ce jeudi, et échanger sur les évènements à venir dans un cadre informel et dématérialisé (BYOB, évidemment).

Avec les Co-Chairs du KnowledgeNet France de l’IAPP:

Et la Young Privacy Professional volunteer, Meriem Ouarem, Data Privacy Counsel, Schneider Electric.

Inscription sur le site de l’IAPP.

This article names K&L Gates among Global Data Review’s inaugural GDR 100, a ranking of the world’s best data law firms. The GDR 100 is the only global ranking that captures the capabilities, track record, and market reputation of the leading firms in the field. The ranking is based on in-depth submissions submitted by hundreds of law firms around the world, and profiles K&L Gates lawyers including Melbourne partner Cameron Abbott and Paris partner Claude-Etienne Armingaud. Read the article here (subscription required). 

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

  • Licéité, loyauté et transparence,
  • Limitation des finalités,
  • Minimisation des données,
  • Exactitude,
  • Limitation de la conservation,
  • Intégrité et confidentialité, et
  • Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

(suite…)

« Derrière cette « décision éminemment politique » se cache un « clash » juridique. « Aux États-Unis, les données à caractère personnel sont des biens commerciaux monétisables; alors que dans l’UE elles font partie intégrante de nos libertés fondamentales », nous explique Claude-Étienne Armingaud, avocat associé au cabinet K&L Gates. »

« Quelle que soit l’option choisie, la priorité doit demeurer d’assainir cet environnement », analyse Claude-Étienne Armingaud, qui ne perd pas espoir. « Il faut être patient, mais on va y arriver ! Les initiatives comme celles de Max Schrems poussent d’un côté à une reprise en main citoyenne et de l’autre, à une responsabilisation des acteurs. Même si l’équilibre est complexe, sa recherche est saine. »

Retrouvez l’intégralité de l’article sur le site 01net.

  1. Consistency mechanism, Guidelines and EDPB RoP
    1. Art. 64 GDPR Opinion on the guarantees to be included in contractual clauses for transfers by a processor toa controller outside the EEA that is subject to GDPR in accordance with its Art. 3.2 (Art. 46.3 (a) GDPR)
  2. Adoption of the minutes and of the agenda, Information given by the Chair
    1. Minutes of the 38th EDPB meeting
    2. Draft agenda of the 39th EDPB meeting
    3. Update on the EDPB Secretariat
    4. Date of (remote) November plenary meeting
  3. Current Focus of the EDPB Members
    1. Pending Art. 65 procedure
    2. International cooperation – GPA – Application Executive Committee
  4. Consistency mechanism, Guidelines and EDPB RoP
    1. Guidelines 09/2020 on the concept of relevant and reasoned objection
    2. EDPB RoP: Amendment to Art. 11.2 RoP
  5. FOR DISCUSSION AND/OR ADOPTION – Expert Subgroups and Secretariat
    1. Cooperation ESG Working group on Brexit-related matters
  6. Any other business

Suite à la décision du Conseil d’État du 19 juin 2020 (voir notre alerte en anglais ici), la Commission nationale de l’informatique et des libertés (la « CNIL »), a publié le 1er octobre 2020 ses lignes directrices (les «Lignes Directrices »), abrogeant et remplaçant ses précédentes lignes directrices publiées le 4 juillet 2019 (les « Lignes Directrices 2019 ») et a adopté parallèlement ses recommandations proposant des modalités pratiques (« les Recommandations ») sur les cookies et autres traceurs (ensemble les « Cookies »).

Lire la suite sur Le Monde du Droit, avec Lucile Rolinet & Laure Comparet.

  1. Adoption of the minutes and of the agenda, Information given by the Chair
    1. Minutes of the 37th EDPB meeting
    2. Draft agenda of the 38th EDPB meeting
    3. Appointment of the new Commissioners of the Italian and Czech DPA
    4. Information regarding the exchange of views with the LIBE Committee on the recent CJEU Schrems II judgment
    5. WSJ recent press article – Sharing information on salient topics escalated in public sphere.
  2. Current Focus of the EDPB Members
    1. Task force 101 complaints
    2. Art. 64.2 opinion request by FR SA on an Art. 46.3(b) administrative arrangement between the French auditor oversight authority (H3C) and the PCAOB (confirm mandate for rapporteur)
  3. FOR DISCUSSION AND/OR ADOPTION – Expert Subgroups and Secretariat
    1. Enforcement ESG
      1. Coordinated Enforcement Framework
      2. Exchange of Information in Relevant Cases
    2. RoP Drafting Team
      1. Publication of guidance on the drafting of plenary minutes
    3. Cooperation ESG
      1. Administrative cooperation between EU and Supervisory Authorities in third countries
  4. Any other business

On the morning of 16 July 2020, in a significant decision of the Court of Justice of the European Union (CJEU), the Privacy Shield was held to be invalid.

What is the Privacy Shield

The Privacy Shield was an agreement negotiated in 2016 between the United States Department of Commerce, the European Commission and the Swiss Administration to provide a mechanism for companies to transfer personal data from the European Union and Switzerland to the United States. The Privacy Shield was designed to enable companies to transfer personal data across the Atlantic in accordance with EU data protection law that pre-dated the GDPR.

(suite…)

Le Cabinet K&L Gates est classé avec « Forte Notoriété – Band 1″ avec Claude-Etienne Armingaud.

SourcesMagazine Décideurs

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)