The UK government has unveiled its much-trailed plans to reform its data protection laws, outlined in a consultation document which is open for public comment until 19 November 2021.

Since Brexit was finalised at the start of 2021, the United Kingdom has retained much of the EU General Data Protection Regulation. The government’s plans, if implemented, would see the UK move away from the EU’s approach in several key ways, which may lead to trouble for the continuation of the adequacy decision granted by the EU in June. If terminated, the adequacy decision, currently permitting free flows of personal data between the EU and the UK, could cause increased costs and bureaucracy for businesses on both sides of the Channel to continue their data transfers. 

Some of the changes to the UK GDPR proposed in the consultation document are:

  • Making the legitimate interests lawful basis easier to use, by publishing a limited, exhaustive list of legitimate interests that organisations can use without having to complete a balancing test.
  • Removal of the right to human review of decisions made on the basis of solely automated data processing.
  • Introducing a fee for responding to subject access requests and allowing organisations to refuse to comply with requests at a lower threshold than “manifestly unfounded”, as allowed in the current legislation.

The proposals also introduce potential changes to the UK’s Privacy and Electronic Communications Regulations, including:

  • Increasing the current maximum penalty of £500,000 for breaches of the direct marketing regulations to the higher of 4% of global turnover or £17.5 million, thereby matching the maximum penalty under UK GDPR.
  • Removing the requirement for websites to obtain consent before serving some analytics cookies.
  • Extending the “soft opt in” for direct marketing to organisations other than businesses, such as charities and political parties.

First publication: Cyber Law Watch with Noirin McFadden

Le 1er janvier 2021, la période de transition du Brexit (Période de Transition) est enfin arrivée à terme et le Royaume-Uni a officiellement finalisé sa sortie de l’Union européenne (UE). L’accord commercial post Brexit (Accord) négocié à la dernière minute devrait permettre une transition plus douce sur le plan de la protection des données, dans la mesure où le Règlement Général sur la Protection des Données (RGPD) a cessé d’être directement applicable au Royaume-Uni. Il a également été accordé au Royaume-Uni une période de grâce de six mois afin de négocier une décision d’adéquation qui permettrait le libre transfert de données personnelles de l’UE vers le Royaume-Uni.

Si le Comité Européen de la Protection des Données (CEPD) a modifié le 13 janvier 2021 ses Communications sur le Brexit à la suite de l’Accord (Communications), il ne s’est cependant penché que sur:

  • La question des transferts de données de l’UE vers le Royaume-Uni;
  • La fin du mécanisme dit de « guichet unique » pour le Royaume-Uni; et
  • La nécessité pour les entités britanniques qui seraient soumises au RGPD de désigner un représentant conformément à l’article 27 RGPD.
(suite…)

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)

Entretien avec Atlantico.fr – 18 juillet 2019

Atlantico : Certaines applications qui permettent à une personne de modifier des photos prises sur son portable avec des filtres divertissants disposent de conditions générales d’utilisation particulièrement gênantes. L’une d’entre elles, FaceApp, demande par exemple l’autorisation d’utiliser l’image de l’utilisateur à n’importe quel moment. Faut-il mettre ce problème sur le dos du consommateur imprudent, ou sur celui des services numériques qui rédigent volontairement des clauses de ce type ? Les conditions générales ne sont-elles pas généralement trop complexes, trop nombreuses ou trop longues pour que l’accord de l’utilisateur ait une validité juridique ?

Claude-Etienne Armingaud : On voit ici l’un des effets pervers de la viralité des usages au travers de l’environnement numérique et, dans une certaine mesure, ce que les anglo-saxons appellent le FoMo (« Fear of Missing out ») — tout le monde le fait, et je veux en être.

(suite…)

Depuis plus d’un an, nous assistons à une génération spontanée de demandes d’acceptation à la mise en œuvre de traitement de données à caractère personnel (« Données Personnelles »). Trop nombreux sont ceux qui pensent encore qu’elles ne peuvent être traitées que sous réserve du consentement des personnes concernées.

(suite…)

Le 25 mai 2018 – il y a un an déjà, mais pourtant, il n’y a qu’un an seulement. Les deux années de préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD ») ont donné lieu à une abondance de communications sur les sanctions substantielles d’un manque de conformité, et pourtant…Force est de constater que cette préparation fut plutôt timorée. Sans doute les réminiscences d’un bug de l’an 2000 et de son « pschitt » retentissant, mais surtout l’absence de cadre réglementaire complet, ont-elles suscité une approche attentiste au regard des investissements, humains, opérationnels et financiers, conséquents d’une mise en conformité potentiellement temporaire.

Le temps de l’attente a très rapidement fait place à celui de l’action.

Action interprétative, tout d’abord, avec les publications successives de lignes directrices didactiques par le régulateur européen, les consultations ouvertes aux acteurs de la donnée à caractère personnel, et surtout, les autorités de supervisions nationales. Les premières sanctions nationales continuent de tomber dans chaque État-Membre et soulignent les disparités persistantes malgré l’ambition harmonisatrice du RGPD.

Action opérationnelle, également, avec la prise de conscience globale des responsables de traitements et, surtout des sous-traitants, à travers le monde. Si ces derniers semblent avoir opportunément saisi l’excuse du RGPD pour renégocier à leur avantage les termes de leurs contrats de services, invoquant la nécessaire mise en conformité réglementaire, face à des clients parfois peu au fait des tenants et aboutissant de ce texte, le marché dans son ensemble a rapidement gagné en maturité.

Action préventive, aussi, et parfois à l’extrême, avec la fermeture par des acteurs non-Européens des accès à des services fournis aux utilisateurs européens.

Action internationale, enfin, avec les prémices d’un effet collatéral attendu d’une réglementation européenne au périmètre extraterritorial. Le Japon a pu obtenir la première décision d’adéquation d’une législation étrangère au RGPD. La République de Corée, le Brésil, le Maroc, le Qatar, le Panama et d’autres s’activent à mettre à jour leur droit interne en raison du RGPD et de ce sésame européen qui libéraliserait les transferts de données dans une économie intrinsèquement numérique et irrémédiablement globale.

Dans le même temps, les questions continuent de s’accumuler : la portée extraterritoriale du RGPD a-t-elle une quelconque matérialité sans point d’attache pour exécuter une éventuelle sanction ? Quel partage de responsabilité entre les différents acteurs d’une même chaîne de valeur ? Les principes généraux du RGPD peuvent-ils réellement trouver à s’appliquer à des cas de marges ?

La « saga » du RGPD ne fait que commencer. Nous avons conçu ce dossier à la manière d’un feuilleton. À défaut d’être en mesure de proposer toutes les vérités absolues, nous nous sommes penchés sur les questions immuables qu’il convient de se poser.

Les Shadoks préféraient pomper d’arrache-pied, même s’il ne se passe rien, que de risquer qu’il ne se passe quelque chose de pire en ne pompant pas. Cette philosophie n’est pas sans rappeler parfois les données à caractère personnel. Pompier… bon œil ?

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019

While Capitol Hill is inundated with proposed privacy legislations from the Data Breach Prevention and Compensation Act (DBPCA), the CLOUD Act and the ENCRYPT Act, organizations the world over are trying to understand how to get their own regulations deemed adequate enough to ensure the flow of business in the EU, now that GDPR is a reality.
(suite…)

A la suite de l’amende record contre Google, Claude-Etienne Armingaud revient sur la question et les enjeux majeurs de la protection des données personnelles.

(suite…)

Consacré au développement des véhicules autonomes en France, le rapport Idrac a été rendu public le 14 mai 2018. Son but est notamment d’identifier les actuelles lacunes réglementaires relatives aux véhicules autonomes et d’envisager des pistes pour développer un cadre mieux adapté à son déploiement commercial et son acceptabilité par les utilisateurs.

Le gouvernement en a fait un enjeu stratégique : la France doit devenir le fer-de-lance de l’intelligence artificielle en Europe, voire du monde. Naturellement, le véhicule autonome constitue l’une des briques essentielles de cet édifice, mais si la route est droite, la pente est raide.
(suite…)

La Cour de Justice de l’Union Européenne (« CJUE ») a confirmé la protection accordée à la dénomination sociale de la société française « Forge de Laguiole », mais exclusivement pour les activités effectivement exercées par elle à la date d’enregistrement de la marque, conformément à la jurisprudence française applicable.

(suite…)