Post-Brexit EU businesses have needed to rethink how they approach showing compliance with a host of regulations, managing international data transfers and building trust with data subjects. Having to comply with the GDPR, prepare for other data protection bills, all while continuing to comply with the EU-GDPR as well as a host of global regulations means businesses might look to certification as a common system for adequacy as a one-stop shop, when addressing the overlaps and more crucially closing the gaps on their privacy compliance programs.

Featured speakers:

  • Noshin Khan, Senior Compliance Counsel, Ethics Center of Excellence, OneTrust 
  • Claude-Étienne Armingaud, Partner, K&L Gates

Register here.

Depuis l’ouverture au grand public de ChatGPT en 2022, l’intelligence artificielle générative (ou « GenAI » pour Generative Artificial Intelligence) ne cesse d’occuper les sommaires des publications, qu’elles soient expertes ou grand public.

Cette technologie émergente qui permet de créer des contenus textuels, audio, visuels ou autres (« Contenus ») de manière autonome, sur la base de Contenus préexistants polarise l’opinion. D’un côté, des technophiles idéalistes qui voient dans ces développements l’avènement d’une productivité décuplée, et de l’autre, des technophobes qui anticipent un futur dystopien et que d’aucuns taxeraient de luddisme.

Au milieu du vacarme médiatique et de l’explosion cambrienne des nouvelles applications dévoilées chaque jour, il est nécessaire de prendre du recul pour appréhender, à tête froide, les opportunités et les risques de ces évolutions technologiques.

(suite…)

Entretiens croisés en compagnie d’Alexandra Iteanu, Alan Walter du cabinet Walter Billet:

Énormément de sociétés se sont emparé du sujet, confirme Claude-Etienne Armingaud, associé et membre de la pratique droit des nouvelles technologies & propriété intellectuelle de K&L Gates. Pour autant, beaucoup ne se sentent toujours pas concernées, comme notamment des sociétés mères étrangères disposant pourtant parfois de filiales en Europe.

Le panel qui leur était consacré en mars dernier, lors de la conférence IAPP Data Protection Intensive France 2023, s’est quasi transformé en session de psychanalyse collective, tant ils n’ont souvent pas les moyens de conduire leur mission », s’alarme Claude-Etienne Armingaud.

Même si l’on peut s’en réjouir dans l’absolu, avoir voulu d’emblée frapper très loin et très fort
constitue une limite du règlement, analyse Claude-Etienne Armingaud. Dans les faits, il est souvent difficile d’obtenir de juridictions étrangères de se saisir de l’exécution locale de dossiers bâtis sur les obligations européennes du RGPD.

Accédez à l’intégralité de l’article: LJA – La Lettre des Juristes d’Affaires – 29 mai 2023 – N° 1586

Un grand merci à BSMART et Delphine Sabattier de donner de l’écho à la Journée Mondiale de la Protection des Données qui aura lieu ce samedi !

La réglementation (RGPD, Loi Informatique et Libertés) est-elle parfaite ? Non — mais avec ce double anniversaire (45è bougie de la CNIL – Commission Nationale de l’Informatique et des Libertés et 5è de l’entrée en vigueur du #RGPD), focalisons-nous surtout sur les succès de ces normes — entre prise de conscience des entreprises et prise de pouvoir des personnes concernées.

Pour voir toute l’émission >> https://lnkd.in/eQwC3CkM

Pour fêter avec un peu d’anticipation dès ce soir avec IAPP – International Association of Privacy Professionals >> https://lnkd.in/gUN9ivtJ

(et merci à Jean LARROUMETS et Alain Staron, PhD pour nos échanges hors antenne — à poursuivre!)

#DPD23#DataPrivacyDay#DataProtectionDay#MaTeteDansLePoste

« Le pétrole de la nouvelle économie… » C’est souvent par cette expression surannée que sont décrites les données qui résultent de notre utilisation des technologies. Dans le même temps, les géants américains du numérique enchainent les amendes pour non-respect du RGPD[1] (voir notamment la récente amende record prononcée à l’encontre d’Instagram par l’autorité de protection des données irlandaise[2]), et poussent ainsi la Commission européenne à développer de nouveaux outils afin de toujours plus encadrer les utilisations de ces données.

Cette initiative, le « Paquet Numérique », se compose respectivement des DMA[3], DSA[4] et DA[5] et ses objectifs sont clairs – suppléer le RGPD pour les autres données qui seraient issues des utilisateurs, peu important qu’elles fussent personnelles, et instaurer un partage visant une meilleur distribution d’une valeur aujourd’hui accaparée par des acteurs en position quasi-monopolistiques.

(suite…)

Même sans gateau, ni bougie, nous avons bien célébré les enseignements du #RGPD avec Noshin Khan, CIPP/E, CIPM de OneTrust et Olivier Proust. Revivez à la demande notre #webinar d’hier matin >> https://lnkd.in/eGvEyuQU

(et toutes mes excuses à ma maman pour la prendre si souvent en exemple…)

  1. Adoption of the minutes and of the agenda, Information given by the Chair
    1. Minutes of the 37th EDPB meeting
    2. Draft agenda of the 38th EDPB meeting
    3. Appointment of the new Commissioners of the Italian and Czech DPA
    4. Information regarding the exchange of views with the LIBE Committee on the recent CJEU Schrems II judgment
    5. WSJ recent press article – Sharing information on salient topics escalated in public sphere.
  2. Current Focus of the EDPB Members
    1. Task force 101 complaints
    2. Art. 64.2 opinion request by FR SA on an Art. 46.3(b) administrative arrangement between the French auditor oversight authority (H3C) and the PCAOB (confirm mandate for rapporteur)
  3. FOR DISCUSSION AND/OR ADOPTION – Expert Subgroups and Secretariat
    1. Enforcement ESG
      1. Coordinated Enforcement Framework
      2. Exchange of Information in Relevant Cases
    2. RoP Drafting Team
      1. Publication of guidance on the drafting of plenary minutes
    3. Cooperation ESG
      1. Administrative cooperation between EU and Supervisory Authorities in third countries
  4. Any other business

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)

Entretien avec Atlantico.fr – 18 juillet 2019

Atlantico : Certaines applications qui permettent à une personne de modifier des photos prises sur son portable avec des filtres divertissants disposent de conditions générales d’utilisation particulièrement gênantes. L’une d’entre elles, FaceApp, demande par exemple l’autorisation d’utiliser l’image de l’utilisateur à n’importe quel moment. Faut-il mettre ce problème sur le dos du consommateur imprudent, ou sur celui des services numériques qui rédigent volontairement des clauses de ce type ? Les conditions générales ne sont-elles pas généralement trop complexes, trop nombreuses ou trop longues pour que l’accord de l’utilisateur ait une validité juridique ?

Claude-Etienne Armingaud : On voit ici l’un des effets pervers de la viralité des usages au travers de l’environnement numérique et, dans une certaine mesure, ce que les anglo-saxons appellent le FoMo (« Fear of Missing out ») — tout le monde le fait, et je veux en être.

(suite…)

Si l’année écoulée a été marquée par l’engouement (voire l’affolement) suscité par l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »), le cadre posé par ce nouveau règlement ne couvre qu’une partie de la politique européenne pour encadrer le développement d’une confiance en ligne mise à jour. En effet, et comme son nom l’indique, le RGPD a une vocation générale, susceptible d’être complété par des dispositions spécifiques, notamment à certains secteurs. Peut-être trop optimiste, le RGPD prévoyait l’adoption concomitante d’une révision du cadre sectoriel de la protection des données applicable aux communication électroniques le 25 mai 2018. Un an après, et six présidences du Conseil de l’Union européenne après la soumission d’une première proposition de ce règlement « ePrivacy »[1], les débats entre les États membres de l’Union Européenne, et le lobbying des acteurs, privés comme publics, continuent de faire rage. 2019 sera-t-elle seulement la bonne année ?


(suite…)