Entretiens croisés en compagnie d’Alexandra Iteanu, Alan Walter du cabinet Walter Billet:

Énormément de sociétés se sont emparé du sujet, confirme Claude-Etienne Armingaud, associé et membre de la pratique droit des nouvelles technologies & propriété intellectuelle de K&L Gates. Pour autant, beaucoup ne se sentent toujours pas concernées, comme notamment des sociétés mères étrangères disposant pourtant parfois de filiales en Europe.

Le panel qui leur était consacré en mars dernier, lors de la conférence IAPP Data Protection Intensive France 2023, s’est quasi transformé en session de psychanalyse collective, tant ils n’ont souvent pas les moyens de conduire leur mission », s’alarme Claude-Etienne Armingaud.

Même si l’on peut s’en réjouir dans l’absolu, avoir voulu d’emblée frapper très loin et très fort
constitue une limite du règlement, analyse Claude-Etienne Armingaud. Dans les faits, il est souvent difficile d’obtenir de juridictions étrangères de se saisir de l’exécution locale de dossiers bâtis sur les obligations européennes du RGPD.

Accédez à l’intégralité de l’article: LJA – La Lettre des Juristes d’Affaires – 29 mai 2023 – N° 1586

Spécificité propre à cette application, on y accède par cooptation, ce qui attise l’appétit des profanes pour ce club très select que fréquentent Elon Musk, Mark Zuckerberg et Bill Gates. « C’est un très bel outil du point de vue humain et intellectuel, dans lequel les personnes se sentent valorisées », estime l’avocat Claude Armingaud, associé du cabinet K&L Gates. Ce spécialiste du droit des nouvelles technologies et de la propriété intellectuelle est d’ailleurs devenu, comme plusieurs de ses confrères, un membre actif de ClubHouse. Il y anime le salon privé « The Privacy House » dédié à la protection des données personnelles.

Parmi les anomalies recensées, l’information sommaire des utilisateurs au moment de leur inscription et un accès à leurs contacts qui enjambe leur consentement. « Lorsqu’une personne s’inscrit, le réseau accède à tous ses contacts et à leurs numéros de téléphone, ce qui constitue une collecte indirecte de données personnelles au sens du RGPD. En principe, ces contacts doivent être informés de cette collecte au plus tard dans les 30 jours suivants, et doivent être en mesure d’exercer leurs droits d’opposition et d’accès à leurs données à tout moment. Sinon, une telle collecte pourrait constituer une violation majeure et caractérisée du RGPD », décrypte Me Armingaud.

Toutefois, relève Me Armingaud, « le risque existe que la plateforme, qui ne dispose pas encore d’un réel modèle économique, enregistre les conversations pour faire de l’analyse de contenu et du marketing. Si tel est le cas, et qu’elle n’en informe pas les utilisateurs, c’est un manquement au RGPD. Si elle compte le faire ultérieurement, elle devra procéder à cette information », détaille-t-il.

La question de l’enregistrement des conversations se pose avec d’autant plus d’acuité que « ClubHouse travaille avec un prestataire établi en Chine, où, d’ailleurs, l’application est interdite », note l’avocat. La voix est une donnée biométrique ultrasensible qui permet d’identifier la personne et, à travers elle, son état de santé, ses opinions et prises de position, autant d’informations à protéger dans le contexte tendu des relations avec la Chine. « Dès lors qu’elle est associée à un profil, la voix fait l’objet d’une protection renforcée du RGPD. Celui-ci interdit de traiter la voix à des fins d’identification », rappelle Me Armingaud.

Pour l’heure, l’enquête doit permettre d’établir si le RGPD s’applique à la société et si ses règles sont respectées. Si tel n’est pas le cas, « la Cnil pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs » a-t-elle prévenu. Néanmoins, nuance Me Armingaud, en cas de sanction, « la société ne possédant aucun établissement en Europe, rien ne garantit que sa décision sera exécutée aux États-Unis, ce qui serait un véritable camouflet pour le RGPD ».

Lire l’article entretien complet avec Laurence Neuer sur LePoint.fr

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

  • Licéité, loyauté et transparence,
  • Limitation des finalités,
  • Minimisation des données,
  • Exactitude,
  • Limitation de la conservation,
  • Intégrité et confidentialité, et
  • Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

(suite…)

Certains acteurs profitent de la situation pour tromper les consommateurs sur les conséquences légales de leurs offres, au moyen de locutions diverses et variées pour désigner des lettres recommandées électroniques qui n’en sont pas forcément.

La pandémie de Covid-19 a accéléré la numérisation de certains usages et le reconfinement actuel devrait confirmer cette tendance. La lettre recommandée électronique, entre dépôt et remise à toute heure et absence de contact physique, a ainsi connu un véritable essor. Cependant, les prestataires proposant ce service, qui existe depuis 2016 dans un marché ouvert à la concurrence, doivent respecter un cahier des charges strict pour que leurs offres puissent prétendre avoir la même valeur juridique.

Or, certains acteurs profitent de la situation pour tromper les consommateurs sur les conséquences légales de leurs offres, au moyen de locutions diverses et variées pour désigner des LRE qui n’en sont pas forcément. Au regard des conséquences juridiques attachées à une lettre recommandée, une clarification s’impose.

(suite…)

L’interview de Me Claude-Etienne Armingaud, expert en droit des nouvelles technologies (K&L Gates) : « Privatiser la justice entraînerait une privation de liberté« 

Le meurtre de Samuel Paty fait ressurgir le rôle des réseaux sociaux et leur difficile contrôle…
Me Claude-Etienne Armingaud : 
La France a un cadre qui remonte à 1881 sur la liberté d’expression et qui fonctionne plutôt bien. À chaque fois qu’il y a des libertés, il y a en corollaire un devoir. Depuis toujours, le juge judiciaire est le gardien des libertés, c’est lui qui doit dire ce qui est légal ou pas en termes de diffamation. Le problème, c’est que le temps judiciaire n’est pas celui d’internet. La plainte de Samuel Paty pour diffamation après la vidéo du père de famille avait tout son sens. Mais même quand on fait un référé d’heures à heures, on n’a jamais de décision avant 48 heures, ce qui est… la durée de vie d’une information. La viralité entraîne une perte de contrôle totale. La tentation qui galope depuis la loi pour la confiance dans l’économie numérique de 2004, voire même le projet de loi sur la société de l’information de 2001, c’est, en quelque sorte, de « privatiser » la justice. Le consensus actuel est de dire que l’on a des intermédiaires purement techniques, auxquels on dit ‘Vous n’avez pas d’obligation de surveillance mais si ce contenu est illicite, vous devez le retirer‘. De cette position, la tentation est de faire reposer sur ces mêmes intermédiaires une obligation d’appréciation de la licéité des contenus.

En juin dernier, la loi Avia allait plus loin mais a été en partie censurée par le Conseil constitutionnel…
La loi Avia voulait que les contenus manifestement illicites – le terrorisme et la pédopornographie – soient retirés dans l’heure ; les appels à la haine sous 24h. Le Conseil constitutionnel a estimé que ces délais imposés ne permettaient pas de saisir le juge judiciaire, gardien des libertés. Ce qui revenait à cette « privatisation » de la justice sans voie de recours, pourtant nécessaire dans un état de droit. Aucun particulier ne va faire une procédure contre les Gafa pour voir son contenu republié, quand bien même il aurait raison sur le fond.

Le Conseil constitutionnel a ramené la suppression du contenu à un « délai raisonnable » mais maintenu des sanctions financières élevées : 1,250 millions d’ pour les personnes morales par infraction…
Face à ces montants, dès qu’il y a un signalement, les plateformes ne vont pas prendre de risque et retirer les contenus. Cette privatisation de la justice peut entraîner à terme une privation de la liberté d’expression. Les juges ont 150 ans de jurisprudence sur l’injure et la diffamation et il y a pourtant toujours des débats. La haine envers une communauté de personnes (sur la base de l’appartenance à une ethnie, une religion…) peut être encore plus subjective et est en tout état de cause un concept plus récent. Ce serait donc normal qu’il revienne aux juges de l’apprécier.

Quelles peuvent être les solutions ?
Il faut pouvoir trouver un équilibre entre la liberté d’expression dans un état de droit et la sécurité des personnes. C’est un exercice très délicat. Les magistrats qui sont déjà sous l’eau ne peuvent raisonnablement pas se prononcer sur chaque tweet contesté. La tentation peut être grande de le mettre entre les mains d’une autorité administrative, comme le CSA, mais là encore, le spectre d’une censure d’État demeure. Un principe de précaution comme un sas avant publication ou en cas de contestation ? Une chambre judiciaire spécialisée ? On en reviendrait encore à des juges encore plus sursollicités…

Retrouvez l’intégralité de l’entretien dans La Provence.

« Pour décider, il faudrait créer une juridiction rapide, estime Claude-Etienne Armingaud, avocat chez K&L Gates LLP. Mais cela paraît aujourd’hui impossible. »

Retrouvez l’intégralité de l’article dans Les Echos

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)

Si l’année écoulée a été marquée par l’engouement (voire l’affolement) suscité par l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »), le cadre posé par ce nouveau règlement ne couvre qu’une partie de la politique européenne pour encadrer le développement d’une confiance en ligne mise à jour. En effet, et comme son nom l’indique, le RGPD a une vocation générale, susceptible d’être complété par des dispositions spécifiques, notamment à certains secteurs. Peut-être trop optimiste, le RGPD prévoyait l’adoption concomitante d’une révision du cadre sectoriel de la protection des données applicable aux communication électroniques le 25 mai 2018. Un an après, et six présidences du Conseil de l’Union européenne après la soumission d’une première proposition de ce règlement « ePrivacy »[1], les débats entre les États membres de l’Union Européenne, et le lobbying des acteurs, privés comme publics, continuent de faire rage. 2019 sera-t-elle seulement la bonne année ?


(suite…)

Depuis plus d’un an, nous assistons à une génération spontanée de demandes d’acceptation à la mise en œuvre de traitement de données à caractère personnel (« Données Personnelles »). Trop nombreux sont ceux qui pensent encore qu’elles ne peuvent être traitées que sous réserve du consentement des personnes concernées.

(suite…)

Le 25 mai 2018 – il y a un an déjà, mais pourtant, il n’y a qu’un an seulement. Les deux années de préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD ») ont donné lieu à une abondance de communications sur les sanctions substantielles d’un manque de conformité, et pourtant…Force est de constater que cette préparation fut plutôt timorée. Sans doute les réminiscences d’un bug de l’an 2000 et de son « pschitt » retentissant, mais surtout l’absence de cadre réglementaire complet, ont-elles suscité une approche attentiste au regard des investissements, humains, opérationnels et financiers, conséquents d’une mise en conformité potentiellement temporaire.

Le temps de l’attente a très rapidement fait place à celui de l’action.

Action interprétative, tout d’abord, avec les publications successives de lignes directrices didactiques par le régulateur européen, les consultations ouvertes aux acteurs de la donnée à caractère personnel, et surtout, les autorités de supervisions nationales. Les premières sanctions nationales continuent de tomber dans chaque État-Membre et soulignent les disparités persistantes malgré l’ambition harmonisatrice du RGPD.

Action opérationnelle, également, avec la prise de conscience globale des responsables de traitements et, surtout des sous-traitants, à travers le monde. Si ces derniers semblent avoir opportunément saisi l’excuse du RGPD pour renégocier à leur avantage les termes de leurs contrats de services, invoquant la nécessaire mise en conformité réglementaire, face à des clients parfois peu au fait des tenants et aboutissant de ce texte, le marché dans son ensemble a rapidement gagné en maturité.

Action préventive, aussi, et parfois à l’extrême, avec la fermeture par des acteurs non-Européens des accès à des services fournis aux utilisateurs européens.

Action internationale, enfin, avec les prémices d’un effet collatéral attendu d’une réglementation européenne au périmètre extraterritorial. Le Japon a pu obtenir la première décision d’adéquation d’une législation étrangère au RGPD. La République de Corée, le Brésil, le Maroc, le Qatar, le Panama et d’autres s’activent à mettre à jour leur droit interne en raison du RGPD et de ce sésame européen qui libéraliserait les transferts de données dans une économie intrinsèquement numérique et irrémédiablement globale.

Dans le même temps, les questions continuent de s’accumuler : la portée extraterritoriale du RGPD a-t-elle une quelconque matérialité sans point d’attache pour exécuter une éventuelle sanction ? Quel partage de responsabilité entre les différents acteurs d’une même chaîne de valeur ? Les principes généraux du RGPD peuvent-ils réellement trouver à s’appliquer à des cas de marges ?

La « saga » du RGPD ne fait que commencer. Nous avons conçu ce dossier à la manière d’un feuilleton. À défaut d’être en mesure de proposer toutes les vérités absolues, nous nous sommes penchés sur les questions immuables qu’il convient de se poser.

Les Shadoks préféraient pomper d’arrache-pied, même s’il ne se passe rien, que de risquer qu’il ne se passe quelque chose de pire en ne pompant pas. Cette philosophie n’est pas sans rappeler parfois les données à caractère personnel. Pompier… bon œil ?

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019

Cité par :