La CNIL publie une version actualisee de ses lignes directrices sur les cookies et autres traceurs

octobre 1st, 2020 | Posted by Claude-Etienne Armingaud in Données Personnelles - (0 Comments)

Suite à la décision du Conseil d’État du 19 juin 2020 (voir notre alerte en anglais ici), la Commission nationale de l’informatique et des libertés (la « CNIL »), a publié le 1er octobre 2020 ses lignes directrices (les «Lignes Directrices »), abrogeant et remplaçant ses précédentes lignes directrices publiées le 4 juillet 2019 (les « Lignes Directrices 2019 ») et a adopté parallèlement ses recommandations proposant des modalités pratiques (« les Recommandations ») sur les cookies et autres traceurs (ensemble les « Cookies »).

Lire la suite sur Le Monde du Droit, avec Lucile Rolinet & Laure Comparet.

La CNIL publie une version actualisee de ses lignes directrices sur les cookies et autres traceurs

octobre 1st, 2020 | Posted by Claude-Etienne Armingaud in cookies | Données Personnelles - (0 Comments)

Suite à la décision du Conseil d’État du 19 juin 2020 (voir notre alerte en anglais ici), la Commission nationale de l’informatique et des libertés (la « CNIL »), a publié le 1er octobre 2020 ses lignes directrices (les «Lignes Directrices »), abrogeant et remplaçant ses précédentes lignes directrices publiées le 4 juillet 2019 (les « Lignes Directrices 2019 ») et a adopté parallèlement ses recommandations proposant des modalités pratiques (« les Recommandations ») sur les cookies et autres traceurs (ensemble les « Cookies »).

Conformément à la modification de la position du Comité Européen de la Protection des Données (CEPD – voir notre alerte en anglais ici), ces Lignes Directrices apportent des précisions sur des mesures-clés pour les éditeurs de services et de contenus en ligne (les « Éditeurs ») telles que :

(suite…)

Comparatif des Lignes Directrices de la CNIL sur les Cookies & Autres Traceurs

octobre 1st, 2020 | Posted by Claude-Etienne Armingaud in cookies - (0 Comments)

Délibération n° 2019-093 du 4 juillet 20192020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ouet écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») (rectificatif) et abrogeant la délibération NOR : CNIL1920776Z JORF 0166 2019-093 du 194 juillet 2019

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

(suite…)

38th EDPB Meeting

septembre 15th, 2020 | Posted by Claude-Etienne Armingaud in Données Personnelles - (0 Comments)
  1. Adoption of the minutes and of the agenda, Information given by the Chair
    1. Minutes of the 37th EDPB meeting
    2. Draft agenda of the 38th EDPB meeting
    3. Appointment of the new Commissioners of the Italian and Czech DPA
    4. Information regarding the exchange of views with the LIBE Committee on the recent CJEU Schrems II judgment
    5. WSJ recent press article – Sharing information on salient topics escalated in public sphere.
  2. Current Focus of the EDPB Members
    1. Task force 101 complaints
    2. Art. 64.2 opinion request by FR SA on an Art. 46.3(b) administrative arrangement between the French auditor oversight authority (H3C) and the PCAOB (confirm mandate for rapporteur)
  3. FOR DISCUSSION AND/OR ADOPTION – Expert Subgroups and Secretariat
    1. Enforcement ESG
      1. Coordinated Enforcement Framework
      2. Exchange of Information in Relevant Cases
    2. RoP Drafting Team
      1. Publication of guidance on the drafting of plenary minutes
    3. Cooperation ESG
      1. Administrative cooperation between EU and Supervisory Authorities in third countries
  4. Any other business

, ,

Classement Decideurs 2020 – Technologies, internet & Telecommunications – Droit des donnees personnelles – France

avril 13th, 2020 | Posted by Claude-Etienne Armingaud in Blockchain | Données Personnelles | France | Logiciel | Signature Electronique | Technologies | Véhicules Connectés - (0 Comments)

Le Cabinet K&L Gates est classé avec « Forte Notoriété – Band 1″ avec Claude-Etienne Armingaud.

SourcesMagazine Décideurs

Les pirates sont des personnes concernées comme les autres – Le RGPD à l’abordage !

novembre 1st, 2019 | Posted by Claude-Etienne Armingaud in Données Personnelles - (0 Comments)

Retour sur l’ordonnance de référé du Tribunal de grande instance de Paris du 2 août 2019 rendue dans le contentieux ayant opposé la société Mile High Distribution à la société Orange S.A. Que faut-il en retenir ?

TGI Paris, réf., 2 août 2019

Si, et notamment depuis la publication du Règlement Général sur la Protection des Données nº 2016/679 (« RGPD »), la vie privée occupe toujours une place prépondérante, le considérant 4 du RGPD relativise la portée de ce texte : « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Ainsi, la protection des données personnelles continue-elle d’être mesurée à ces autres droits fondamentaux, et notamment la liberté d’expression et la liberté d’entreprise.

Par une ordonnance du 2 août 2019 (« l’Ordonnance »), le Tribunal de grande instance (« TGI ») de Paris a dû mettre en balance cette même protection des données à caractère personnel avec la lutte contre la contrefaçon et, en particulier, dans le cadre de données relatives à des infractions et leur transfert en dehors de l’Union européenne (« UE »). Finalement, le Tribunal a tranché en faveur de la vie privée des pirates, au détriment des auteurs et de leurs ayants droit.

(suite…)

Surveiller et punir à l’aune du RGPD : l’harmonisation a l’epreuve de la diversite europeenne

octobre 4th, 2019 | Posted by Claude-Etienne Armingaud in Communication | Données Personnelles | Europe | Presse - (0 Comments)

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)

, , ,

« RGPD, An I » : Suite et fin… des débuts !

octobre 1st, 2019 | Posted by Claude-Etienne Armingaud in Données Personnelles - (0 Comments)

Le feuilleton de l’été de la Revue Lamy Droit de l’Immatériel s’apprête à tirer sa révérence après les contributions de ce numéro aoûtien. Après avoir exploré le consentement sous ses différentes facettes1)Voir Armingaud C.-E., Ligot A., « Consentement : Le Faux-Amis des Bases Légales ? » et « Profilage, décisions individuelles automatisées et … Continue reading , les obligations de transparence et leurs interpolations avec le futur règlement ePrivacy2)Voir Armingaud C.-E., Selosse V, « En attendant ePrivacy – Les données personnelles sont une tragicomédie en deux actes » et « … Continue reading , nous concluons ce dossier spécial sur des notes prospectives et pourtant, ô combien cruciales pour l’ensemble des personnes affectées par le Règlement Général sur la Protection des Données – qu’elles soient « personnes concernées » ou « responsables du traitement » : les sanctions prononcées à l’aune du RGPD et le revers de cette pièce, la portée géographique du RGPD.

Conclure sur ces points était un choix délibéré. En effet, depuis l’entrée en vigueur du RGPD, les chroniques ne cessent d’être défrayées – les investigations des autorités de contrôle, nationales comme européenne, se succèdent, et nous souhaitions pouvoir offrir un panorama le plus complet possible. Si cette analyse ne manquera pas de devenir rapidement obsolète, elle permet d’ores et déjà de dresser des tendances globales sur la priorisation des risques après quatre trimestres d’application et servir de matrice aux mises à jour qui lui succèderont. De même, si le périmètre d’application géographique du RGPD constitue un point d’inquiétude majeur des acteurs extra-européens, menant souvent à des réactions paranoïaques de ségrégation de marché et de rupture d’accès pour les utilisateurs européens, à l’heure où nous mettons sous presse ce numéro, des lignes directrices modifiées et définitives sur ce sujet sont toujours attendues. Cela souligne à quel point les institutions européennes elles-mêmes ont pu sous-estimer la tâche qui leur incombait.

En quelques mois, la RGPD aura tout de même réussi son plus ambitieux pari : faire de la protection des données à caractère personnel un enjeu mondial de société. Si le Japon a déjà obtenu le précieux sésame d’une reconnaissance d’adéquation de son système interne au RGPD3) Voir la communication de la Commission Européenne du 23 janvier 2019, nombreux sont ceux qui suivent ses traces4)Notamment la Corée du Sud et, début septembre, l’Inde alors que d’autres s’empressent d’adopter un cadre national5)Notamment le Brésil et le Panama au total, le nombre de lois de protection des données dans le monde est passé de 120 à 132 entre 2016 et 2018 et … Continue reading. Même aux États-Unis, l’entrée en vigueur du CCPA6)Le California Consumer Privacy Act of 2018 qui entrera en vigueur le 1er janvier 2020. ouvre aujourd’hui un débat à l’échelle fédérale.

Seule certitude pérenne, en tout État de cause : le RGPD est là, bien là, et continuera d’alimenter les colonnes de la RLDI pour les années à venir…

En espérant que ce dossier spécial, à défaut de certitudes, aura su vous apporter les outils nécessaires à la mise en conformité, toute l’équipe du cabinet K&L Gates vous souhaite une belle rentrée !

Première publication : Revue Lamy Droit de l’Immatériel, 163, 01-10-2019, avec l’aimable autorisation de Lionel Costes

References

References
1 Voir Armingaud C.-E., Ligot A., « Consentement : Le Faux-Amis des Bases Légales ? » et « Profilage, décisions individuelles automatisées et publicité ciblée : to agree, or not to agree, is that the question ? », Armingaud C.-E., Kurochkina O., RLDI 2019/ nº 160, p. 44 à p. 49
2 Voir Armingaud C.-E., Selosse V, « En attendant ePrivacy – Les données personnelles sont une tragicomédie en deux actes » et « L’essentiel ne saurait être invisible pour les yeux – Retour sur les lignes directrices sur la transparence », RLDI 2019/161 p. 47 à p. 53
3 Voir la communication de la Commission Européenne du 23 janvier 2019
4 Notamment la Corée du Sud et, début septembre, l’Inde
5 Notamment le Brésil et le Panama au total, le nombre de lois de protection des données dans le monde est passé de 120 à 132 entre 2016 et 2018 et 28 autres lois sont en cours de discussion, Global Data Privacy Laws 2019: 132 National Laws & Many Bills, Graham Greenleaf
6 Le California Consumer Privacy Act of 2018 qui entrera en vigueur le 1er janvier 2020.

Dans la jungle des conditions generales d’utilisation : savez-vous vraiment à quoi vous consentez lorsque vous utilisez des applications de reconnaissance faciale ?

juillet 18th, 2019 | Posted by Claude-Etienne Armingaud in Communication | Données Personnelles | Entretien | Europe | France - (0 Comments)

Entretien avec Atlantico.fr – 18 juillet 2019

Atlantico : Certaines applications qui permettent à une personne de modifier des photos prises sur son portable avec des filtres divertissants disposent de conditions générales d’utilisation particulièrement gênantes. L’une d’entre elles, FaceApp, demande par exemple l’autorisation d’utiliser l’image de l’utilisateur à n’importe quel moment. Faut-il mettre ce problème sur le dos du consommateur imprudent, ou sur celui des services numériques qui rédigent volontairement des clauses de ce type ? Les conditions générales ne sont-elles pas généralement trop complexes, trop nombreuses ou trop longues pour que l’accord de l’utilisateur ait une validité juridique ?

Claude-Etienne Armingaud : On voit ici l’un des effets pervers de la viralité des usages au travers de l’environnement numérique et, dans une certaine mesure, ce que les anglo-saxons appellent le FoMo (« Fear of Missing out ») — tout le monde le fait, et je veux en être.

(suite…)

, , ,

L’essentiel ne saurait être invisible pour les yeux

juillet 1st, 2019 | Posted by Claude-Etienne Armingaud in Données Personnelles - (0 Comments)

Quels sont les principaux apports des lignes directrices sur la transparence du 29 novembre 2017 révisées le 11 avril 2018 ?

La transparence, plus qu’une simple obligation légale1)Article 5.2 du RGPD et, de plus en plus morale pour les entreprises, matérialise la pierre angulaire du RGPD2)Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »).. Elle est, intrinsèquement, liée tant à l’équité d’un traitement de données personnelles qu’au nouveau principe dit d’« accountability »3)A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que … Continue reading. Du point de vue de la personne concernée, la transparence permet de susciter sa confiance, par la fourniture des éléments de réponses aux grandes questions relatives aux traitements considérés : par qui, pour quoi et comment ses données seront utilisées. Et lorsque qu’il est requis, le consentement verra sa validité conditionnée à cette transparence, faute de quoi il ne saurait être « éclairé »4)Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 … Continue reading.

Compte tenu de l’importance du sujet, le CEPD a adopté des lignes directrices sur ce sujet le 29 novembre 20175)Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci … Continue reading, révisées le 11 avril 2018. Ces lignes directrices visent à détailler et décliner de manière didactique l’obligation de transparence à la pratique des entreprises, et orienter l’approche que les responsables de traitement devraient adopter, en intégrant à leurs mesures de transparence les notions d’équité et de responsabilité.

(suite…)

References

References
1 Article 5.2 du RGPD
2 Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »).
3 A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que la locution « principe de responsabilisation » serait plus adapté à illustrer l’autorégulation des acteurs, préalablement aux éventuels contrôles opérés par les régulateurs.
4 Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 – juin 2019
5 Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci d’homogénéité et dans la mesure où les Lignes Directrices ont été avalisées par le Comité Européen pour la Protection des Données (« CEPD »), nous parlerons par la suite du CEPD et non du G29).