Le Cabinet K&L Gates est classé avec « Forte Notoriété – Band 1″ avec Claude-Etienne Armingaud.

SourcesMagazine Décideurs

Retour sur l’ordonnance de référé du Tribunal de grande instance de Paris du 2 août 2019 rendue dans le contentieux ayant opposé la société Mile High Distribution à la société Orange S.A. Que faut-il en retenir ?

TGI Paris, réf., 2 août 2019

Si, et notamment depuis la publication du Règlement Général sur la Protection des Données nº 2016/679 (« RGPD »), la vie privée occupe toujours une place prépondérante, le considérant 4 du RGPD relativise la portée de ce texte : « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Ainsi, la protection des données personnelles continue-elle d’être mesurée à ces autres droits fondamentaux, et notamment la liberté d’expression et la liberté d’entreprise.

Par une ordonnance du 2 août 2019 (« l’Ordonnance »), le Tribunal de grande instance (« TGI ») de Paris a dû mettre en balance cette même protection des données à caractère personnel avec la lutte contre la contrefaçon et, en particulier, dans le cadre de données relatives à des infractions et leur transfert en dehors de l’Union européenne (« UE »). Finalement, le Tribunal a tranché en faveur de la vie privée des pirates, au détriment des auteurs et de leurs ayants droit.

(suite…)

Le 26 février 2019, le Comité Européen de la Protection des DonnéesCEPD ») publiait un premier rapport (« First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities » (le « Rapport »)) sur l’application du Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), dans lequel il dressait un bilan au 31 janvier 2019 des amendes prononcées par onze autorités de contrôle, pour un montant total de 55.955.871 euros. Bien qu’une large proportion de cette somme réside dans une seule sanction française de 50 millions d’euros, force est de constater que l’absence de publicité systématique des décisions des autorités de contrôle (quand bien même elles auraient, à l’instar de la CNIL, la qualité de « juridiction ») rend impossible un recensement exhaustif des sanctions prononcées à l’aune du RGPD. Néanmoins, dans le cadre de notre veille juridique, nous avons pu tracer directement (sites officiels des autorités de contrôle et du CEPD) ou indirectement (articles de presse, e.g. à la lecture d’un article de presse allemande interrogeant notamment un commissaire à la protection des données allemand, on apprend par exemple, qu’au moins 41 décisions auraient été rendues par les autorités allemandes alors qu’une seule sanction allemande a été relayée par le CEPD.) une soixantaine de sanctions (sur les 206.326 plaintes recensées par le CEPD dans son Rapport), prononcées par 20 des 28 États Membres de l’Union européenne, pour un montant cumulé de près de 370 millions d’euros (Les annonces d’intentions de sanctions de l’Information Commissionner Office, l’autorité de contrôle britannique (« ICO »), représentant à elles seules 85% de ce montant, restent encore à confirmer). Le présent article s’essaye à une analyse sur cette base aux fins d’esquisser un bilan et les perspectives de cette première année d’application du RGPD.

(suite…)

Le feuilleton de l’été de la Revue Lamy Droit de l’Immatériel s’apprête à tirer sa révérence après les contributions de ce numéro aoûtien. Après avoir exploré le consentement sous ses différentes facettes1)Voir Armingaud C.-E., Ligot A., « Consentement : Le Faux-Amis des Bases Légales ? » et « Profilage, décisions individuelles automatisées et … Continue reading , les obligations de transparence et leurs interpolations avec le futur règlement ePrivacy2)Voir Armingaud C.-E., Selosse V, « En attendant ePrivacy – Les données personnelles sont une tragicomédie en deux actes » et « … Continue reading , nous concluons ce dossier spécial sur des notes prospectives et pourtant, ô combien cruciales pour l’ensemble des personnes affectées par le Règlement Général sur la Protection des Données – qu’elles soient « personnes concernées » ou « responsables du traitement » : les sanctions prononcées à l’aune du RGPD et le revers de cette pièce, la portée géographique du RGPD.

Conclure sur ces points était un choix délibéré. En effet, depuis l’entrée en vigueur du RGPD, les chroniques ne cessent d’être défrayées – les investigations des autorités de contrôle, nationales comme européenne, se succèdent, et nous souhaitions pouvoir offrir un panorama le plus complet possible. Si cette analyse ne manquera pas de devenir rapidement obsolète, elle permet d’ores et déjà de dresser des tendances globales sur la priorisation des risques après quatre trimestres d’application et servir de matrice aux mises à jour qui lui succèderont. De même, si le périmètre d’application géographique du RGPD constitue un point d’inquiétude majeur des acteurs extra-européens, menant souvent à des réactions paranoïaques de ségrégation de marché et de rupture d’accès pour les utilisateurs européens, à l’heure où nous mettons sous presse ce numéro, des lignes directrices modifiées et définitives sur ce sujet sont toujours attendues. Cela souligne à quel point les institutions européennes elles-mêmes ont pu sous-estimer la tâche qui leur incombait.

En quelques mois, la RGPD aura tout de même réussi son plus ambitieux pari : faire de la protection des données à caractère personnel un enjeu mondial de société. Si le Japon a déjà obtenu le précieux sésame d’une reconnaissance d’adéquation de son système interne au RGPD3) Voir la communication de la Commission Européenne du 23 janvier 2019, nombreux sont ceux qui suivent ses traces4)Notamment la Corée du Sud et, début septembre, l’Inde alors que d’autres s’empressent d’adopter un cadre national5)Notamment le Brésil et le Panama au total, le nombre de lois de protection des données dans le monde est passé de 120 à 132 entre 2016 et 2018 et … Continue reading. Même aux États-Unis, l’entrée en vigueur du CCPA6)Le California Consumer Privacy Act of 2018 qui entrera en vigueur le 1er janvier 2020. ouvre aujourd’hui un débat à l’échelle fédérale.

Seule certitude pérenne, en tout État de cause : le RGPD est là, bien là, et continuera d’alimenter les colonnes de la RLDI pour les années à venir…

En espérant que ce dossier spécial, à défaut de certitudes, aura su vous apporter les outils nécessaires à la mise en conformité, toute l’équipe du cabinet K&L Gates vous souhaite une belle rentrée !

Première publication : Revue Lamy Droit de l’Immatériel, 163, 01-10-2019, avec l’aimable autorisation de Lionel Costes

References

References
1 Voir Armingaud C.-E., Ligot A., « Consentement : Le Faux-Amis des Bases Légales ? » et « Profilage, décisions individuelles automatisées et publicité ciblée : to agree, or not to agree, is that the question ? », Armingaud C.-E., Kurochkina O., RLDI 2019/ nº 160, p. 44 à p. 49
2 Voir Armingaud C.-E., Selosse V, « En attendant ePrivacy – Les données personnelles sont une tragicomédie en deux actes » et « L’essentiel ne saurait être invisible pour les yeux – Retour sur les lignes directrices sur la transparence », RLDI 2019/161 p. 47 à p. 53
3 Voir la communication de la Commission Européenne du 23 janvier 2019
4 Notamment la Corée du Sud et, début septembre, l’Inde
5 Notamment le Brésil et le Panama au total, le nombre de lois de protection des données dans le monde est passé de 120 à 132 entre 2016 et 2018 et 28 autres lois sont en cours de discussion, Global Data Privacy Laws 2019: 132 National Laws & Many Bills, Graham Greenleaf
6 Le California Consumer Privacy Act of 2018 qui entrera en vigueur le 1er janvier 2020.

Entretien avec Atlantico.fr – 18 juillet 2019

Atlantico : Certaines applications qui permettent à une personne de modifier des photos prises sur son portable avec des filtres divertissants disposent de conditions générales d’utilisation particulièrement gênantes. L’une d’entre elles, FaceApp, demande par exemple l’autorisation d’utiliser l’image de l’utilisateur à n’importe quel moment. Faut-il mettre ce problème sur le dos du consommateur imprudent, ou sur celui des services numériques qui rédigent volontairement des clauses de ce type ? Les conditions générales ne sont-elles pas généralement trop complexes, trop nombreuses ou trop longues pour que l’accord de l’utilisateur ait une validité juridique ?

Claude-Etienne Armingaud : On voit ici l’un des effets pervers de la viralité des usages au travers de l’environnement numérique et, dans une certaine mesure, ce que les anglo-saxons appellent le FoMo (« Fear of Missing out ») — tout le monde le fait, et je veux en être.

(suite…)

Quels sont les principaux apports des lignes directrices sur la transparence du 29 novembre 2017 révisées le 11 avril 2018 ?

La transparence, plus qu’une simple obligation légale1)Article 5.2 du RGPD et, de plus en plus morale pour les entreprises, matérialise la pierre angulaire du RGPD2)Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »).. Elle est, intrinsèquement, liée tant à l’équité d’un traitement de données personnelles qu’au nouveau principe dit d’« accountability »3)A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que … Continue reading. Du point de vue de la personne concernée, la transparence permet de susciter sa confiance, par la fourniture des éléments de réponses aux grandes questions relatives aux traitements considérés : par qui, pour quoi et comment ses données seront utilisées. Et lorsque qu’il est requis, le consentement verra sa validité conditionnée à cette transparence, faute de quoi il ne saurait être « éclairé »4)Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 … Continue reading.

Compte tenu de l’importance du sujet, le CEPD a adopté des lignes directrices sur ce sujet le 29 novembre 20175)Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci … Continue reading, révisées le 11 avril 2018. Ces lignes directrices visent à détailler et décliner de manière didactique l’obligation de transparence à la pratique des entreprises, et orienter l’approche que les responsables de traitement devraient adopter, en intégrant à leurs mesures de transparence les notions d’équité et de responsabilité.

(suite…)

References

References
1 Article 5.2 du RGPD
2 Règlement Général sur la Protection des Données nº 2016-679 du 27 avril 2016 (« RGPD »).
3 A cet égard, si la traduction officielle fait usage de « principe de responsabilité », et que la CNIL utilise le terme anglais, nous estimons que la locution « principe de responsabilisation » serait plus adapté à illustrer l’autorégulation des acteurs, préalablement aux éventuels contrôles opérés par les régulateurs.
4 Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel nº 160 – juin 2019
5 Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 WP260 rev.01 (« Lignes Directrices » – par souci d’homogénéité et dans la mesure où les Lignes Directrices ont été avalisées par le Comité Européen pour la Protection des Données (« CEPD »), nous parlerons par la suite du CEPD et non du G29).

Si l’année écoulée a été marquée par l’engouement (voire l’affolement) suscité par l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »), le cadre posé par ce nouveau règlement ne couvre qu’une partie de la politique européenne pour encadrer le développement d’une confiance en ligne mise à jour. En effet, et comme son nom l’indique, le RGPD a une vocation générale, susceptible d’être complété par des dispositions spécifiques, notamment à certains secteurs. Peut-être trop optimiste, le RGPD prévoyait l’adoption concomitante d’une révision du cadre sectoriel de la protection des données applicable aux communication électroniques le 25 mai 2018. Un an après, et six présidences du Conseil de l’Union européenne après la soumission d’une première proposition de ce règlement « ePrivacy »[1], les débats entre les États membres de l’Union Européenne, et le lobbying des acteurs, privés comme publics, continuent de faire rage. 2019 sera-t-elle seulement la bonne année ?


(suite…)

Depuis plus d’un an, nous assistons à une génération spontanée de demandes d’acceptation à la mise en œuvre de traitement de données à caractère personnel (« Données Personnelles »). Trop nombreux sont ceux qui pensent encore qu’elles ne peuvent être traitées que sous réserve du consentement des personnes concernées.

(suite…)

Le 25 mai 2018 – il y a un an déjà, mais pourtant, il n’y a qu’un an seulement. Les deux années de préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD ») ont donné lieu à une abondance de communications sur les sanctions substantielles d’un manque de conformité, et pourtant…Force est de constater que cette préparation fut plutôt timorée. Sans doute les réminiscences d’un bug de l’an 2000 et de son « pschitt » retentissant, mais surtout l’absence de cadre réglementaire complet, ont-elles suscité une approche attentiste au regard des investissements, humains, opérationnels et financiers, conséquents d’une mise en conformité potentiellement temporaire.

Le temps de l’attente a très rapidement fait place à celui de l’action.

Action interprétative, tout d’abord, avec les publications successives de lignes directrices didactiques par le régulateur européen, les consultations ouvertes aux acteurs de la donnée à caractère personnel, et surtout, les autorités de supervisions nationales. Les premières sanctions nationales continuent de tomber dans chaque État-Membre et soulignent les disparités persistantes malgré l’ambition harmonisatrice du RGPD.

Action opérationnelle, également, avec la prise de conscience globale des responsables de traitements et, surtout des sous-traitants, à travers le monde. Si ces derniers semblent avoir opportunément saisi l’excuse du RGPD pour renégocier à leur avantage les termes de leurs contrats de services, invoquant la nécessaire mise en conformité réglementaire, face à des clients parfois peu au fait des tenants et aboutissant de ce texte, le marché dans son ensemble a rapidement gagné en maturité.

Action préventive, aussi, et parfois à l’extrême, avec la fermeture par des acteurs non-Européens des accès à des services fournis aux utilisateurs européens.

Action internationale, enfin, avec les prémices d’un effet collatéral attendu d’une réglementation européenne au périmètre extraterritorial. Le Japon a pu obtenir la première décision d’adéquation d’une législation étrangère au RGPD. La République de Corée, le Brésil, le Maroc, le Qatar, le Panama et d’autres s’activent à mettre à jour leur droit interne en raison du RGPD et de ce sésame européen qui libéraliserait les transferts de données dans une économie intrinsèquement numérique et irrémédiablement globale.

Dans le même temps, les questions continuent de s’accumuler : la portée extraterritoriale du RGPD a-t-elle une quelconque matérialité sans point d’attache pour exécuter une éventuelle sanction ? Quel partage de responsabilité entre les différents acteurs d’une même chaîne de valeur ? Les principes généraux du RGPD peuvent-ils réellement trouver à s’appliquer à des cas de marges ?

La « saga » du RGPD ne fait que commencer. Nous avons conçu ce dossier à la manière d’un feuilleton. À défaut d’être en mesure de proposer toutes les vérités absolues, nous nous sommes penchés sur les questions immuables qu’il convient de se poser.

Les Shadoks préféraient pomper d’arrache-pied, même s’il ne se passe rien, que de risquer qu’il ne se passe quelque chose de pire en ne pompant pas. Cette philosophie n’est pas sans rappeler parfois les données à caractère personnel. Pompier… bon œil ?

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019

Cité par :

Le Cabinet K&L Gates est classé « Excellent » avec E. Drouard & Claude-Etienne Armingaud.

Source : Magazine Décideurs