Please enable JS

Actualités

Données personnelles : la Cour de Justice de l’UE invalide le Privacy Shield !

21 juillet 2020

Jeudi 16 juillet, la Cour de Justice de l’Union européenne a déclaré invalide la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 (CJUE, aff. C-311/18 du 16 juillet 2020). Cette décision avait créé le « Privacy Shield », un cadre juridique spécifique qui permettait un transfert de données particulièrement souple entre entreprises localisées sur les territoires de l’Union européenne et des Etats-Unis.

La notion de « transfert de données » couvre un large éventail d’opérations, qu’il s’agisse d’une transmission par envoi sous la forme d’un flux ou l’ouverture d’un accès dans les systèmes d’information en vue de la consultation des données par exemple.

Le « Privacy Shield » permettait aux entreprises situées sur le territoire de l’Union européenne de transférer des données à des entreprises américaines, sous réserve que celles-ci se soient engagées, auprès du Département du Commerce des Etats-Unis, à respecter un certain nombre de règles. Les groupes d’entreprises sont également concernés lorsque les entités s’échangent des données sans avoir recours à un encadrement particulier.

Le respect de ces règles permettait ainsi de considérer que ces entreprises membres du dispositif offraient un niveau de protection des données personnelles équivalent à celui qui existait en Europe. Quelques 5 000 entreprises américaines, parmi lesquelles les plus grandes du secteur des nouvelles technologies, étaient membres du Privacy Shield.

Pour rappel, l’adoption de ce dispositif faisait suite à l’annulation, en 2015, du dispositif précédemment en place dénommé « Safe Harbor », déjà initiée par le collectif de Max Schrems (CJUE, aff. C-362/14 du 6 octobre 2015 « Schrems »).

Cette nouvelle annulation va dans un premier temps contraindre les entreprises soumises à l’application du RGPD à procéder à l’inventaire des différents contrats qui impliquent, notamment lors d’une prestation de service, le recours à une entreprise américaine (par exemple, pour des prestations d’hébergement, des services distants, des plateformes de e-commerce).

Cet inventaire doit permettre d’identifier tous les contrats qui nécessitent ou impliquent un transfert de données personnelles vers ces partenaires américains, afin d’encadrer le transfert de données au moyen d’un des autres outils juridiques disponibles.

En effet, l’invalidation de ce dispositif ne signifie pas la remise en cause de tout échange de données à destination des Etats-Unis : le RGPD prévoit d’autres outils d’encadrement des transferts, tels que les l’emploi de clauses contractuelles spécifiques (par exemple, des clauses contractuelles types ou des règles d’entreprise contraignantes pour les groupes d’entreprises).

Le cabinet SCAN Avocats se tient à votre disposition pour vous accompagner dans cette transition vers de nouveaux modes d’encadrement.

Décision du Conseil d’Etat sur les cookies walls

25 juin 2020

Le 19 juin 2020, le Conseil d’Etat a rendu une décision concernant les lignes directrices publiées par la Cnil en matière de cookies[1], à la suite d’un recours introduit par des professionnels du secteur du numérique.

Ces lignes directrices, qui datent du 4 juillet 2019, ont pour objet de rappeler le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur et notamment l’usage des cookies et autres traceurs.

Dans cette décision, le Conseil d’Etat écarte l’interdiction générale et absolue d’intégrer aux sites internet un « cookie wall », qui bloque l’accès au site à l’internaute qui n’aurait pas consenti au dépôt de cookies et traceurs sur l’appareil qu’il utilise pour naviguer sur internet (ordinateur, tablette, smartphone…).

La Cnil affirmait dans ses lignes directrices que la validité du consentement de l’internaute était soumise à la condition qu’il ne subisse pas d’inconvénient majeur, tel que l’impossibilité d’accéder à un site internet à cause d’un « cookies wall », en cas d’absence ou de retrait de son consentement.

Le Conseil d’Etat indique[2] qu’en interprétant ainsi la validité du consentement des internautes, la Cnil a excédé ses compétences en déduisant une interdiction générale et absolue d’une disposition juridique qui mentionne seulement l’exigence d’un « consentement libre ».

Ainsi, la décision publiée n’a pas pour effet de censurer la délibération de la Cnil mais de rappeler les contours de son pouvoir normatif au regard de sa mission d’accompagnement et d’information vis-à-vis de la réglementation applicable (différence entre règlements types, recommandations, lignes directrices, avis…).

La Cnil indique qu’elle prend acte de cette décision et qu’elle s’y conformera strictement en ajustant le contenu de ses lignes directrices et en précisant les modalités de recueil du consentement des internautes en matière de cookies dans une future recommandation dont la publication est attendue pour cette année 2020.

L’enjeu était de taille dans la mesure où ces lignes directrices, qui livrent aux professionnels l’interprétation de la Cnil de la réglementation applicable, peuvent les conduire à voir prononcées à leur encontre de lourdes sanctions administratives issues de l’entrée en application du RGPD le 25 mai 2018.

La publication des lignes directrices modifiées, ainsi que de la future recommandation, devrait permettre aux acteurs des nouvelles technologies de mettre leur(s) site(s) internet en conformité avec les dispositions relatives à la protection des données personnelles, en sécurisant ainsi un périmètre de non-conformité particulièrement exposé.

[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[2] CE n°434684, 19 juin 2020, paragraphe 10.

2 nouvelles collaboratrices rejoignent SCAN AVOCATS !

12 septembre 2019

Dans le cadre de son développement, SCAN Avocats accueille Camille EDEL et Stéphanie Gouelle en qualité d’avocates collaboratrices en IP/IT, pour renforcer son équipe. Bienvenue à elles ! YesWeSCAN