Transfert de données : l’évaluation nécessaire des législations étrangères ?

 

 

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Voir aussi :

Transfert de données sur un cloud étranger : la décision Doctolib

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Atteintes aux traitements automatisés de données

 

Droit informatique

Transfert de données sur un cloud étranger : la décision Doctolib

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.

V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937
Le cabinet Roquefeuil offre des services d’analyse juridique RGPD et d’accompagnement à la conformité en partenariat avec des agences de certification.

Voir aussi :

Transfert de données : l’évaluation nécessaire des législations étrangères ?

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Les lignes directrices (délibération 2020-091) et les recommandations CNIL (délibération 2020-092) du 17 septembre 2020 viennent préciser les règles en matière de consentement, dans le prolongement de la directive ePrivacy (2002/58/CE) et des lignes directrices du Comité européen de la protection des données du 4 mai 2020 (5/2020), du RGPD et de l’article 82 de la loi Informatiques et Libertés, des précédenntes délibérations CNIL et des décisions du Conseil d’Etat.

Les traceurs non purement techniques doivent faire l’objet d’une information et d’un consentement. C’est le principe exposé à l’article 82 de la loi Informatique et Libertés.

Cela concerne en particulier les “cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc”.

Les lignes directrices précisent que ce principe s’applique indépendamment du fait que les données collectées soient à caractère personnel ou non, sans bien entendu exclure le RGPD et la loi Informatique et Liberté qui restent applicables et prioritaires sur le sujet des données à caractère personnel – “parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l’identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas d’une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d’exploitation)”.

Responsables conjoints :

L’ensemble des acteurs qui interviennent sur des traceurs de mesure d’audience qui traitent de données personnelles sont considérés comme responsables conjoints, et doivent respecter la règlementation française.

“Le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements”.

En matière de sous-traitance :

“La Commission rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte”, et “qu’un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant. Elle rappelle, à cet égard, que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD”.

Consentement :

La CNIL indique que « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ».

Sur les cookies walls (l’utilisateur ne peut accéder au site s’il n’accepte pas les cookies), la CNIL indique que la méthode est licite mais qu’elle ne devrait pas dispenser qu’une information précise soit fournie sur les différentes finalités poursuivies par les traitements effectués, et recommande ainsi, à l’instar de ce qu’on peut déjà voir sur certains sites, qu’une information de second niveau soit fournie, permettant à l’utilisateur de personnaliser ses choix.

Une acceptation globale des conditions générales d’utilisation du site ne respecte pas le principe du consentement spécifique.

Le consentement suppose une action positive. La simple poursuite de la navigation ou l’utilisation de cases pré-cochées par défaut sont insuffisantes. Il ne s’agit pas toutefois de gêner la navigation. Le refus et le retrait du consentement doivent être facilités.

Les lignes directrices et les recommandations donnent des suggestions, des indications, des exemples.

Preuve :

La recommandation suggère des solutions en matière de conservation de la preuve du consentement, par exemple, “les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori”.

Lignes directrices
Recommandation

Voir aussi :

Réforme des données personnelles : comment se mettre en conformité ?

Transfert de données sur cloud étranger : la décision doctolib

Transfert de données : l’évaluation des législations étrangères

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros-et-facebook-hauteur-de-60-millions#:~:text=de%20la%20loi-,Cookies%20%3A%20la%20CNIL%20sanctionne%20GOOGLE%20%C3%A0%20hauteur%20de%20150%20millions,non%2Drespect%20de%20la%20loi&text=En%20revanche%2C%20ils%20ne%20mettent,le%20d%C3%A9p%C3%B4t%20de%20ces%20cookies.

 

 

 

 

Consultez un avocat en droit informatique et du numérique :

Roquefeuil avocats, Paris

Le droit des cookies, le projet de recommandations

Mise à jour : 17 février 2022 :

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

 

La matière est régie par l’article 82 de la loi Informatique et Libertés transposant l’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques» (directive e-Privacy sur les métadonnées), modifiée en 2009 (directive 2009/136/CE).

Quand le cookie traite des données à caractère personnel le RGPD, la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice », textes qui adressent spécifiquement le thème du traitement des données à caractère personnel (par opposition à d’autres types de données), sont aussi applicables. Ces textes sont aussi transposés ou repris par la loi informatique et libertés.

Les organismes administratifs en charge de ces matières : CNIL(projet de recommandation du 14 janvier 2020, toujours à l’état de projet à l’heure actuelle), CEPD (Comité Européen pour la protection des données, ex-« G29″lignes directrices sur le consentement du 28 nov. 2017, WP 259 rev. 01)) ont livré leurs approches, la CJUE aussi (CJUE 1er oct. 2019, aff. C-673/17, Planet49).

On peut retenir que, pour tout type de traceur (et pas seulement le traditionnel cookie web), le consentement spécifique et positif de l’internaute sur les finalités et les responsables du traitement, sur la portée exacte de son consentement (sa durée notamment), est requis, en particulier en ce qui concerne les traceurs d’audience.

Ce qui suppose une information claire et préalable, sous une « policy » spécifique.

Même le cookie simplement « technique », nécessaire au bon fonctionnement technique du service, ne devrait pas non plus, lui aussi, échapper à cette nécessité, selon la CNIL.

Le simple renvoi de l’internaute au paramétrage de son navigateur pour bloquer ou sélectionner des cookies n’est pas suffisant.

L’éditeur d’un contenu en ligne ne pourra pas se décharger de sa responsabilité sur l’intermédiaire technique ou l’agence de communication auxquels il ferait appel, tant en ce qui concerne les traceurs d’audience que les traceurs déposés par des tiers, dans le sens où il pourra toujours être poursuivi en première ligne.

Une analyse de conformité s’attachera donc à qualifier les différents types de cookies, leurs finalités, leurs responsables, pour identifier le régime juridique exact qui leur est applicable, puis pour mettre en place les modalités de consentement adéquates.

Un contrat très détaillé avec un gestionnaire de consentement pourra être nécessaire, d’autant qu’un  site web évolue en permanence et que les consentements sont donnés pour des durées et des finalités limitées, que les traceurs peuvent changer ou être modifiés : le consentement sera donc à adapter ou à solliciter fréquemment. L’utilisateur devra pouvoir aussi retirer son consentement à tout moment.

La preuve du consentement et de sa conformité devront pouvoir être rapportées, impliquant des audits et des mécanismes de séquestre et d’archivage.

https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf

Le Conseil d’Etat le 19 juin 2020 a remis en cause la recommandation de la CNIL sur les cookies wall laissant entendre que la faculté d’interdire l’accès à un site en cas de refus des cookies avait une légitimité.

 

Consultez un avocat en droit informatique et du numérique :

Roquefeuil avocats, Paris

Cyber-Fraud in Hong Kong,…commission of 5 June 2019

(droitfrancechine.org) Exciting meeting recalling that cyber-fraud is the third most common financial crime after arms and drug trafficking, and is practiced at an industrial level, in particular by fraudulent international transfers through Hong Kong accounts of Chinese companies (12,000 monthly creations) awakened for the occasion. The place is conducive to money laundering. Fraud « to the president » is a privileged sport, which consists in manipulating company’s employees to obtain transfers by means of manoeuvres that lead them to believe that it is a legitimate order (from an executive, a supplier). SWIFT can sometimes be recalled: translate the complaint, use the Registrar of Hong Kong companies, forward it to the Hong Kong Police (online complaint) for the issuance of a no consent order addressed to the Hong Kong bank, to be doubled by a lawyer’s letter, and a detailed statement. Obtain a Mareva Injunction (« in personam, under English law applicable in the Commonwealth, in this increasingly « mandarin » Hong Kong) for the freezing of assets pending a decision on the merits, and a disclosure (Norwish Pharmacal) order to obtain statements by the bank. Assign the fraudsters to Hong Kong (short-circuit action) to request a seizure order in the hands of the bank if the money is still there. These are some of the first steps. (cf. the movie with Vincent Elbaz « je compte sur vous » 2005.

Voir aussi :

2021 : DSA – DMA – La nouvelle réglementation d’Internet en préparation : remarques sur les projets de l’Union Européenne

Consultez un avocat en droit informatique et du numérique :

Roquefeuil avocats, Paris

gdpr : emergency procedures against the controller under EU regulations and French law of procedure

(mise à jour Feb.2022)

French version below

***

This article envisages the ways to engage emergency procedures in the case of an inappropriate use of personal data, especially in view of the new coming EU regulation on that matter, commonly called “GDPR”.

The new EU regulation in that matter, the GDPR, applying from the 25 may 2018, while providing rights of access, of correction and of erasure of his personal data to the benefit of the “data subject” (the person concerned by the processing of his personal data) recalls the necessity to refer to administrative or judicial bodies to obtain sanctions, prohibitions and indemnities.

It is then interesting to investigate and to see what can really be made in matter of emergency, when that person considers itself as a victim of a processing by a “controller” i.e. the entity which processes the data.

Are not dealt here the procedures tending to preserve evidences, or execution routes used to implement judicial decisions or to seize properties, nor some specific cases relating, for instance, to processings related to public, administrative, research, or journalistic purposes, or to the repression of intellectual property rights counterfeiting, to the treatment of sensitive content on internet…)

***

Under French law more and more administrative bodies are empowered with capacites to charge fines and to deliver injunctions in order to preserve the interests of the society, along with traditional prosecutors when legal incriminations are at stake (and to which article 84 of the GDPR refers).

This is the case of the “supervisory authority”, the authority named as this by the new EU GDPR regulation and which, in each Member State and along with its counterparts, intervenes in case of inappropriate use of personal data by a “controller” i.e. a person processing personal data, under this regulation.

The GDPR recalls the possibility for the data subject to lodge a complaint with this “supervisory authority” (art.77) and precises the powers of injunction and of condemnation to fines (art.58 and 83) of this authority, while recalling the necessity for a plaintiff to refer to judicial bodies in order to seek liabilities and to claim for indemnities (art.79, art.82 point 6).

Anyway, before thinking to seek for liabilities, the plaintiff will, above all, seek to stop the damaging situation, as soon as possible. Here he may hesitate with the behaviour to adopt.

The GDPR recommends to follow some amicable steps, and ultimately to refer to the said supervisory authority or to other administrative or judicial bodies.

This process may seem too long and the plaintiff may seek for a quicker answer in front of jurisdictions specialized in emergency procedures.

Let’s try to compare.
The GDPR specific circuit :

The new EU regulation so called GDPR organizes a procedure in order to obtain from the “controller” (the person liable for the data processing) a cessation of the processing of the personal data.

Its article 12 provides that :

“3.The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.”
“4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.”
So, the GDPR grants a one to three months period during which the controller has the time to think to the solution to give to the request addressed to it by the plaintiff (the “data subject”).

However the controller is incited to act quickly and may engage its liability in this regard ;

The article 17 mentions the ability for the plaintiff (the “data subject”) to obtain, from the controller, data erasure on certain grounds, “without undue delay”.

The article 18 combined with the article 21 mentions the ability for the plaintiff to obtain, from the controller, and on certain grounds, as a paliative, a restriction of the processing of data (data is like set aside, hidden, but kept “under the elbow” of the controller), especially when there is a discussion on the legitimate grounds for the processing, and pending the verification whether the legitimate grounds of the controller override those of the data subject.

As a matter of fact a controller shall be tempted to invoke systematically “legitimate interests” to justify the processing, in all the “grey” cases where it is not clearly entitled to process data, and when data is processed for marketing purposes or neighboring purposes.

By the way, on this matter, the article 21 provides, for the benefit of the data subject, on certain grounds and especially when it is made for direct marketing purposes, a right to object to the processing of its personal data, and that the “controller shall no longer process…” and : “Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes”.

So the GDPR organizes a preliminary one to three months administrative stage during which the controller may not give an answer nor satisfy the demand formulated by the data subject, without giving any specific reasons, engaging however its liability if an abusive resistance could be demonstrated by a motivated plaintiff in front of a civil or of a criminal court, or even in front of the supervisory authority.

This may appear somewhat unsatisfying and uncertain to the plaintiff’s view.
The judicial route and the emergency procedures :

Under the French law, preliminary injunctions and damages may be obtained through emergency procedures (said the “référé”) in order to stop damaging situations.

They are taken at risk of the plaintiff and on a provisional basis which means that a court seized of the merits of the case will always be able to reform the decision undertaken in an emergency context and to condemn the plaintiff for abuse.

The French “code de procédure civile” (mainly the article 808 of the code de procédure civile) requires that the the measure solicited by the plaintiff in this regard is not seriously questionable, i.e. into the extent that the case seems usual and obvious and that there is urgency to take the solicited measures, and that these measures are practicable.

On this subject, for instance, the fact that the parties have already engaged discussions about their litigious point is an indication that objections exist. A party who would then attempt to put an ending point to the discussions and to force the satisfaction of its demands by initiating an emergency procedure would then take the risk to be rejected.

However, even in the case where the solicited measure is questionable, an emergency procedure remains available in the case where an imminent damage must be prevented or a “trouble manifestement illicite” (disorder patently illicit, for instance a criminal offense easily qualifiable as such) must be stopped, all notions which suggest that an urgency is implied (art.809 of the code of procedure civile).

However, the demonstration of a manifest disorder may be difficult to make especially without preliminary investigations or discussions.

As regards data processing, the inappropriate use of personal data (including professional data, cf. EU and French case law on the matter) is incriminated by article 226-16 and following of the “code pénal” and punished with imprisonment and fine, and then be revealed, as a “trouble manifestement illicite” allowing to engage an emergency procedure for demanding the withdrawal of the litigious content, and even if a culpability is not yet definitely judged.

The law “Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique” (“law for the trust in the digital economy”) said also “LCEN”, confirms that an emergency procedure may also be engaged against a technical intermediary (internet based platforms, search engines, internet providers…), even if it is not the original infringer :

Article 6.I.8 “L’autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.”
Free translation : “The judicial authority may prescribe, “en référé ou sur requête”, to any person mentioned in 2 [platforms, search engines…] or, failing that, to any person mentioned in 1 [internet providers], any measures likely to prevent damage or to stop an injury caused by the content of a public communication service online.”.

(this text has changed, since, enlarging the judicial possibilities – 17 feb.2022)

The necessity or not to send a formal previous notice before engaging a judicial emergency procedure :

Is a formal previous notice necessary to warn the adversary before engaging a judicial emergency procedure ?

As a rule yes, but a previous formal notice is obviously not recommended in case of real emergency or of real trouble to the public order (for instance : a criminal offense).

On this subject Art. 56 alinéa 3 of the code de procédure civile provides that :

“Sauf justification d’un motif légitime tenant à l’urgence ou à la matière considérée, en particulier lorsqu’elle intéresse l’ordre public, l’assignation précise également les diligences entreprises en vue de parvenir à une résolution amiable du litige.”
Free translation : “Unless there is justification relating to the urgency or to the matter in question, in particular when it concerns public order, the summons also specifies the steps taken to reach a friendly settlement of the dispute.”

Even if the inappropriate use of personal data may form the basis of a criminal offense the common sense will require most of the time that a formal previous notice be made and especially considering that the GDPR requires that previous notice.

When a demand concerns matters such as loss reparation and pecuniary claims not implying an urgency, a formal previous notice would have to be addressed to the adversary, detailing the amount claimed.

In the same manner the aforesaid law “Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique” (“law for the trust in the digital economy”) said also “LCEN”, provides, In its articles 6.I.2, 6.I.3 and 6.I.5 that the liability of the technical intermediary cannot be engaged unless it is proven that, being duly notified (and in a certain manner and with certain precautions) it does not have withdrawn the litigious content.

***

So, in case of emergency, the referral to the specialized judicial body is a gage of rapidity, while the referral , through usual routes, to a criminal or to a civil jurisdiction (or even an administrative jurisdiction) or to an administrative body, such as the “supervisory authority” under the GDPR, may imply long preliminary investigations or discussions before that injunctions be taken or indemnities be granted.

The supervisory authority has powers of injunction and of condemnation to heavy fines (art.83 parag.5, b), but, acting like a prosecutor defending first of all the interests of the society, may be reluctant to act quickly on the mere basis of the claim by an individual and more keen to proceed to enquiries which take time.

The advantage of a referral to the supervisory authority is that it may intervene at the EU level, sometimes in emergency, with the cooperation of other national supervisory authorities. On the contrary, the referral to national civil or criminal courts may be illusory to obtain injunctions and sanctions in cases where foreign aspects are implied. (It is a vertical process / not an horizontal one inter partes)

The criminal jurisdictions intervene mainly to judge criminal liability and to deliver criminal condemnations (mainly imprisonment, fines, accessorily injunctions and indemnities), after thorough investigations.

The civil jurisdictions, in the framework of normal procedures, intervene mainly to judge civil liabilities, to grant indemnities and to deliver injunctions, after a thorough and contradictory discussion.
In COMPARISON the judicial emergency procedure may appear more efficient to solicit, at least at a national level, an immediate cessation of the processing – and alternatively, AT LEAST, an immediate restriction of the said processing without to have to wait the end of a trial on the merits, when the controller is likely to adopt a resistance and a willingness to demonstrate the legitimacy of its processing.

As aforesaid this possibility of “restriction” is provided by the article 18 of the GDPR and this is by the way one of the main contribution of the GDPR compared to the previous EU directive 95/46/CE and to the current French law related to personal data “loi informatique et liberté n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés” (which is currently in the process of re-examination by the parliamentary assemblies).

15.mai 2018

 

***

(version française)

#rgpd : procédures d’urgence contre le responsable du traitement en vertu des règlements de l’UE et du droit français

***

Cet article envisage les procédures à la disposition de la victime dans le cas d’une utilisation inappropriée de données personnelles, notamment en vue du nouveau règlement de l’UE à venir en la matière, communément appelé « RGPD”.

Le RGPD, applicable à compter du 25 mai 2018, tout en prévoyant des droits d’accès, de rectification et d’effacement de ses données personnelles au profit de la « personne concernée » (la personne concernée par le traitement des ses données personnelles) rappelle la nécessité de saisir des organes administratifs ou judiciaires pour obtenir des sanctions, des interdictions et des indemnités.

Il est alors intéressant de voir ce qui peut vraiment être fait en cas d’urgence, lorsque cette personne se considère comme victime d’un traitement par un «responsable de traitement», c’est-à-dire l’entité qui traite les données.

Ne sont pas traitées ici les procédures tendant à préserver des preuves, ou les voies d’exécution utilisées pour mettre en œuvre des décisions judiciaires ou à saisir des biens, ni certains cas spécifiques (relatifs par exemple, aux traitements à des fins publiques, administratives, de recherche ou journalistiques, à la répression des contenus sensibles, ou à la répression de la contrefaçon de droits de propriété intellectuelle).

***

Selon la loi française, de plus en plus d’organes administratifs sont habilités à imposer des amendes et à délivrer des injonctions pour préserver les intérêts de la société, en parallèle avec des procureurs traditionnels lorsque des incriminations légales sont en jeu (article 84 du RGPD) .

C’est le cas de «l’autorité de contrôle», autorité désignée par le nouveau règlement RGPD de l’UE et qui, dans chaque État membre et avec ses homologues, intervient en cas d’utilisation inappropriée de données personnelles par un “responsable de traitement» c’est à dire une personne traitant des données personnelles, en vertu de ce règlement.

Le RGPD rappelle la possibilité pour la personne concernée de porter plainte auprès de cette «autorité de contrôle» (art.77) et précise les pouvoirs d’injonction et de condamnation aux amendes (art.58 et 83) de cette autorité, tout en rappelant la nécessité pour un plaignant de saisir des organes judiciaires afin de rechercher des responsabilités et de réclamer des indemnités (art.79, art.82, point 6).

Quoi qu’il en soit, avant de penser à chercher des responsabilités, le plaignant cherchera surtout à arrêter la situation dommageable, le plus tôt possible. Ici, il peut hésiter dans le comportement à adopter.

Le RGPD recommande de suivre certaines étapes à l’amiable et, en dernier ressort, de se référer à ladite autorité de contrôle ou à d’autres organes administratifs ou judiciaires.

Ce processus peut sembler trop long et le demandeur peut rechercher une réponse plus rapide devant les juridictions spécialisées dans les procédures d’urgence.

Essayons de comparer.
Le circuit spécifique RGPD :

Le nouveau règlement de l’UE appelé RGPD organise une procédure afin d’obtenir du « responsable » (la personne responsable du traitement des données) une cessation du traitement des données personnelles.

Son article 12 dispose que (17 fev.2022 : le texte a changé depuis, élargissant les pouvoirs du juge)

« 3.Le responsable du traitement fournit sans tarder des informations sur les suites données à une demande au titre des articles 15 à 22 à la personne concernée et, dans tous les cas, dans le mois suivant la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. Le responsable du traitement informe la personne concernée de cette extension dans le mois qui suit la réception de la demande, ainsi que les raisons du retard. Lorsque la personne concernée en fait la demande par un moyen électronique, les informations sont fournies par des moyens électroniques lorsque cela est possible, sauf demande contraire de la personne concernée. « 
« 4. Si le responsable du traitement n’intervient pas à la demande de la personne concernée, le responsable du traitement informe la personne concernée sans délai et au plus tard dans le mois de la réception de la demande des raisons de ne pas agir et de la possibilité de déposer plainte auprès d’une autorité de surveillance et demandant un recours judiciaire. « 

Ainsi, leRGPD accorde une période de un à trois mois pendant laquelle le responsable du traitement a le temps de réfléchir à la solution à donner à la demande qui lui est adressée par le demandeur (la «personne concernée»).

Cependant, le responsable est incité à agir rapidement et peut engager sa responsabilité à cet égard.

L’article 17 mentionne la possibilité pour le plaignant (la « personne concernée ») d’obtenir, auprès du responsable du traitement, l’effacement des données pour certains motifs, « sans retard injustifié ».

L’article 18 combiné avec l’article 21 mentionne la possibilité pour le demandeur d’obtenir du responsable, et pour certains motifs, en tant que paliatif, une restriction du traitement des données (les données sont comme mises de côté, cachées, mais conservées sous le coude « du contrôleur), en particulier lorsqu’il y a une discussion sur les motifs légitimes du traitement, et en attendant la vérification sur le point de savoir si les motifs légitimes du responsable du traitement l’emportent sur ceux de la personne concernée.

En effet, un responsable du traitement sera tenté d’invoquer systématiquement des « motifs légitimes » pour justifier le traitement, dans tous les cas « grisés » où il n’est pas spécifiquement autorisé à traiter des données, notamment lorsque des données sont traitées à des fins de marketing ou à des fins approchantes.

Sur ce dernier point il faut noter que l’article 21 prévoit, pour le bénéfice de la personne concernée, pour certains motifs et en particulier lorsqu’il est fait à des fins de marketing direct, un droit de s’opposer au traitement de ses données personnelles, et que « Le responsable du traitement ne traitera plus … » et: « Lorsque la personne concernée s’oppose au traitement à des fins de marketing direct, les données à caractère personnel ne seront plus traitées à cette fin ».

Le RGPD organise donc une phase administrative préliminaire d’un à trois mois au cours de laquelle le responsable du traitement peut ne pas répondre ni satisfaire la demande formulée par la personne concernée, sans donner de raisons spécifiques, engageant toutefois sa responsabilité si une résistance abusive pouvait être démontrée par un demandeur motivé, devant un tribunal civil ou pénal, ou même devant l’autorité de contrôle.

Cela peut sembler quelque peu insatisfaisant et incertain du point de vue du demandeur.

La voie judiciaire et les procédures d’urgence:

Selon la loi française, des injonctions et des dommages-intérêts peuvent être obtenus par des procédures d’urgence (dites «référé») afin d’arrêter des situations préjudiciables.

Elles sont prises à titre provisoire, ce qui signifie qu’un tribunal saisi du fond de l’affaire sera toujours en mesure de réformer la décision entreprise dans un contexte d’urgence, et de condamner le plaignant pour procédure abusive.

Le droit français (principalement l’article 808 du code de procédure civile) exige que la mesure sollicitée par l’avocat à cet égard ne soit pas sérieusement contestée, c’est-à-dire dans la mesure où l’affaire semble normale et évidente, qu’il est urgent de prendre les mesures sollicitées, et que ces mesures sont réalisables.

A ce sujet, par exemple, le fait que les parties aient déjà engagé des discussions sur leur point litigieux est une indication que des objections existent. Une partie qui tenterait alors de mettre fin aux discussions et de forcer la satisfaction de ses demandes en engageant une procédure d’urgence, prendrait ainsi le risque d’être déboutée.

Toutefois, même dans le cas où la mesure sollicitée est discutable, une procédure d’urgence reste ouverte dans le cas où un préjudice imminent doit être évité ou un trouble manifestement illicite (par exemple une infraction pénale facilement qualifiable en tant que telle) doit être arrêté, toutes notions qui suggèrent qu’une urgence est implicite (art.809 du code de procédure civile).

Cependant, la démonstration d’un trouble manifeste peut être difficile à faire, surtout sans investigations préliminaires ou discussions.

En ce qui concerne le traitement des données, l’utilisation inappropriée des données personnelles (y compris les données professionnelles, cf. jurisprudence UE et française en la matière) est incriminée par les articles 226-16 et suivants du code pénal et punie d’emprisonnement et d’amende, et peut se révéler ainsi, comme un «trouble manifestement illicite» permettant d’engager une procédure d’urgence pour exiger le retrait du contenu litigieux, et même si une culpabilité n’est pas encore définitivement jugée.

La loi n ° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite aussi « LCEN », confirme qu’une procédure d’urgence peut également être engagée contre un intermédiaire technique (plateforme internet, moteur de recherche, fournisseurs internet …), même si ce n’est pas le contrefaisant original :

Article 6.I.8

« L’autorité judiciaire peut prescrire en cas de perte ou de dommage, à toute personne mentionnée au 2 [plateformes, moteurs de recherche …] ou, à défaut, à toute personne mentionnée au 1 [fournisseurs d’accès internet] toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.. « 

La nécessité ou non d’envoyer un avis préalable formel avant d’engager une procédure judiciaire d’urgence :
Un avis préalable formel (mise en demeure) est-il nécessaire pour avertir l’adversaire avant d’engager une procédure judiciaire d’urgence ?

En règle générale oui, mais une mise en demeure préalable n’est évidemment pas recommandée en cas d’urgence réelle ou de trouble réel de l’ordre public (par exemple en cas d’infraction pénale).

A ce sujet l’article 56 alinéa 3 du code de procédure civile dispose :

“Sauf justification d’un motif légitime tenant à l’urgence ou à la matière considérée, en particulier lorsqu’elle intéresse l’ordre public, l’assignation précise également les diligences entreprises en vue de parvenir à une résolution amiable du litige.”

Même si l’utilisation inappropriée de données à caractère personnel peut constituer le fondement d’une infraction pénale, le bon sens exigera la plupart du temps qu’un avis préalable officiel soit formulé, d’autant que le RGPD exige cet avis préalable.

Lorsqu’une demande concerne des questions telles que la réparation des pertes et des demandes pécuniaires sans urgence particulière, une notification préalable formelle devrait être adressée à l’adversaire, détaillant le montant réclamé.

De la même manière, la loi précitée «Loi n ° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique» dit aussi «LCEN», prévoit, dans ses articles 6.I.2, 6.I.3 et 6.I.5 que la responsabilité de l’intermédiaire technique ne peut être engagée que s’il est prouvé que, dûment notifié (et d’une certaine manière et avec certaines précautions), il n’a pas retiré le contenu litigieux.

***

Ainsi, en cas d’urgence, la saisine de la juridiction spécialisée est un gage de rapidité, tandis que la saisine, dans le cadre de procédures normales, d’une juridiction pénale ou civile (ou même d’une juridiction administrative), ou à un organe administratif tel que l’«autorité de contrôle» dans le cadre du RGPD, peut impliquer de longues enquêtes préliminaires ou discussions avant que des injonctions soient prises ou des indemnités accordées.

L’autorité de contrôle a des pouvoirs d’injonction et de condamnation à de lourdes amendes (art.83, al.5, b), mais, agissant comme un procureur défendant d’abord les intérêts de la société, elle peut être réticente à agir rapidement sur la seule base d’une plainte individuelle et plus désireuse de procéder à des enquêtes chronophages.

L’avantage d’une saisine de l’autorité de contrôle est que celle-ci peut intervenir (injonctions, amendes) au niveau de l’UE, et parfois en urgence, avec la coopération des autorités de contrôle étrangères. (Action verticale)

Au contraire, le recours aux juridictions civiles ou pénales nationales peut s’avérer illusoire pour obtenir des injonctions et des sanctions dans les cas où des éléments de l’affaire relèvent de pays étrangers. (Action horizontale, inter partes).

Les juridictions pénales interviennent principalement pour juger de la responsabilité pénale et prononcer des condamnations pénales (principalement emprisonnement, amendes, accessoirement injonctions et indemnités), sur enquête approfondie.

Les juridictions civiles, dans le cadre des procédures normales, interviennent principalement pour juger des responsabilités civiles, accorder des indemnités et délivrer des injonctions, après une discussion approfondie et contradictoire.

En comparaison, la procédure d’urgence judiciaire peut sembler plus efficace pour solliciter, au moins au niveau national, une cessation immédiate du traitement – et, AU MOINS, une restriction immédiate de ce traitement sans devoir attendre la fin d’un procès sur le fond, lorsque le responsable du traitement est susceptible d’adopter une résistance et une volonté de démontrer la légitimité du traitement qu’il a mis en place.

Comme rappelé plus haut, cette possibilité de « restriction » est prévue par l’article 18 du RGPD et c’est d’ailleurs l’une des contributions principales du RGPD par rapport à la précédente directive européenne 95/46 / CE et à la loi française actuelle relative aux données personnelles « loi informatique et liberté n ° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » (actuellement en cours de réexamen par les assemblées parlementaires).

***

15.mai 2018

 

Voir aussi :

2021 : DSA – DMA – La nouvelle réglementation d’Internet en préparation : remarques sur les projets de l’Union Européenne

Consultez un avocat en droit informatique et du numérique :

Roquefeuil avocats, Paris