Données personnelles : la CJUE retient l’intérêt prépondérant des registres officiels des sociétés, l’avocat en droit de la communication à Paris analyse

#privacy #donnéespersonnelles #annuairesweb #droitaloubli : Cour de justice de l’Union européenne – CJUE – Arrêt dans l’affaire C-398/15 Camera di Commercio, Industria, Artigianato e Agricolturadi Lecce/Salvatore Manni du 9 mars 2017

Dans cet arrêt la CJUE confirme le rôle d’information des registres des sociétés, qui, par les informations qu’ils livrent, y compris des données personnelles, contribuent à la transparence du commerce.

Registres de commerce et de sociétés : une légitimité non remise en question

Cette position est classique.

On veillera à ce qu’elle ne profite pas à des entreprises d’annuaires privés qui pullulent sur internet, qui rachètent des données auprès des registres officiels, pour en assurer une publication accrue et intempestive sur internet, sans l’autorisation préalable des professionnels et des entreprises concernés, aux seules fins d’attirer du trafic sur les publicités qu’elles affichent à côté des dites données, et dans leur seul intérêt.

Ces entreprises d’annuaires privés restent bien évidemment condamnables pour l’usage non autorisé de données personnelles et pour le dommage qu’elles sont susceptibles d’occasionner et qu’elles occasionnent de fait pour « service » non sollicité. Une prétendue liberté d’expression ou la loyauté des affaires ne sauraient dériver en droit de porter atteinte à la liberté d’entreprendre et au choix de son mode de communication.

De façon plus générale, on peut s’interroger toutefois sur la nécessité d’indiquer dans ces registres certaines données personnelles des dirigeants. Les dirigeants peuvent en effet être « retrouvés » par les huissiers sans que la publication de l’adresse personnelle du dirigeant soit nécessaire ; une simple collecte par le registre et une divulgation sur demande d’huissier ou du juge porterait moins atteinte à l’exercice du droit à la protection de la vie privée. A l’heure actuelle, l’ingérance de l’autorité publique dans l’exercice de ce droit paraît excessive et pourrait sans doute être contestée devant la CEDH.

Les données personnelles du dirigeant de personnne morale 

Transfert de données : l’évaluation nécessaire des législations étrangères ?

Mise à jour 2 novembre 2022

 

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules ou Clauses contractuelles type) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Sauf à rentrer dans les dérogations prévues par l’article 49 du RGPD.

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

En ce qui concerne les transferts de données vers les Etats-Unis, il n’existe toujours pas de décision d’adéquation par la Commission Européenne, après les arrêts CJUE dits Schrems I du 6 octobre 2015 (C-362/14) (invalidation du Safe Harbour) et Schrems II du 16 juillet 2020 (C-311/18) (invalidation du Privacy Shield). La législation US reflète en effet une conception de la vie privée centrée sur la protection du citoyen américain n’incluant pas les étrangers, qui n’est pas celle, universaliste, de l’Union Européenne.

Le 4ème amendement de la Constitution des Etats-Unis prévoit en effet : « Le droit des citoyens d’être garantis dans leur personne, leur domicile, leurs papiers et leurs effets contre les perquisitions et saisies non motivées ne sera pas violé et il ne sera émis aucun mandat si ce n’est sur présomption sérieuse, corroborée par serment ou déclaration solennelle et décrivant avec précision le lieu à perquisitionner et les personnes ou choses à saisir. »

Malgré les efforts de rapprochement (cf.le récent executive order de Joe Biden du 7 octobre 2022 prévoyant bien le recours à un délégué du pouvoir exécutif et même à une cour indépendante mais dont les avis n’ont pas de force exécutoire), la législation américaine prévoit toujours la surveillance de masse et l’absence de recours effectifs en ce qui concerne les droits des personnes concernées par un traitement de données.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consultez un avocat spécialisé en droit informatique

Transfert de données sur un cloud étranger : la décision Doctolib

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

 

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.

 
V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937
 
 

On te lynchera : Droit à l’oubli et droit de réponse sur internet, l’avocat en droit de la presse à Paris répond

Le profilage par les moteurs de recherche, ce fléau des temps moderne – Big Brother is Watching You – Vous êtes fichés et apparaissez dans les résultats de recherche : que faire ?

A l’heure des réseaux sociaux et des plateaux télé vociférant où l’on vient avec ses sentiments en bandoulière, le droit de réponse est souvent présenté comme le rempart absolu contre l’usage excessif de la liberté d’expression, permettant à quiconque est visé dans un article publié d’exiger la publication d’un correctif. Les choses sont cependant à relativiser. Typiquement le profilage des personnes et des entreprises par les moteurs de recherche, très épris de la liberté d’expression à l’américaine, la sauvage « freedom of speech » de la constitution des USA, ne permet aucun droit de réponse et stigmatise réellement ce qui en sont victime.

 

L’absence d’un droit de réponse contre les moteurs de recherche

Sur internet, le droit de réponse est régi par :

L’article 6-IV de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Le décret 2007-1527 du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication au public en ligne et pris pour l’application du IV de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
 
L’article 13 de la loi du 29 juillet 1881 sur la liberté de la presse

Les moteurs de recherche voient en général d’un bon œil ce qui peut s’apparenter à du dialogue et à de la critique constructive, ou ce qui renforce et finalement légitime un avis négatif, telle une réponse.

Selon les principes de e-réputation, l’insertion d’une réponse a néanmoins un effet contre-productif en ce sens où elle aurait tendance à augmenter le référencement de la publication que l’on veut précisément combattre.

Toutefois, ce droit de réponse reste souvent le seul moyen de combattre rapidement les dénigrements et les diffamations, les atteintes à la vie privée, en attendant mieux, quand il existe un moyen pour la personne visée de répliquer directement, en ligne, à l’avis. (Malheur : pas de droit de réponse contre les moteurs de recherche qui indexent les contenus défavorables et dont pourtant le pouvoir de nuisance est bien plus important).

Ce d’autant plus que les recours restent si laborieux pour le commun des mortels.

Consultez un avocat spécialisé en droit de la communication à Paris

Le palliatif du « droit à l’oubli »

L’arrêt Costeja (Cour de justice de l’Union Européenne, 13 mai 2014, Costeja / Google Spain, C-131/12) pourra éventuellement être opposé aux moteurs de recherche pour obtenir un déréférencement  (« droit à l’oubli »), et par référence aux articles 17  et 85 du règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(RGPD), et à l’article 80 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

L’arrêt Costeja permet de poursuivre les référencements faits par les moteurs de recherche, étant donné qu’ils permettent d’établir le profil d’une personne par une recherche sur son nom, en indexant les pages qui mentionnent ce nom. Ce traitement informatique effectué par le moteur est visé par l’article 17 du RGPD (« droit à l’oubli » ou « droit à l’effacement ») et développé à l’article 51 de la loi informatique et liberté, qui réserve l’exercice de la liberté d’expression.

Ce déréférencement n’est pas automatique. Il permet à une personne stigmatisée de réclamer à un moteur de recherche que certains contenus la concernant ne soit plus fléchés par le moteur. Elle doit s’appuyer sur des raisons valables (arrêt de la CJUE du 24 septembre 2019, arrêts du conseil d’État du 6 décembre 2019 et du 27 mars 2020, Cour de cassation, Chambre civile 1, 27 novembre 2019, 18-14.675, Publié au bulletin, pôle 1), ou sur la protection de la vie privée.

En ce qui concerne le thème de la protection des données personnelles face à la liberté d’expression, on notera :

L’article 85 du RGPD renvoie à la loi de chaque Etat membre en ce qui concerne la conciliation du droit à la protection des données personnelles avec la liberté d’expression.

A ce sujet, l’article 80, 2°, de la loi informatique et libertés, dans sa version du 1er juin 2019 résultant de l’ordonnance n°2018-1125 du 12 décembre 2018, article 1, maintient la restriction du droit de protection des données personnelles face à la liberté d’expression seulement en ce que celle-ci est exercée par un journaliste professionnel…et Google, dans son activité de moteur de recherche (« Google Search ») ne fait pas œuvre de journalisme, mais d’indexeur. Il est d’ailleurs redevable envers les contenus journalistiques qu’il indexe (cf.directive DIRECTIVE (UE) 2019/790 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE,  article 17).

L’article 21 paragraphe 1 du RGPD permet à chacun d’invoquer une situation particulière, liée à son parcours personnel, pour s’opposer à un traitement de ses données personnelles (« droit d’opposition », visé aussi par l’article 56 de la loi informatique et libertés).

***

Données personnelles

Droit à l’image

 

 

2021 : DSA – DMA – La nouvelle réglementation d’Internet en préparation : remarques sur les projets de l’Union Européenne

 
 

(Mise à jour du 1er juillet 2022 :

Le Parlement européen a officiellement adopté, le 5 juillet, le projet de règlement sur les services numériques dit Digital Services Act (DSA).

Le texte devrait être formellement adopté par le Conseil en septembre, avant d’être publié au Journal officiel de l’UE. Il sera applicable dans tous les pays membres au plus tard le 1er janvier 2024.

(Mis à jour 17 février 2022 :

Dans le cadre de la stratégie numérique européenne, intitulée « Façonner l’avenir numérique de l’Europe », il a été annoncé que la Commission européenne moderniserait les règles régissant les services numériques dans l’UE. La Commission européenne a proposé deux initiatives législatives : le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).https://ec.europa.eu/digital-single-market/en/digital-services-act-package

 

Le DSA et le DMA poursuivent des objectifs distincts :

 

Le DSA

 

Son objectif est de contribuer à un espace numérique plus sûr dans lequel les droits fondamentaux des utilisateurs de services numériques sont protégés, au delà des règlementations « consommation » de biens et de services, pour englober les aspects liés à la diffusion de l’information ou du contenu numérique en général.

Ce règlement complètera et amendera la directive actuelle (directive sur le commerce électronique 2000/31 https://eur-lex.europa.eu/legal-content/fr/ALL/?uri=celex:32000L0031) – il s’agit de faciliter les retraits de contenus illicites tout en préservant la liberté d’expression.

Le régime de responsabilité limitée de l’hébergeur perdure, il est cependant attendu de lui beaucoup plus d’implication et de transparence dans les processus de retrait ou de remise en ligne de contenus (articles 14 et 15 notamment).

Sur le projet de transposition en France du volet « haine en ligne » voir la mise à jour de l’article :

Le projet de loi Avia contre la haine sur Internet, en quelques points

Les avis négatifs et dénigrants

La difficile levée d’anonymat sur internet

Les données personnelles du dirigeant de société

Les influenceurs et les contrats de marque : les précautions à prendre

 

Le DMA

 

Son objectif est d’établir des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité, tant dans le marché unique européen que dans le monde. Ce règlement complètera le règlement platform to business 2019/1150 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32019R1150). Il s’agit de limiter l’effet anti-concurrentiel des gatekeepers.Ces règlements s’appliqueront uniformément et directement sans qu’une transposition en droit national soit nécessaire.Le but global est de discipliner les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et les autres grands acteurs de l’internet, d’éviter les dévoiements, d’assurer la loyauté de l’information et du commerce.Une disposition majeure, assez récente en droit de l’Union : ces règlements s’appliqueront aux entreprises étrangères opérant dans l’Union, et celle-ci devront désigner un représentant dans l’Union, apte à soumettre ladite entreprise aux procédures administratives ou judiciaires diligentées dans les Etats membres, sans la contrainte d’avoir à diligenter des procédures en dehors desdits Etats, ou à subir des règles autres que celles du droit de l’Union.Une incertitude sur le DMA : il est applicable sans préjudice de l’application des règles européennes et nationales existantes, et risque ainsi de se réduire à peau de chagrin.

Mise à jour du 2/11/2022

Entrée en vigueur du Digital Markets Act (DMA)

du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) , après quelques dernières modifications depuis la première proposition.

  • les seuils quantitatifs faisant entrer une entreprise dans le champ d’application du DMA ont été fixés à :
    • 7,5 milliards d’euros de chiffre d’affaires annuel dans l’Union européenne
    • 75 milliards d’euros au niveau de la capitalisation boursière
  • l’amende maximum de 20% du chiffre d’affaires mondial pouvant être imposée par la Commission européenne en cas de non-respect des règles par un contrôleur d’accès, ne s’appliquera qu’en cas de récidive.
  • une amende maximum de 10% du chiffre d’affaires mondial s’appliquera en cas de première infraction.

Le DMA sera appliqué à partir du 2 mai 2023.

A cette date, les contrôleurs d’accès auront deux mois pour notifier leurs services de plateforme essentiels à la Commission européenne. Cette dernière statuera sous 45 jours ouvrables sur la qualification ou non de ces acteurs en contrôleurs d’accès. Les nouvelles obligations pour les contrôleurs d’accès ainsi nommés commenceront à s’appliquer à partir de mars 2024.

La directive sur les actions collectives (DIRECTIVE (UE) 2020/1828 DU PARLEMENT EUROPÉEN ET DU CONSEILdu 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et
abrogeant la directive 2009/22/CE )
– que les États membres doivent transposer d’ici fin 2022, s’appliquera en cas de violation des règles du DMA par les contrôleurs d’accès, permettant aux associations de consommateurs d’agir devant les tribunaux contre les contrôleurs d’accès.

Faites appel au cabinet Roquefeuil à Paris pour vous accompagner dans vos litiges ou vos projets numériques.

Voir aussi, pour un exemple de problème de concurrence et d’accès au marché via la publicité Google Ads : L’entrepreneur web évincé par Google Ads

Réforme du droit de la consommation :

Modification des directives :
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32019L2161&from=FR

Ordonnance de transposition :
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044546235

****************************************************************************************

Le droit de rétractation

Remarques sur l’interprétation du contrat

Les conditions générales, servent-elles encore à quelque chose ?

Peut-on faire juger en France son fournisseur étranger ?

Les clauses abusives

*********************************************************************

 

*********************************************************************************************************

 

 

 

Voir : décret 2022-32 du 14 janvier 2022 (obligations des plateformes contre les contenus haineux)

D. n° 2022-32, 14 janv. 2022 pris pour l’application de l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites

Immunité des plateformes américaines ?

Réformes civiles et pénales 2022