Accueil
Le quotidien du droit en ligne

IP/IT et Communication | Protection des données

Champ d’application de la directive « Police-Justice » et logiciel étranger

le 04 Avril 2025

Un traitement de données personnelles à caractère pénal mis en œuvre par une fondation aux États-Unis n’entre pas dans le champ d’application de la directive « Police-Justice ». Dès lors, est inopérant le moyen qui tire argument de l’absence d’autorisation et d’avis que requièrent la directive et la loi « Informatique et libertés ».  
Crim. 12 mars 2025, F-B, n° 23-80.407

Le règlement européen des données de santé est publié !

le 20 Mars 2025

Le règlement (UE) 2025/327 du 11 février 2025 relatif à l’espace européen des données de santé (ou « règlement EHDS ») a été publié le 5 mars 2025. Il vise à créer un cadre harmonisé pour le partage et la protection des données sensibles dans le domaine médical. Cet article vise à donner des éléments d’analyse.
Règl. (UE) n° 2025/327, 11 févr. 2025, JOUE 5 mars

Consécration d’un droit à l’explicabilité du scoring bancaire

le 13 Mars 2025

En présence d’une décision individuelle automatisée, les informations utiles concernant la logique sous-jacente du traitement s’entendent comme un droit à l’explication de la procédure et des principes concrètement appliqués sur les données personnelles de la personne concernée aux fins d’en obtenir un résultat déterminé. Ces explications doivent être suffisamment intelligibles pour permettre à la personne concernée d’exercer ses droits, notamment celui de contester la décision.
CJUE 27 févr. 2025, Dun & Bradstreet Austria, aff. C-203/22

Entre société mère et filiale, la notion d’entreprise pour le calcul des amendes RGDP précisée

le 12 Mars 2025

Le terme « entreprise », figurant à l’article 83, §§ 4 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), correspond à la notion d’« entreprise », au sens des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), de sorte que, lorsqu’une amende pour violation du règlement (UE) 2016/679 est imposée à un responsable du traitement de données à caractère personnel, qui est ou fait partie d’une entreprise, le montant maximal de l’amende est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise. La notion d’« entreprise » doit également être prise en compte afin d’apprécier la capacité économique réelle ou matérielle du destinataire de l’amende et ainsi vérifier si l’amende est à la fois effective, proportionnée et dissuasive.
CJUE 13 févr. 2025, aff. C-383/23

Précision sur l’adéquation des dispositions légales relatives aux captations de données informatiques

le 10 Février 2025

En l’absence de captation de données stockées sur des serveurs, l’interception des flux échangés entre ces serveurs ne relève pas de l’article 706-102-1 du code de procédure pénale mais des articles 100 et suivants du même code. 
Crim. 14 janv. 2025, F-B, n° 24-84.110