IP/IT et Communication | Protection des données

Un traitement de données personnelles à caractère pénal mis en œuvre par une fondation aux États-Unis n’entre pas dans le champ d’application de la directive « Police-Justice ». Dès lors, est inopérant le moyen qui tire argument de l’absence d’autorisation et d’avis que requièrent la directive et la loi « Informatique et libertés ».  

Le règlement (UE) 2025/327 du 11 février 2025 relatif à l’espace européen des données de santé (ou « règlement EHDS ») a été publié le 5 mars 2025. Il vise à créer un cadre harmonisé pour le partage et la protection des données sensibles dans le domaine médical. Cet article vise à donner des éléments d’analyse.

En présence d’une décision individuelle automatisée, les informations utiles concernant la logique sous-jacente du traitement s’entendent comme un droit à l’explication de la procédure et des principes concrètement appliqués sur les données personnelles de la personne concernée aux fins d’en obtenir un résultat déterminé. Ces explications doivent être suffisamment intelligibles pour permettre à la personne concernée d’exercer ses droits, notamment celui de contester la décision.

Le terme « entreprise », figurant à l’article 83, §§ 4 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), correspond à la notion d’« entreprise », au sens des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), de sorte que, lorsqu’une amende pour violation du règlement (UE) 2016/679 est imposée à un responsable du traitement de données à caractère personnel, qui est ou fait partie d’une entreprise, le montant maximal de l’amende est déterminé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise. La notion d’« entreprise » doit également être prise en compte afin d’apprécier la capacité économique réelle ou matérielle du destinataire de l’amende et ainsi vérifier si l’amende est à la fois effective, proportionnée et dissuasive.

En l’absence de captation de données stockées sur des serveurs, l’interception des flux échangés entre ces serveurs ne relève pas de l’article 706-102-1 du code de procédure pénale mais des articles 100 et suivants du même code. 

Faisant suite à une mission de réflexion portant sur l’articulation entre protection des données et concurrence, les conclusions publiées le 19 décembre 2024 formulent une quinzaine de propositions visant à renforcer la prise en compte de la concurrence dans la protection des données, une perspective jusqu’ici peu développée, tant en termes d’analyse que de coopération.

La présidence de la CNIL a prononcé le 15 novembre 2024 une mise en demeure à l’encontre du ministère de l’Intérieur sur la vidéosurveillance algorithmique dans l’espace public et son utilisation par les autorités policières. Très attendue, la décision précise le régime juridique de cet usage en matière de protection des données personnelles.

La CNIL vient de faire un rappel à l’ordre et une injonction à se mettre en conformité, adressés aux ministères de l’Intérieur et de la Justice, au sujet du fichier du traitement des antécédents judiciaires. Une décision guère étonnante, les problèmes autour de ce fichier étant un vieux serpent de mer.

Sélection de l’actualité  « Technologies de l’information » marquante des semaines des 21 et 28 octobre.

La Cour européenne des droits de l’homme rejette la saisine des requérants, faute pour eux d’avoir épuisé les voies de recours internes. Poursuivis au Royaume-Uni, notamment sur la base de données captées en France et transmises par décision d’enquête européenne aux autorités britanniques, les intéressés auraient dû contester la légalité de la captation devant les juridictions françaises pour valablement saisir la Cour à l’encontre de la France.