IP/IT et Communication | Protection des données

Dans l’arrêt Proximus, rendu le 27 octobre 2022, la Cour de justice de l’Union européenne articule les dispositions de la directive 2002/58 applicables aux fournisseurs d’annuaires téléphoniques avec celles du RGPD, et plus précisément le droit à l’effacement (également appelé « droit à l’oubli ») résultant d’un retrait de consentement. La transmission des coordonnées d’un abonné par un opérateur téléphonique à un annuaire doit faire l’objet d’un consentement se traduisant par un opt-in et non un opt-out et doit pouvoir être retirée aussi facilement qu’il a été donné. En outre, lorsque l’abonné exerce son droit à l’oubli, il peut s’adresser à n’importe quel responsable du traitement qui sera chargé de communiquer la demande aux autres responsables du traitement ainsi qu’aux moteurs de recherche en ligne.

Sur la boutique Dalloz

Un décret n° 2022-1327 du 17 octobre 2022 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion a été publié au Journal officiel 18 octobre 2022.

Après mise en demeure infructueuse, la CNIL prononce une sanction à l’encontre d’une société exploitant un moteur de recherche fondé sur une technologie de reconnaissance faciale, apportant ainsi des enseignements instructifs sur les technologies de web scraping et d’intelligence artificielle.

Les transferts de données personnelles vers les États-Unis sont l’objet de nombreuses discussions et casse-têtes autant dans les institutions européennes que dans les entreprises. Les États-Unis ne disposant pas de décision d’adéquation par la Commission européenne, et afin d’éviter la mise en place d’encadrement juridique de ces transferts tels qu’énumérés au chapitre V du RGPD, un entre-deux avait été trouvé : un accord bilatéral, le premier nommé Safe Harbor puis le second, Privacy Shield. Tous deux ont été invalidés par la CJUE et, le 25 mars dernier, Joe Biden et Ursula Van der Leyen annonçaient la reprise des négociations afin de trouver un nouvel accord pour les transferts transatlantiques. Néanmoins, la législation américaine n’ayant pas changé, le scepticisme reste de mise malgré la promulgation d’un nouvel Executive Order par Joe Biden, auquel l’avocat Maximilian Schrems n’a pas manqué de répondre dans un communiqué sur le site de son ONG My Privacy Is None of Your Business (NOYB).

Sur la boutique Dalloz

Dans ses conclusions, l’avocat général Manuel Campos Sánchez-Bordona manque de contribuer à la construction d’un régime autonome et uniforme de responsabilité civile fondé sur l’article 82 du RGPD qui réponde aux enjeux fondamentaux de la protection des données. Cela tient moins à l’absence de présomption du dommage moral qu’à la renationalisation des mesures de réparation susceptibles d’être ordonnées et au refus de réparer les préjudices moraux minimes.

Sur la boutique Dalloz

À l’occasion d’un arrêt rendu le 20 septembre dernier, SpaceNet (aff. C-793/19) et Telekom Deutschland (aff. C-794/19), la Cour de justice de l’Union européenne a réaffirmé l’interdiction de conservation généralisée et indifférenciée des métadonnées détenues par les fournisseurs d’accès aux communications électroniques tout en précisant les notions de « criminalité grave » et de « sécurité nationale ». Il ressort de cet arrêt que le cadre établi par la Cour de justice est toujours aussi strict, tout en apportant une liste d’exceptions tolérées – à condition que des garde-fous soient prévus.

Sur la boutique Dalloz

Le Comité européen de la protection des données (CEPD) a soumis à consultation, le 21 mars dernier, sa proposition de lignes directrices 3/2022 intitulée « Dark patterns applicables aux interfaces des plateformes de réseaux sociaux : comment les reconnaître et les éviter ».

Le Conseil constitutionnel a censuré une partie des dispositions obligations de conservation généralisée et indifférenciées de données de connexion des opérateurs et hébergeurs. Une décision forte qui s’inscrit dans le droit fil européen, mais qui reste de principe et aux effets limités.

Le 28 janvier 2022, le Conseil d’Etat rejette la demande d’annulation exercée par Google de sa sanction infligée par la CNIL, pour ne pas avoir correctement informé les utilisateurs du moteur de recherche google.fr sur l’utilisation de ses cookies.

La RATP, en charge du fonctionnement d’une partie des transports publics parisiens, a mis en place en son sein des procédures d’avancement de carrière. Dans ce contexte, le traitement d’informations sur le nombre de jours de grève par agent est jugé excessif au regard de principe de minimisation des données (entre autres manquements).