PROTECTION DES DONNEES PERSONNELLES

S'abonner au fil - RSS PROTECTION DES DONNEES PERSONNELLES

Nouvelles clauses contractuelles types pour le transfert de données à caractère personnel en dehors de l’EEE, adoptées et bientôt publiées

Les très attendues nouvelles Clauses Contractuelles Types (« CCT ») ont été adoptées par la Commission européenne le 4 juin 2021 et devraient être publiées dans les prochaines semaines.

Les nouvelles CCT entreront en vigueur vingt (20) jours après leur publication au Journal officiel de l’Union européenne et les anciennes CCT seront abrogées trois mois après cette date (« Date d’abrogation »).

Lire la suite

Attention : Publications de documents importants sur les « transferts » et « traitements » de données personnelles

Plusieurs documents importants relatifs aux règles encadrant les transferts de données personnelles ont été publiés la deuxième semaine de novembre 2020 par le Comité Européen de Protection des Données ou « CEPD » (en anglais « EDPB ») et la Commission européenne. La Commission a aussi publié un projet de clauses contractuelles types pour les relations entre un responsable de traitement et un sous-traitant.

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (4ème partie)

Partie 4 : Les tiers et destinataires

Cet article est le quatrième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD publié par le Comité Européen de la Protection des Données (« CEPD ») le 7 septembre 2020 (le « projet de lignes directrices »). Il traite des notions de « tiers » et « destinataire » dans le projet de lignes directrices.

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (3ème partie)

Partie 3 : Les responsables conjoints de traitement

Cet article est le troisième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD, en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (« CEPD ») le 7 septembre 2020 (le « projet de lignes directrices »). 

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD (2ème partie)

Partie 2 : Les responsables de traitement

EU FlagCet article est le deuxième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant dans le cadre du RGPD en anglais  Guidelines 07/2020 on the concepts of controller and processor in the GDPR, publié par le Comité Européen de la Protection des Données (CEPD) le 7 septembre 2020 (le « projet de lignes directrices »).

Lire la suite

Lumières sur le projet de lignes directrices du CEPD sur les responsables de traitement et sous-traitants dans le cadre du RGPD (1ère partie)

EU FlagCet article est le premier d’une série destinée à aborder les concepts et questions clefs traités dans le projet d’un ensemble de lignes directrices récemment publié par le Comité Européen de Protection des Données « CEPD » ou en anglais « EDPB ».  Les commentaires sur le projet de lignes directrices devaient être soumis avant le 19 octobre 2020.

Partie 1 : Les sous-traitants

Le CEPD a publié le 7 septembre 2020 un projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et sous-traitant dans le cadre du RGPD,  en anglais  Guidelines 07/2020 on the concepts of controller and processor in the GDPR.

Lire la suite

La CJUE condamne le Privacy Shield et sauve les Clauses Contractuelles Type, mais avec d’importantes mises en garde

privacy shieldArrêt en grande chambre de la CJUE du 16 juillet 2020 dans l’affaire C‑311/18   (dite « Schrems II »)

La CJUE a rendu le 16 juillet 2020 une décision historique (dite « Schrems II ») concernant le transfert international de données personnelles. Cette décision invalide la décision d’adéquation de la Commission européenne sur le Privacy Shield (« bouclier de protection des données ») entre l’UE et les Etats-Unis sur lequel s’appuyaient des milliers d’entreprises américaines pour transférer légalement des données personnelles de l’Union vers les Etats-Unis.

Lire la suite

Invalidation du Privacy Shield mais pas des Clauses Contractuelles Types par la CJUE (« Schrems II »)

privacy shield

Décision de la cour de Justice de l’Union Européenne du 16 juillet 2020 Affaire C311/18

Communiqué de presse https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

La décision tant attendue et redoutée dans l’affaire « Shrems II » vient de tomber. La Cour de Justice de l’Union Européenne vient d’invalider le Privacy Shield !

Lire la suite

Lignes directrices sur le champ d’application territorial du RGPD / GDPR

Le Comité Européen de Protection des Données (CEPD ; en anglais EDPB) a enfin publié la version finale  (pour l’instant en anglais) de ses lignes directrices sur l’article 3 du Règlement Général sur la Protection des Données (RGPD)[1].  Ceci est une mise à jour de notre précédent article sur le projet de lignes directrices.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent.

Lire la suite

CJUE : arrêts récents sur la protection des données personnelles et de la vie privée sur internet

Panorama des décisions récentes de la Cour de Justice de l’Union Européenne, en matière de marketing et de cookies ainsi qu’en matière de droit au déréférencement, fondé sur la protection des données personnelles ou sur la réglementation sur le commerce électronique.

1. Sites internet responsables conjoints de traitement, lorsqu’ils insèrent un bouton « J’aime » – CJUE 29 juillet 2019, affaire Fashion ID, n° C‑40/17

2.

Lire la suite

Sites internet responsables conjoints de traitement, lorsqu’ils insèrent un bouton « J’aime »

CJUE 29 juillet 2019, affaire Fashion ID, n° C‑40/17

Le gestionnaire d’un site Internet, (ici Fashion ID, entreprise de vente de vêtements de mode en ligne) a inséré sur son site Internet le module « J’aime » du réseau social Facebook, permettant au navigateur du visiteur de ce site de transférer à Facebook des données personnelles du visiteur (que ce dernier ait ou non cliqué sur le bouton « J’aime » de Facebook).

Lire la suite

Pas de case pré-cochée pour les cookies !

CJUE 1er octobre 2019, affaire Planet49, n° C‑673/17

Planet49 GmbH, une société de jeux en ligne, propose un service de loterie en ligne. Pour utiliser le service, les utilisateurs devaient s’inscrire et fournir des données personnelles. Le formulaire d’inscription contenait deux cases à cocher :

  • La première demandait aux utilisateurs de cocher une case permettant à Planet49 de partager leurs données avec des partenaires commerciaux.


Lire la suite

Utilisation du numéro de sécurité sociale sous le RGPD et la loi Informatique et libertés

En application de l’article 87 du Règlement Général sur la Protection des Données ou « RGPD »[1], la loi nationale peut préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale tel que le numéro de sécurité sociale ou « NIR ».

Ce numéro est considéré en France comme une donnée personnelle à protéger tout particulièrement en raison d’une part, de son caractère unique et d’autre part, du fait que le numéro en lui-même contient des données personnelles.

Lire la suite

Un des nombreux visages de RGPD alias GDPR

Après avoir été personnifié(e) par Stephanie Faber à l’université des DPO de Janvier 2018 de l’AFCDP  (« Radio, Golf, Papa, Delta »),  RGPD est revenu(e) en janvier 2019 sous la forme d’un personnage de cartoon avec une hotte de Noël remplie de Lignes directrices et autres compléments du Comité Européen à la Protection des Données (CEPD ou EDPB en anglais).

« Le G29 est mort, vive le CEPD ! 



Lire la suite

13ème Université des DPO de l’AFCPD

Cette année encore Squire Patton Boggs sponsorise l’Université des DPO (Délégués à la protection des données) organisée par l’AFCDP (Association française des Correspondants à la protection des Données à caractère Personnel) qui se tiendra le mercredi 16 janvier 2019, à la Maison de la Chimie, à Paris.

Comme chaque année, cet évènement connait un grand succès puisqu’il est complet depuis un certain temps, malgré une capacité d’accueil de 800 personnes.

Lire la suite

Le nouveau Code des communications électroniques européen (CCEE) étend l’application de la Directive « Vie privée et Communications électroniques » aux services Over-The-Top (OTT)

Le 4 décembre 2018, le Conseil de l’UE a officiellement adopté la directive établissant le code des communications électroniques européen (CCEE). Cette directive a été publiée au Journal officiel le 17 décembre 2018.

À compter du 21 décembre 2020, les services OTT, c’est-à-dire les applications de messagerie instantanée, de courriels, d’appels téléphoniques sur Internet et de messages personnels émis par le biais de réseaux sociaux devront, à l’instar des fournisseurs de télécommunications traditionnels, se conformer aux obligations de confidentialité des données électroniques établies par la Directive « Vie privée et Communications électroniques ».

Lire la suite

Lignes directrices de l’EDPB sur le champ d’application territorial du RGPD / GDPR

Le Comité Européen de Protection des Données (en anglais EDPB) a enfin publié un projet (en anglais) de lignes directrices « draft guidelines » sur l’article 3 du Règlement Général sur la Protection des Données (RGPD).  Ce projet est soumis à consultation jusqu’au 18 janvier 2019.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent.

Lire la suite

Projet de loi sur les données personnelles en Inde

Le ministère indien de l’Électronique et des Technologies de l’Information a publié un projet de loi sur la protection des données personnelles.  Cette loi devrait considérablement modifier les règles existantes sur la protection des données personnelles, tant pour les entreprises indiennes que pour celles qui, bien qu’établies en dehors de l’Inde, ont des interactions avec le pays.

Lire la suite

Dans quelle mesure le RGPD a-t-il aussi un impact en dehors de l’Union européenne ?

Applicable depuis le 25 mai 2018 dans chaque État membre de l’UE, le règlement général sur la protection des données (RGPD) a vocation à s’étendre à l’Espace économique européen dès que celui-ci l’aura adopté[1] , mais il aura un impact au-delà de ces pays.

 

Les entreprises établies dans l’UE

Le règlement général sur la protection des données (RGPD) s’applique aux entreprises « établies » dans l’Union européenne (UE) qui agissent en tant que « responsable de traitement » (entité qui décide des finalités et des moyens d’un traitement de données) ou « sous-traitant » (prestataire n’agissant que pour le compte du client et sur instruction).

Lire la suite

Le Comité Européen de la Protection des Données (EDPB) s’attèle au chaos des AIPD /DPIA

Avis sur 22 projets de listes nationales

Le 4 Octobre 2018 le Comité Européen de la Protection des Données (EDPB [1] ) a publié une série d’avis sur les listes de traitements qui doivent obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données « AIPD » ou « DPIA » en anglais (article 35, paragraphe 4, du RGPD), élaborées par les autorités de contrôle de 22 États membres, dont la France (voir les avis en anglais sous le lien  https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fr

Lire la suite

Données personnelles : le Japon vers la décision d’adéquation

Le 17 juillet 2018, l’UE et le Japon ont conclu leurs négociations sur l’adéquation réciproque. Ils ont convenu de reconnaître les systèmes de protection des données des uns et des autres comme adéquats, ce qui permettra le transfert des données personnelles en toute sécurité entre l’UE et le Japon.

La Commission européenne va maintenant lancer le processus conduisant à l’adoption de la décision d’adéquation au titre du Règlement Général sur la Protection des Données (RGPD).

Lire la suite

LexBlog