Archives: PROTECTION DES DONNEES PERSONNELLES

S'abonner au fil - RSS PROTECTION DES DONNEES PERSONNELLES

CJUE : arrêts récents sur la protection des données personnelles et de la vie privée sur internet

Panorama des décisions récentes de la Cour de Justice de l’Union Européenne, en matière de marketing et de cookies ainsi qu’en matière de droit au déréférencement, fondé sur la protection des données personnelles ou sur la réglementation sur le commerce électronique.

1. Sites internet responsables conjoints de traitement, lorsqu’ils insèrent un bouton “J’aime” – CJUE 29 juillet 2019, affaire Fashion ID, n° C‑40/17

2.

Lire la suite

Sites internet responsables conjoints de traitement, lorsqu’ils insèrent un bouton « J’aime »

CJUE 29 juillet 2019, affaire Fashion ID, n° C‑40/17

Le gestionnaire d’un site Internet, (ici Fashion ID, entreprise de vente de vêtements de mode en ligne) a inséré sur son site Internet le module « J’aime » du réseau social Facebook, permettant au navigateur du visiteur de ce site de transférer à Facebook des données personnelles du visiteur (que ce dernier ait ou non cliqué sur le bouton « J’aime » de Facebook).

Lire la suite

Pas de case pré-cochée pour les cookies !

CJUE 1er octobre 2019, affaire Planet49, n° C‑673/17

Planet49 GmbH, une société de jeux en ligne, propose un service de loterie en ligne. Pour utiliser le service, les utilisateurs devaient s’inscrire et fournir des données personnelles. Le formulaire d’inscription contenait deux cases à cocher :

  • La première demandait aux utilisateurs de cocher une case permettant à Planet49 de partager leurs données avec des partenaires commerciaux.


Lire la suite

Utilisation du numéro de sécurité sociale sous le RGPD et la loi Informatique et libertés

En application de l’article 87 du Règlement Général sur la Protection des Données ou « RGPD »[1], la loi nationale peut préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale tel que le numéro de sécurité sociale ou « NIR ».

Ce numéro est considéré en France comme une donnée personnelle à protéger tout particulièrement en raison d’une part, de son caractère unique et d’autre part, du fait que le numéro en lui-même contient des données personnelles.

Lire la suite

Un des nombreux visages de RGPD alias GDPR

Après avoir été personnifié(e) par Stephanie Faber à l’université des DPO de Janvier 2018 de l’AFCDP  (« Radio, Golf, Papa, Delta »),  RGPD est revenu(e) en janvier 2019 sous la forme d’un personnage de cartoon avec une hotte de Noël remplie de Lignes directrices et autres compléments du Comité Européen à la Protection des Données (CEPD ou EDPB en anglais).

« Le G29 est mort, vive le CEPD ! 



Lire la suite

13ème Université des DPO de l’AFCPD

Cette année encore Squire Patton Boggs sponsorise l’Université des DPO (Délégués à la protection des données) organisée par l’AFCDP (Association française des Correspondants à la protection des Données à caractère Personnel) qui se tiendra le mercredi 16 janvier 2019, à la Maison de la Chimie, à Paris.

Comme chaque année, cet évènement connait un grand succès puisqu’il est complet depuis un certain temps, malgré une capacité d’accueil de 800 personnes.

Lire la suite

Le nouveau Code des communications électroniques européen (CCEE) étend l’application de la Directive « Vie privée et Communications électroniques » aux services Over-The-Top (OTT)

Le 4 décembre 2018, le Conseil de l’UE a officiellement adopté la directive établissant le code des communications électroniques européen (CCEE). Cette directive a été publiée au Journal officiel le 17 décembre 2018.

À compter du 21 décembre 2020, les services OTT, c’est-à-dire les applications de messagerie instantanée, de courriels, d’appels téléphoniques sur Internet et de messages personnels émis par le biais de réseaux sociaux devront, à l’instar des fournisseurs de télécommunications traditionnels, se conformer aux obligations de confidentialité des données électroniques établies par la Directive « Vie privée et Communications électroniques ».

Lire la suite

Lignes directrices de l’EDPB sur le champ d’application territorial du RGPD / GDPR

Le Comité Européen de Protection des Données (en anglais EDPB) a enfin publié un projet (en anglais) de lignes directrices « draft guidelines » sur l’article 3 du Règlement Général sur la Protection des Données (RGPD).  Ce projet est soumis à consultation jusqu’au 18 janvier 2019.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent.

Lire la suite

Projet de loi sur les données personnelles en Inde

Le ministère indien de l’Électronique et des Technologies de l’Information a publié un projet de loi sur la protection des données personnelles.  Cette loi devrait considérablement modifier les règles existantes sur la protection des données personnelles, tant pour les entreprises indiennes que pour celles qui, bien qu’établies en dehors de l’Inde, ont des interactions avec le pays.

Lire la suite

Dans quelle mesure le RGPD a-t-il aussi un impact en dehors de l’Union européenne ?

Applicable depuis le 25 mai 2018 dans chaque État membre de l’UE, le règlement général sur la protection des données (RGPD) a vocation à s’étendre à l’Espace économique européen dès que celui-ci l’aura adopté[1] , mais il aura un impact au-delà de ces pays.

 

Les entreprises établies dans l’UE

Le règlement général sur la protection des données (RGPD) s’applique aux entreprises « établies » dans l’Union européenne (UE) qui agissent en tant que « responsable de traitement » (entité qui décide des finalités et des moyens d’un traitement de données) ou « sous-traitant » (prestataire n’agissant que pour le compte du client et sur instruction).

Lire la suite

Le Comité Européen de la Protection des Données (EDPB) s’attèle au chaos des AIPD /DPIA

Avis sur 22 projets de listes nationales

Le 4 Octobre 2018 le Comité Européen de la Protection des Données (EDPB [1] ) a publié une série d’avis sur les listes de traitements qui doivent obligatoirement faire l’objet d’une analyse d’impact relative à la protection des données « AIPD » ou « DPIA » en anglais (article 35, paragraphe 4, du RGPD), élaborées par les autorités de contrôle de 22 États membres, dont la France (voir les avis en anglais sous le lien  https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_fr ).

Lire la suite

Données personnelles : le Japon vers la décision d’adéquation

Le 17 juillet 2018, l’UE et le Japon ont conclu leurs négociations sur l’adéquation réciproque. Ils ont convenu de reconnaître les systèmes de protection des données des uns et des autres comme adéquats, ce qui permettra le transfert des données personnelles en toute sécurité entre l’UE et le Japon.

La Commission européenne va maintenant lancer le processus conduisant à l’adoption de la décision d’adéquation au titre du Règlement Général sur la Protection des Données (RGPD).

Lire la suite

La CNIL a publié le bilan des 4 premiers mois du RGPD

Les professionnels en France

– 24 500 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 13 000 DPO.
– Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes, soit environ 7 par jour depuis le 25 mai.
– Plus d’une centaine de demandes d’autorisation « santé », notamment en matière de recherche.

Lire la suite

Le RGPD couvre désormais l’EEE !

www.efta.int/EEA/news/General-Data-Protection-Regulation-GDPR-entered-force-EEA-509576

L’Espace Économique Européen ou « EEE » est constitué par les États membres de l’Union Européenne (actuellement 28 États jusqu’au Brexit) et trois des quatre États membres de l’Association européenne de libre-échange (AELE), à savoir : l’Islande, la Norvège et le Liechtenstein (le quatrième membre de l’AELE étant la Suisse).

Lire la suite

Biométrie au travail : consultation de la CNIL

Le Règlement général sur la protection des données (RGPD) applicable depuis le 25 mai dernier, modifie le régime juridique des traitements portant sur des données biométriques. L’article 9 du RGDP pose le principe général de l’interdiction d’utiliser des données biométriques aux fins d’identifier une personne physique de manière unique.

Lire la suite

La loi californienne sur la protection des données personnelles

California Product RosetteLa presse spécialisée c’est fait l’écho d’une nouvelle loi californienne, California Consumer Privacy Act of 2018, qualifiée de loi la plus stricte de l’histoire des États-Unis en matière de protection de la vie privée.  Cette loi devrait avoir un impact significatif même en dehors de l’État de Californie.  Elle a fait l’objet de critiques pour avoir été rédigée à la hâte afin d’éviter une modification par les citoyens (selon une procédure exceptionnelle spécifique à la Californie).

Lire la suite

Nouvelles méthodologies de référence de la CNIL dans les domaines de la recherche et des données de santé

Les délibérations de la CNIL suivantes ont été publiées au Journal official du 13 juillet 2018

  • Délibération n° 2018-153 du 3 mai 2018 pour les recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) (abrogeant la délibération n° 2016-262 du 21 juillet 2016)
  • Délibération n° 2018-154 du 3 mai 2018 pour les recherches dans le domaine de la santéne nécessitant pas le recueil du consentement de la personne concernée (MR-003) (abrogeant la délibération n° 2016-263 du 21 juillet 2016)
  • Délibération n° 2018-155 du 3 mai 2018 pour les recherches n’impliquant pas la personne humaine, des études et évaluations dans le domaine de la santé (MR-004)
  • Délibération n° 2018-256 du 7 juin 2018 pour les traitements de données nécessitant l’accès par des établissements de santé et des fédérations aux données du PMSI[1] et des résumés de passage aux urgences (RPU) centralisées et mises à disposition sur la plateforme sécurisée de l’ATIH[2] (MR 005)
  • Délibération n° 2018-257 du 7 juin 2018 pour les traitements de données nécessitant l’accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l’article L.


Lire la suite

Attention aux courriers frauduleux sur la « Mise en conformité RGPD »

Bon nombre de sociétés (dont certains de nos clients) ont reçus des courriers trompeurs, certains ressemblant à des mises en demeure d’une autorité publique fictive ou reproduisant le logo de la CNIL.

Exemples

Exemple

Il s’agit notamment de :

  • Faux formulaires « Déclaration normale RGPD » reproduisant frauduleusement le logo de la CNIL
  • Courriers ayant pour objet « Mise en conformité –rappel » avec le logo usurpé de la CNIL ou des fax « RGPD – Mise en conformité » invitant à appeler un service d’assistance téléphonique centralisé.


Lire la suite

Le programme des contrôles de la CNIL pour l’année 2018

La CNIL a adopté son programme annuel des contrôles pour 2018 par lequel elle envisage de réaliser environ 300 contrôles sur place, sur audition, sur pièces et en ligne.


1. Contrôle de la conformité au RGPD

La CNIL a annoncé explicitement qu’elle exercera ses contrôles :

– non seulement sur le respect des obligations nouvelles issues du Règlement Général sur la Protection des Données (RGPD) comme le droit à la portabilité, les analyses d’impact, etc..

Lire la suite

RGPD/ GDPR te voilà !

Le compte à rebours est presque terminé puisque le vendredi 25 mai 2018, après les ponts et entre les jours de grève, le RGPD (ou GPDR pour les anglophones) prend effet.

 

 

RGPD/ GDPR te voilà !

Si vous avez besoin d’aide, que ce soit en France, dans d’autres pays européens, ou dans vos relations avec des sociétés basées en dehors de l’UE, n’hésitez pas à avoir recours aux services de notre équipe internationale « Données Personnelles et Cyber-sécurité ».

Lire la suite

Nouvelles règles pour l’agrément des hébergeurs de données de santé

Le Code de la santé publique (Article L.1111-8 CSP) requière que les « hébergeurs de données de santé » ou « HDS » soient agréés pour cette activité. C’est une réglementation particulière à la France et à laquelle se heurtent bon nombre de sociétés étrangères.

À compter du 1er Avril 2018, la procédure d’agrément change de façon significative, passant d’un agrément ministériel à une certification.

Lire la suite

LexBlog