A propos de Murielle Cahen

https://www.murielle-cahen.fr/

Avocat à la cour (Paris 5eme arrondissement) J'interviens principalement en droit de la propriété intellectuelle, droit des nouvelles technologies, droit civil & familial, droit pénal, droit de l'immobilier, droit du travail, droit de la consommation Consultation juridique en ligne - Réponse en 24/48h max. (€100 TTC) Titulaire du certificat de spécialisation en droit de l'informatique et droit de l'internet. Editrice du site web : Avocat Online depuis 1999. Droit de l'informatique, du logiciel et de l'Internet. Propriété intellectuelle, licence, presse, cession, transfert de technologie. droit d'auteur, des marques, négociation et arbitrage... Cabinet d'avocats à Paris. Droit internet et droit social, droit des affaires spécialisé dans les nouvelles technologies et lois internet...

Articles de Murielle Cahen:

Jouets connectés : la CNIL intervient au sujet des poupées « Cayla » et du robot « i-Que »

En décembre 2016, l’association de consommateur « UFC-Que-Choisir » écrivait à la CNIL au sujet de la poupée « My Friend Cayla » et du robot « i-Que », deux jouets connectés présentant d’importantes failles techniques. La CNIL, par un rapport du 04 décembre 2017 , a mis en demeure la société à l’origine des produits.

On peut définir l’objet connecté  comme celui dont « la connexion à un réseau plus large, que ce soit directement par Wi-Fi par exemple, par l’intermédiaire du smartphone de l’utilisateur (souvent via une connexion Bluetooth) ou grâce à des protocoles de communications qui leur sont propres » va permettre de « répondre » à l’usager en cherchant la réponse adéquate sur ces réseaux.

Les jouets connectés « Cayla » et « i-Que », comme l’indique la CNIL, « répondent aux questions posées par les enfants […] sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets? ».

Néanmoins, les informations issues des échanges vocaux entre l’enfant et le jouet connecté, ou encore celles issues du formulaire d’inscription de l’application « My Friend Cayla App » sont des données qui sont récoltées par la société basée à Hong-Kong. Il s’avère que l’entreprise n’a intégré aucun dispositif de sécurité quant à l’usage de ces jouets connectés par les consommateurs.

La question se pose donc de savoir quels risques fait encourir l’usage des jouets connectés « Cayla » et « i-Que » aux enfants et à leurs parents, aussi bien au regard de leur propre sécurité (I) qu’au regard de la confidentialité de leurs données (II).

I. Le risque d’un usage détourné des jouets connectés lié au défaut de sécurité

Le risque réside ici dans l’usage détourné des fonctionnalités des jouets (A), sans qu’aucun système sécuritaire ne puisse prévenir une telle manœuvre (B).

A) Un risque lié au détournement des fonctionnalités du produit

Pour rappel, une application mobile  permet d’interagir avec les jouets, par le biais de commandes vocales auxquelles les jouets vont répondre, par le biais d’une connexion Bluetooth établie.

Cependant, il s’avère qu’une connexion aux jouets peut être établie à plus de 9 mètres. La présence d’obstacles, comme un mur ou une fenêtre, ne pose d’ailleurs aucun souci à un tel appariement.

Le domicile, tout autant que les lieux publics, demeure donc un lieu à risque, au regard de cette distance d’accessibilité du produit.

La CNIL a également pu constater que l’application permettait non seulement l’enregistrement des « conversations », mais aussi de dialoguer directement avec l’enfant par le biais de messages enregistrés ou par l’utilisation du jouet en « kit mains libres ».

Ces atteintes constituent une atteinte grave à la sécurité et la vie privée  des personnes concernées, « ?L’absence de sécurisation des jouets, permettant à toute personne de possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants ou des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical (…)? »? », comme l’indique le rapport de la CNIL.

Ces questions de sécurité se posent d’autant plus que l’entreprise fabricante n’a pas pris soin de doter ses produits de systèmes d’authentification.

B) Un risque accru par manque de système d’authentification

Aucun dispositif d’identification n’est rattaché aux jouets en question, si bien que « l’intrusion » dans le système sera la plupart du temps indétectable pour l’enfant comme pour les parents.

Les contrôleurs de la CNIL constatent ainsi « qu’une personne peut connecter un téléphone mobile aux jouets […] sans avoir à s’identifier (par exemple, avec un code PIN ou un bouton sur le jouet) ».

Aujourd’hui le nombre d’objets connectés est en forte croissance, et la question reste entière de savoir si un enfant en bas-âge s’avère capable ou non de discerner le fonctionnement « normal » du robot de l’utilisation « malveillante » qui peut en être faite.

À la vue de ces risques, l’Allemagne avait d’ailleurs interdit la commercialisation de ces jouets sur le territoire . En France, la présidente de la CNIL a « mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation [des] jouets connectés à destination d’enfants ».

Par ailleurs, la CNIL a également soulevé le « défaut d’information des utilisateurs des jouets ».

II. Le risque d’un usage détourné des données collectées par les jouets en question

La collecte des données à l’insu des consommateurs constitue non seulement une violation des dispositions en vigueur concernant la protection des données (A), mais également un risque du fait de la fragilité de la protection accordée à ces données (B).

A) Le problème de la collecte et de la gestion des données à l’insu des consommateurs

L’association de consommateurs, dans son rapport du 06 décembre 2016, soulignait que « les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». Elle soutient également que « ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés (…) hors de l’Union européenne, sans le consentement des parents ».

De plus, les jouets en question sont également utilisés à des fins de publicités ciblées par l’entreprise, prononçant « ?régulièrement des phrases préprogrammées, faisant la promotion de certains produits […] les conditions contractuelles [supposant] que le simple fait de visualiser une publicité ciblée constitue un accord express à recevoir de telles publicités ciblées? ».

Toutes ces informations violent évidemment et non seulement la loi Informatique et Libertés, mais également le Règlement général sur la protection des données, nouveau grand texte européen en la matière, amené à entrer en vigueur en mai prochain.

B) Le problème du vol des données à l’insu des entreprises

En effet, quand on sait qu’aucun système de traitement des données n’est complètement sécurisé, et à l’heure où de grandes compagnies basant leur modèle économique sur la donnée (Uber par exemple) font l’objet de fuites massives, le souci d’une gestion fiable de nos données par des entreprises aussi peu soucieuses de la sécurité et des lois en vigueur se pose.

Des produits similaires ont déjà fait l’objet de fuites : en début d’année 2017, l’entreprise américaine « Spiral Toys » a été victime d’une cyberattaque à l’origine du vol de plus de 800?000 messages vocaux enregistrés par les poupées « Cloudpets » sur deux bases de données  non sécurisées.

Cette affaire ne manque donc pas d’alarmer au regard des problèmes posés par la poupée Cayla et du robot i-Que, et porte à s’interroger sur la façon dont le droit français pourrait venir réguler ces questions.
L’association de consommateur précitée a, en 2016, saisi la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (« DGCCRF ») dans le but d’obtenir des sanctions « pour tout manquement aux dispositions légales et réglementaires ».
La mise en demeure de la CNIL est un premier pas en ce sens. Reste à voir comment les entreprises à l’origine de ces produits réagiront non seulement face à cette alerte, mais aussi et surtout dans les faits face à l’exploitation de plus en plus récurrente de ces failles.

Pour lire l’article sur les jouets connectés en version plus complète

SOURCES :

https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Par Commerce electronique, internet-et-droit • Tags: , , , , , ,

Les marques et le « dark social »

 » En nombre de partages, il y a une forme d’équilibre entre les partages publics et privés. La viralité est assez équivalente même s’il y a une différence sur les volumes de partage  » selon Raphaël Labbé. Le nombre de partages de contenus dans des conversations privées a explosé ces dernières années, passant ainsi de 69% à 84% des partages entre 2014 et 2016, au détriment des interactions publiques sur les réseaux sociaux.

Le concept de dark social fait référence aux partages  » invisibles  » qui ont lieu, notamment, sur les applications de messagerie, les emails et les textos. L’expression  » dark social  » a été employée pour la première fois en 2012 par le journaliste américain Alexis Madrigal. Elle désigne le phénomène selon lequel on ne peut mesurer que le sommet de l’iceberg en matière de partages sur le web et les réseaux sociaux. En effet, le caractère privé de ces moyens de partages (emails, applications de messagerie…) rend les activités qui en découlent presque impossible à quantifier pour les professionnels du marketing. Pour les marques, l’enjeu consiste surtout à adapter leur stratégie à ces nouvelles pratiques.

La marque est un signe qui permet à un fabricant ou à un commerçant, dans ses rapports avec la clientèle, de distinguer ses produits ou ses services de ceux de ses concurrents et dont le droit de marque permet l’appropriation. Le dépôt d’une marque assure à son propriétaire la possibilité de se défendre contre l’usage sans autorisation de celle-ci par un concurrent. Cette protection accordée par le droit français a une durée de 10 ans, contre 20 ans pour les brevets. Ainsi, le droit des marques protège le titulaire d’une marque en lui confiant un droit exclusif d’exploitation. Cela permet à la marque d’assumer sa fonction principale de garantie d’origine des produits et de distinction avec les produits des concurrents.

Ce droit protège donc le titulaire d’une marque contre la contrefaçon, par exemple, dans le cadre de stratégies commerciales publiques telles que le référencement sur internet. L’augmentation récente de pratiques commerciales alternatives regroupées sous l’expression  » dark social « , présente un enjeu important pour cette branche du droit qui va devoir s’adapter. En effet, les partages via des moyens privés de conversation rendent difficile le contrôle et donc l’encadrement par le droit de ces pratiques.

Lorsque le dark social engendrera un contentieux important, le droit des marques devra évoluer. Il est donc important de surveiller cette évolution.

Pour lire l’article sur les marques et le dark social en version plus complète , cliquez ici

Articles en relation :

Sources :
– http://www.zdnet.fr/blogs/social-media-club/dark-social-quelles-opportunites-pour-les-marques-dans-des-usages-de-plus-en-plus-prives-39852130.htm
– https://www.definitions-marketing.com/definition/dark-social/
– https://www.talkwalker.com/fr/blog/dark-social-trou-noir-medias-sociaux
– http://blog.groupe361.com/20170308-dark-social-marques/

Par internet-et-droit • Tags: , , ,

Conditions générales d’utilisation : quel droit applicable ?

Dans une volonté de plus en plus marquée de protéger les consommateurs, la Cour de justice de l’Union Européenne a empêché Amazon d’imposer l’application de la loi luxembourgeoise dans ses conditions générales de vente.

La loi applicable aux situations internationales est un des problèmes fondamentaux du droit international privé. Cependant, l’insertion de certaines clauses dans les  conditions générales  permet de éluder le droit.

Celles-ci permettent en effet qu’en cas de litige, c’est la loi désignée par le contrat qui s’appliquera. Il arrive cependant que des dispositions d’ordre public international, ou  » lois de police « , s’appliquent malgré ces clauses.

La cour de cassation définit l’ordre public international comme la situation où  » le juge français applique directement une loi étrangère ou une loi de police française. Dans ce cas, celle-ci s’impose en dehors de tout raisonnement de droit international privé, et donc sans référence à la conception française de l’ordre public. « . L’ordre public international est généralement d’origine nationale, française donc, mais certaines dispositions de droit européen constituent aussi des lois de police.

Néanmoins, le géant américain Amazon stipule à l’article 12 de ses conditions générales d’utilisation que  » le droit luxembourgeois s’applique à l’exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises (CVIM). « . Ainsi, elles ne font pas mention des lois impératives s’appliquant en toutes circonstances.

L’association de consommateurs autrichienne VKI a ainsi assigné Amazon devant les juridictions autrichiennes. La cour suprême a donc adressé des questions préjudicielles à la CJUE pour savoir quel était le droit applicable à ces conditions de vente, mais aussi quel était le droit applicable au traitement de données effectuées par cette société. La cour a répondu à ces questions le 28 juillet 2016.

Après l’analyse de cette décision (I.), on verra qu’elle s’inscrit dans un mouvement de protection du consommateur (II.).

I. Analyse de l’arrêt de la CJUE

A. Quant au traitement de données

Le traitement de données  renvoie à une série de processus permettant d’extraire de l’information ou de produire du savoir à partir de données brutes.

La Cour autrichienne pose à la CJUE la question de savoir si  » le traitement de données par une entreprise de commerce électroniques commerçant avec des consommateurs d’autres Etats membres est soumis à la directive 95/46  exclusivement, ou au droit de l’Etat où l’entreprise a son établissement qui procède au traitement, ou bien si celle-ci est tenue de respecter le droit des Etats vers lesquels elle dirige son activité ? « .

Ainsi, la directive 95/46 de l’Union Européenne, dans son article 4, dispose que :
 » Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable; « .

La Cour laisse à la juridiction nationale le soin d’apprécier si l’entreprise dirige son activité vers un Etat, et si elle traite les données en question dans le cadre des activités d’un établissement situé dans cet Etat. Ca sera alors le droit de ce dernier qui s’appliquera.

Ici, l’établissement doit être compris au sens de l’arrêt Weltimmo du 1er octobre 2015 , à savoir un établissement stable et un exercice d’activités réelles.
En l’espèce, tant la CJUE que l’avocat général considèrent que le droit allemand est applicable.

B. Quant à la loi applicable aux conditions d’utilisation d’Amazon

Ici, la juridiction autrichienne demande quelle est la loi applicable aux conditions générales de vente d’Amazon, mais aussi la méthode pour déterminer la loi applicable.

La CJUE répond que  » La loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement Rome I, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective « .

Ainsi, cette clause  n’ayant pas fait l’objet d’une négociation individuelle sera abusive si elle induit le consommateur en erreur en lui donnant l’impression que seule la loi de cet Etat membre s’applique. Elle créera alors un déséquilibre significatif au détriment du consommateur.

Ainsi, il faut préciser que des dispositions impératives pourraient s’appliquer, au risque d’être considéré comme une clause abusive, ce qui a été le cas pour les conditions générales de vente d’Amazon.

II. La protection croissante des consommateurs

A. La protection du consommateur par le droit européen

L’Union Européenne a une tendance forte à vouloir protéger les consommateurs  contre les professionnels. Cet arrêt concernant les conditions générales d’Amazon n’en est qu’une illustration supplémentaire.

En effet, les géants du web (les  » GAFA « ) ont une volonté prononcée de se protéger au maximum, mais souvent au détriment du consommateur. Les exemples les plus explicites sont ceux concernant leurs montages fiscaux, notamment en utilisant le droit irlandais, ou bien, comme l’illustre l’arrêt précédent, en soumettant leurs contrats d’adhésion à un droit les favorisant, ou encore à obliger les consommateurs à devoir saisir des juridictions spécifiques, souvent californiennes.

C’est pourquoi  » la politique de l’UE vise à garantir la sécurité des consommateurs (…) à préserver leurs intérêts dans de nombreux domaines comme (…) les clauses contractuelles abusives « .

Ainsi, pour les problèmes inhérents au droit international privé, l’Union Européenne a pris le parti d’adopter deux règlements. Le premier est le règlement «  Rome I  » , du 17 juin 2008, sur la loi applicable aux obligations contractuelles, et le second est le règlement  » Bruxelles I  » , complété par le règlement  » Bruxelles I bis « , relatifs à la compétence judiciaire en matière civile et commerciale.

Ces règlements considèrent en terme général que peut-être applicable la loi de l’Etat vers laquelle  » l’activité de l’entreprise est dirigée « , c’est à dire souvent la loi de l’Etat de résidence du consommateur. Aussi, la plupart du temps, le consommateur pourra saisir les juridictions de son Etat de résidence.

Le but de ces lois est évidemment non seulement d’éviter des frais de déplacement importants au consommateur, qui sont assumables plus aisément pour l’entreprise, mais aussi de faire en sorte que le consommateur ait une connaissance ainsi qu’une maitrise suffisante de la loi qu’on lui applique. En effet, le ressortissant autrichien ne connaitra que très rarement la loi luxembourgeoise en matière de contrat commercial électronique.

Enfin, l’Union Européenne tend à favoriser les actions des groupes de consommateurs, les  » class-action « , pour mutualiser les demandes et faire en sorte qu’au moins sur le terrain contentieux, les parties soient sur un pied d’égalité.

B. La protection du consommateur en droit français

Le droit français, lui aussi, a une tendance de plus en plus nette favorisant les consommateurs.

D’abord, ces mêmes règlements européens précédemment cités sont applicables en France, ainsi tous les mécanismes précédemment cités sont disponibles pour le consommateur français.

Cependant, la France a tenu à aller plus loin. Avec la réforme du droit des contrats entrée en vigueur le 1er octobre 2016 , le code civil a été modifié. Ainsi, un nouvel article 1171 dispose que  » Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite.  » .

Or, les contrats qui nous intéressent ici (Conditions générales d’utilisation ou de vente), sont des contrats d’adhésion. Les contrats d’adhésion sont en effet les contrats dont les termes sont imposés par une partie à l’autre, c’est à dire que l’autre partie doit y consentir ou y renoncer. Aucune clause n’est négociable.

Ainsi, avant même l’entrée en vigueur de la réforme, le tribunal de la mise en l’état avait considéré que la clause attributive de compétence renvoyant aux juridictions californiennes contenues dans les conditions générales de Facebook était une clause abusive, et que l’utilisateur de Facebook, s’il crée un compte pour ses activités personnelles, était bien un consommateur.

Telle solution est transposable aux contrats d’adhésion proposés par Google ou Amazon, et double la protection du consommateur.

Articles en relation :

Sources
http://www.legalis.net
http://www.usine-digitale.fr/article/l-europe-dans-la-jungle-d-amazon.N438197
http://www.net-iris.fr/veille-juridique/actualite/34344/les-conditions-generales-de-facebook-sanctionnees.php
https://europa.eu/european-union/topics/consumers_fr

Pour lire l’article sur Conditions générales d’utilisation : quel droit applicable ?, de façon plus complète, cliquez

 

Par internet-et-droit • Tags: , , , , ,

Règlement général sur les données personnelles (GDPR)

En adoptant la directive 95/46/CE, l’Union Européenne a voulu encadrer le droit aux protections des données. Les États avaient cependant une marge pour appliquer cette directive. L’Union a donc décidé aujourd’hui en avril 2016, par le règlement GDPR, d’uniformiser le droit des données personnelles en Europe.

Le Parlement Européen a adopté le 14 avril 2016 le règlement GDPR qui entrera en vigueur le 24 mai 2018. Il contient la nouvelle législation européenne en matière de données personnelles . Il abroge la directive 95/46/CE qu’il remplace.

Les données représentent toutes les informations relatives à une personne identifiée ou pouvant être identifiée. Elles comprennent tant les noms et prénoms que les numéros de sécurité sociale des individus. De par leur importance, il est évident qu’elles doivent faire l’objet d’une protection spécifique.

Le législateur français a très vite protégé les données personnelles par une  » Loi relative à l’informatique, aux fichiers et aux libertés  » de 1978. Cette loi pose les principes de base de la protection des données personnelles en créant notamment la Commission Nationale de l’informatique et des libertés, la CNIL, et en citant les droits principaux des individus concernés, comme le droit d’opposition .

Plus tard, ça sera la directive européenne 95/46/CE, transposée par une loi de 2004, qui constituera le droit applicable en la matière, harmonisant ainsi le droit des données en Europe.

C’est aujourd’hui le règlement européen GDPR qui va constituer le droit positif européen. En tant que règlement, il s’appliquera directement sans transposition dans tous les 27 États membres de l’Union. Il a pour vocation principale d’étendre les droits des citoyens, ainsi que la fonction de contrôle de la CNIL et des différentes autorités de protection européennes.

I. L’impact du GDPR sur les sujets de droit

A. L’impact sur les citoyens

Le règlement GDPR a pour ambition première d’étendre les droits des citoyens européens en matière de donnée personnelle.

Pour ce faire, il pose les bases d’un encadrement des données personnelles des enfants de moins de 16 ans. Ceux-ci devront désormais obtenir une autorisation parentale pour s’inscrire sur les différents réseaux sociaux comme Facebook. Cette innovation parait logique, si bien que la plupart des États européens s’étaient déjà dotés d’une législation similaire. Ainsi, pour ne pas brusquer ces lois, le règlement permet aux États de baisser la limite d’âge jusqu’à 13 ans.

En second lieu, le règlement tend à renforcer les droits du citoyen. Il impose ainsi de donner un  » consentement explicite et positif « . En fait, pour chaque traitement de données, le consommateur devra donner explicitement son consentement . Son accord ne saurait être déduit de son comportement.
Ce droit au consentement s’accompagne de la consécration du droit à l’oubli. Grâce à ce droit, un individu peut demander le retrait, l’effacement de toute information nuisant à sa vie privée, à moins que le responsable de traitement n’invoque un  » motif légitime « , qui s’apparente à l’intérêt général.
Le GDPR oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L’utilisateur pourra donc prendre les mesures nécessaires pour se protéger.

Enfin, il ouvre la voie à la  » class-action « , à l’action collective en cas de violations de données personnelles. Comme pour les consommateurs, ce seront des associations qui seront habilitées à mener tels recours.

B. L’impact sur les entreprises et les professionnels

Le règlement a aussi pour ambition de responsabiliser les entreprises qui traitent les données. D’abord procéduralement. Le droit des données s’appliquera en effet tant aux responsables de traitement qu’aux sous-traitants, à partir du moment où ils sont établis sur le territoire de l’Union.

Le second moyen de responsabiliser les entreprises est par l’établissement de protections conformes et adéquates, qui peuvent être contrôlées à tout moment. Pour aider les entreprises dans cette tâche, le règlement leur impose de désigner un  » DPO « , Délégué à la protection des données (http://www.murielle-cahen.com/publications/p_cnil.asp) qui a pour rôle la mise à jour constante des protections pour qu’elles répondent aux exigences européennes.

Les entreprises doivent aussi informer l’utilisateur du piratage et de la violation de ses données par une notification qui doit être envoyée dans les 72 heures suivant la violation.

Le règlement pose aussi la limite des  » données sensibles « , qui sont celles traitant par exemple de l’orientation politique ou religieuse d’un individu. Pour éviter un effet de « profilage « , les responsables de traitement doivent réaliser une étude d’impact pour déterminer si les données sensibles sont prépondérantes.

II. L’impact du GDPR sur les organismes de contrôle

 A. Le renouvellement des prérogatives des  » CNIL  » européennes

C’est d’abord géographiquement que le GDPR révolutionne les autorités de protection. En effet, les citoyens pourront dorénavant saisir l’organisme de leur propre État, quel que soit le lieu d’établissement de l’entreprise de traitement, pour n’importe quelle violation.

Les autorités de protection se voient aussi dotées d’un pouvoir de sanction administrative  agrandi. Ils pourront ordonner la rectification ou l’effacement des données aux entreprises de traitement des données.
Mais principalement, ils pourront infliger des amendes administratives pouvant être comprises entre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise, ou de 10 à 20M si l’amende est dirigée contre un organisme.

Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d’opérations transnationales, c’est-à-dire qu’il concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une  » autorité-chef de fil  » qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.

B. La création d’un organisme de contrôle au niveau européen, le CEPD

Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.
Le G29 est l’organe européen indépendant qui s’occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises. Pour 2016, il s’est fixé quatre objectifs principaux, dont l’un est la préparation de la mise en place du CEPD en lui fixant des lignes directrices.

Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s’assurant de l’uniformité sur le territoire de l’Union Européenne du droit de la protection des données.

D’abord, les différentes autorités de protections nationales comme la CNIL seront toutes représentées au sein du CEPD.
Aussi, dans les opérations de coopération, l’autorité  » chef de file  » propose les mesures et les décisions. Si celles-ci font l’objet d’objection, l’affaire est portée devant le CEPD qui rendra un avis contraignant, c’est-à-dire que l’autorité  » chef de file  » aura l’obligation de suivre cet avis.

Concrètement, le CEPD représentera l’autorité suprême européenne en matière de protection des données, comme le Conseil d’État ou la Cour de cassation pour le droit français. En effet, le citoyen s’adresse en premier lieu à l’autorité nationale en cas de litige, et celle-ci s’adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu’a actuellement le G29.

Articles en relation :

Données
Vie privée
Spamming
Consentement
Non concurrence
Cnil

Sources :

– https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
– http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes

Par internet-et-droit • Tags: , ,

«< 84 85 86 87 88 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes