rgpd

LE DROIT À L’OUBLI

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, au sein d’une section consacrée aux droits de la personne concernée, affecte son article 17 à la notion de « Droit à l’effacement » des données à caractère personnel.

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent

Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.

I. Le principe du droit à l’oubli

A) La portée du droit à l’oubli

Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.

En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.

Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.

 

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement

Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

  1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
  3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
  4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
  6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.

En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

B) Les limites du droit à l’oubli

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :

  1. De l’exercice du droit à la liberté d’expression et d’information ;
  2. Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
  3. De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  4. De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  5. De la constatation, de l’exercice ou de la défense de droits en justice.

C) Ouverture sur un déréférencement mondial au cas par cas

Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.

En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».

La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N ° 2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.

La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n° 391000).

Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».

Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.

Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.

Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.

La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD

Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmer l’annulation de sa décision du 10 mars 2016.

II. Le droit à l’oubli en pratique

A) Identifier l’organisme à contacter

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.

Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales »

B) Exercer le droit à l’effacement auprès de l’organisme

L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.

A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».

Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.

En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.

En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.

Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

D) Que faire en cas de refus ou d’absence de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.

Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.

En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.

Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Pour lire une version plus complète du droit à l’oubli, cliquez

SOURCES :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131

https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf

Par internet-et-droit • Tags: , , , , ,

COMPTEURS LINKY : LA CNIL MET EN DEMEURE ENGIE ET EDF

NOUVEAU : Utilisez nos services pour faire respecter vos droits en passant par le formulaire !

Depuis  2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d’électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L’enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).

L’instance reproche deux points aux fournisseurs d’énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu’Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.

La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s’y trouvent, le type d’appareils utilisés) et sont susceptibles d’être revendues à des acteurs commerciaux. C’est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.

 

Besoin de l’aide d’un avocat pour un données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.

 

1. Un consentement non spécifique et insuffisamment éclairé

Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné. Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque. À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement.

Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).

Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).

Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.

La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.

Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».

 

2. Des durées de conservation excessives

Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation et de mise à disposition de l’historique de consommation dans l’espace client excluent la fixation d’une durée de conservation aussi longue.

De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.

 

3. La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour lire un version plus complète de cet article sur les compteurs linky et la Cnil, cliquez

SOURCES :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034731377&cidTexte=LEGITEXT000006069565&dateTexte=20170701

Par internet-et-droit • Tags: , , , ,

La nouvelle voie de recours de protection des données crée par la CJUE

Dans une décision du 1er octobre 2019 (JOUE L 261/97, 14 oct. 2019), la Cour de justice de l’Union européenne a mis en place un mécanisme interne de contrôle sous la forme d’une nouvelle voie de recours en matière de traitement des données à caractère personnel effectué dans le cadre des fonctions juridictionnelles de la Cour.

En effet dans le cadre de leur travail, il est fréquent que les institutions européennes soient amenées à procéder au traitement des données personnelles de citoyens avec lesquelles ils échangent. (1)

Dans ce cadre, étant destinataire et détenteur d’informations à caractère personnel, il était nécessaire que le règlement s’applique aussi au traitement des données à caractère personnel dans le cadre de la mission juridictionnelle de l’Union européenne.

Il est possible de constater suite à cette récente décision, que les instituions de l’Union européenne ne peuvent se soustraire aux obligations relatives à la protection des données personnelles. Le règlement de l’Union européenne 2018/1725 émanant du parlement européen ainsi que du Conseil en date du 23 octobre 2018 concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union prévoit un alignement des règles applicables aux institutions de l’Union européenne avec le Règlement général à la protection des données . (2)

Les institutions et organes de l’UE sont parfois amenés à traiter des informations à caractère personnel communiquées par des citoyens sous forme électronique, écrite ou visuelle.

Le règlement (UE) 2018/1725 précise un ensemble de règles en matière de protection des données au sein des institutions de l’Union européenne, crée une autorité de contrôle – le contrôleur des données – et en définit les fonctions et les compétences, la mission de ce dernier ne s’étend pas au traitement effectué par la Cour dans l’exercice de ses fonctions juridictionnelles. Toutefois, le règlement ménage la possibilité de la création d’un mécanisme interne de contrôle (§ 74).

 « La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne. »

Or, comme le rappelle la Cour dans sa décision, les données à caractère personnel bénéficient de la protection au titre de l’article 19, au titre III « disposition relatives aux institutions »  du Traité de l’Union européenne et l’article 8 de la Charte des droits fondamentaux.

L’article 8, § 3, de la Charte prévoit que toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.

Toute personne dispose du droit à droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. (3) & (4)

La CJUE s’appuie sur le dernier point celui du contrôle soumis à une autorité indépendante, sur ce fondement, la Cour décide donc de créer une procédure de réclamation en deux temps.

Nous allons observer les précédentes voies de recours offertes au justiciable (I) avant d’observer de quelle manière s’articule la nouvelle voie de recours instaurer par la Cour de justice de l’Union européenne (II).

I. Les voies de recours existantes offertes au justiciable

Il faut ici observer la réclamation auprès d’une autorité de contrôle (A) mais aussi le droit de réclamation accordée au justiciable contre un responsable de traitement ou un sous-traitant (B).

A) La réclamation auprès et à l’encontre d’une autorité de contrôle

L’article 77 du règlement à la protection des données précise un droit de réclamation auprès d’une autorité de contrôle «  Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (https://www.murielle-cahen.com/publications/etude-sites.asp).

L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. (5)

On retrouve au terme de cet article l’ensemble des conditions requises afin de procéder à une réclamation auprès d’une autorité de contrôle.

L’article 78 du règlement à la protection des données précise qu’il est possible de déposer une réclamation à l’encontre d’une autorité de contrôle, il faut comme pour l’article 77 que sans préjudice de tout autre recours administratif ou extrajudiciaire, il faut être une personne physique ou morale afin de former le recours contre une décision juridiquement contraignante d’une autorité de contrôle la concernant. Il est nécessaire l’autorité de contrôle compétente en vertu des articles 55 et 56 ne traite pas la réclamation ou que celle-ci n’informe pas la personne concernée dans un délai de trois mois de la réclamation introduite au titre de l’article 77 du règlement à la protection des données.

L’action devra être intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité est établie. Dans le cas d’une action intentée contre une décision d’une autorité précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

B) Le droit à un recours contre un responsable de traitement ou un sous-traitant

L’article 79 du règlement à la protection des données précise que chaque personne concernée a droit à un recours juridictionnel effectif dès le moment où elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

Toute action contre un responsable du traitement ou un sous-traitant (https://www.murielle-cahen.com/publications/rgpd-soustraitant.asp) est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement (https://www.murielle-cahen.com/publications/facebook-responsabilite.asp) ou le sous-traitant dispose d’un établissement.

Mais une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

II. L’ouverture d’une nouvelle voie de recours

La CJUE de par cette décision a permis l’ouverture d’une nouvelle voie de recours, en commençant par la saisine du greffier de la CJUE (A) et un recours concernant les décisions du greffier (B).

A) La saisine du greffier de la CJUE

Dans un premier temps afin de mettre en application la nouvelle voie de recours, il sera nécessaire de saisir le greffier de la Cour, responsable du traitement des données à caractère personnel dans le cadre des fonctions juridictionnelles de la Cour de justice.

Celui-ci aura deux mois pour notifier sa décision au justiciable arguant de la violation de son droit à la protection de ses données personnelles. Un silence au-delà de ce délai vaudra par ailleurs décision implicite de rejet.

B) Une décision susceptible de recours devant le comité

Dans un second temps la nouvelle procédure réside dans un mécanisme de recours des décisions du greffier, auprès d’un nouvel organe interne créer à cet effet «  le comité ».

Le comité sera composé d’un président et de deux membres choisis parmi les juges et les avocats généraux de la Cour de justice et désignés par la Cour sur proposition de son président, le comité est assisté par le conseiller juridique pour les affaires administratives de la Cour et se réunit sur convocation du président.

Le requérant disposera d’un délai de deux mois afin de faire valoir et présenter sa réclamation, à compter de la notification de la décision ou de la date à laquelle la personne en a eu connaissance.

Une fois la réclamation jugée recevable, le Comité décidera de faire passer un entretien à toute personne dont il juge l’audition utile.

Le comité se verra confier de multiples pouvoir en effet celui-ci pourra annuler, réformer, ou conformer la décision litigieuse. Il devra en notifier l’auteur de la réclamation dans un délai de quatre mois à compter de l’introduction de la réclamation. Enfin, l’introduction d’un recours juridictionnel contre ladite décision mettra fin à la compétence du comité.

Pour lire un version plus complète de cet article sur la protection des données au niveau européen, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

SITES INTERNET : LES ENTREPRISES RESPECTENT ELLES LEURS OBLIGATIONS D’INFORMATIONS AUPRÈS DES UTILISATEURS ?

L’étude «Start up Legal Scanner», réalisée par le Cabinet Murielle CAHEN, fait apparaître que la moitié des start-ups françaises font preuve d’une grave négligence en matière d’obligations juridiques.

Un panel de 185 Startups «pérennes» exerçant dans domaines représentatifs de l’écosystème start-up français (e-commerce, services, social, saas, médical…), de différents niveaux de maturité (3 à 10 ans) a été analysé par le Cabinet Murielle CAHEN afin de déterminer dans quelle mesure elles respectent ou non les obligations qui leur incombent sur leur site internet en matière d’informations des utilisateurs et consommateurs.

31 clauses critiques liées aux pages mentions légales, CGU, CGV et RGPD ont été contrôlés de façon. Pour chaque point, deux dimensions ont été analysées : l’existence et la validité de la clause.

 

Trois quarts des start-ups n’ont pas de page RGPD

Seulement 23 % des entreprises issues du tableau ci-dessous respectent l’obligation de faire apparaître la nouvelle réglementation issue du Règlement Général de Protection des Données. Pour cela elles doivent mettre sur leur site internet un accès à la nouvelle réglementation via un onglet. Pourtant, cette obligation faite aux entreprises et applicable depuis le 25 mai 2018 n’est pas respectée par toutes et la plupart des sites internet ne comportent aucun contenu sur le RGPD.

Par ailleurs, si certaines entreprises ont une lecture très visible des RGPD sur leur site internet grâce à un onglet visible sur la page d’accueil, pour beaucoup il faut faire une recherche minutieuse avant de trouver les informations.

 

 

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Plus d’une start-up sur deux ne fait pas apparaître le nom du directeur de la publication.

Il est obligatoire de faire apparaître le nom du directeur ou co directeur de publication dans les mentions légales.

Mais seules 49,5 % des startups renseignent sur leur site internet le nom du directeur ou du codirecteur de la publication le cas échéant, celui du responsable de la rédaction au sens de l’article 93-2 de la loi nº 82-652 du 19 juillet 1982.

Cette obligation a été renforcée par la loi pour la confiance dans l’économie numérique du 12 juin 2004 qui a précisé dans les mentions légales qui devaient nécessairement apparaître sur un site internet afin de contrôler et d’identifier les auteurs de contenu.

Mais cette obligation est très importante puisqu’elle permet à toute personne d’identifier le responsable du site. En effet, le nombre très important de sites internet existant multiplie le nombre des éventuels litiges qui peuvent apparaître.

 

Deux tiers des start-ups n’ont pas de CGU ou de CGV

Seuls 37,6 % des sites internet appartenant aux entreprises présentées dans le tableau comportent des Conditions Générales d’Utilisation (CGU) ou Conditions Générales de Vente (CGV) permettant alors aux utilisateurs de leur site internet de connaître les conditions d’utilisation ou de ventes applicables.

Si cette obligation est essentielle, car elle est nécessaire pour que les utilisateurs ou consommateurs puissent connaître leur droit ainsi que les obligations lorsqu’ils achètent un produit ou un service sur le site internet, la présence de ces Conditions est bien trop rare.

Par ailleurs, si elles sont utiles pour l’utilisateur, elles le sont aussi pour le site lui-même qui doit, en cas de litige, pouvoir arguer de la présence de ces Conditions.

 

Deux tiers des start-ups omettent la clause de compétence juridictionnelle

32 % des sites renseignent l’utilisateur ou le consommateur sur la compétence de juridiction applicable en cas de litige. Pourtant, une fois encore cette information est plus que nécessaire puisque la plupart du temps les utilisateurs craignent de ne pouvoir agir en justice lorsqu’il s’agit d’entreprise internationale, ne sachant pas devant quel tribunal ils devront intenter leur action.

 

La moitié des start-ups n’intègrent aucune clause limitative de responsabilité

45 % des sites contiennent dans leur CGU ou CGU une clause de limitations de responsabilités dans certaines situations (Attention il n’y a pas d’exclusion totale de responsabilité en droit de la consommation sauf en cas de force majeur). 2 % des sites contiennent cette clause de responsabilité, mais cette dernière est mal expliquée.

 

Comment expliquer ces manquements, parfois graves ?

L’explication est probablement multi- factorielle, mais ces négligences semblent majoritairement liées à ce qui est enseigné dans certains incubateurs ou accélérateurs, par certains « mentors » qui défendent le fait qu’une start-up doit se concentrer sur la croissance et que tout ce qui est de nature à freiner la croissance, notamment les contraintes juridiques, doit passer au second plan.

 

Cliquez ici pour voir le tableau sur l’étude des cgv et les manquements constatés en entier

Liste des sites étudiés

https://murielle-cahen.com/tableau.pdf

 

ALPHYR (LYNX RH)
BRICO PRIVÉ
INOP’S
VOD FACTORY
GROUPE POINT VISION
CROSSCALL
SAS ASI INNOVATION
DOCTOLIB
LYSOGENE
DAY USE
OUTSCALE
PICTURE ORGANIC CLOTHING
HESUS
ALTERSIS
S4M
AZEO
VALBIOTIS
CONNEXING
KLANIK
ADYOULIKE
SUBLIME SKINZ
ATHÉO INGÉNIERIE
METSYS
SIYOUR
SUNTRADE TRAVEL
BIG FERNAND
CONSERTO
E4V
INVENTY
STARDUST MEDIA (CHEERZ)
AMANCE (MAPLACEENCRÉCHE)
BBB / GOOD GOÛT
UNIVERS RUNNING
HYDRANE (BIDMOTION)
CVDM SOLUTIONS (PLANORAMA)
DELVILLE MANAGEMENT
ORÈS
ALCUIN
SARL ENR DISTRIBUTION
MAPPING CONTROL SAS
GROUPE ELEVEN
COALISE
NOVADAY
CONTENTSQUARE
BLOOMUP
PRIMO1D
PLATFORM.SH
MYCOMM
LE SLIP FRANÇAIS
AVENIR DÉVELOPPEMENT DURABLE (alertgasoil.com)
COZYNERGY
BOA CONCEPT
NATURAL GRASS
AKUITEO SAS
VDLV
AD BREIZH DOLMEN
BOXTALE (ENVOIMOINSCHER)
FORMIND
CAPSA CONTAINER
SELENIUM MEDICAL
SAS CEBAG
CLOSE TO ME (SOCLOZ)
BIO ELPIDA
SECURE-IC
SPVIE
L’EXCEPTION
DEVISUBOX SAS
V-MOTECH
MYCHAUFFAGE.COM
MANDARINE BUSINESS SCHOOL
ADICTIZ
FAMOCO
BOURSEDESCREDITS.COM
FORCITY
BG GROUP SAS (BLOOMBERG)
COOPTALIS
OH MY CREAM
YOUKADO
PIXAGILITY
FIRST GROUP
JOBTEASER
SAS CLICK & BOAT
ALG (attestationlégale.fr)
NUTRIKEO CONSULTING
ARTEFACT
S2F NETWORK
ANAXAGO
QUANTMETRY
NEOSANTÉ (AMADEUS SANTÉ)
TESALYS
BLANC CERISE
OBIZ CONCEPT
QAPA
COOKISHOP SARL
ECOLOG INNOVATION
INTENT TECHNOLOGIES
OXELTIS
ARCHENERGIE
FIRST LIGHT IMAGING
ECOLACTIS
TINYCLUES
THE COSMO COMPANY
ASSADIA DEVELOPPEMENT
BIOGANCE
CAMPING-CAR PARK
PIXIEL
SHAVE (HÔTEL CLARANCE)
BEAM SAS
BEWE
PERMIGO
OCTOLY
NEXYLAN
CASTALIE
WILDMOKA
MHCOMM
ADAPTIVE CHANNEL
GOOD MORNING
PROTEIS
SKYCONSEIL
PROXIDELICE
EXEM
AGRICONOMIE
CYBELANGEL
OSMC (BOULANGERIE S. LEBREUILLY)
EASYRECRUE
IGNILIFE FRANCE SAS
EVIOO
MON CAVISTE À LA MAISON
EPRESSPACK
CREATIVE DATA
AVALUN SAS
BIRD OFFICE
OPENDATASOFT
FILL UP MEDIA
MOPEASY
www.clem-e.com/
LINXO SAS
MY COACH FOOTBALL
ZEUGMO (ORTHODIDACTE)
UBLEAM
NAIO TECHNOLOGIES
SUNIBRAIN
VF BIOSCIENCE SAS
POPUP IMMO
NANOLIKE
FEELIGREEN
SENTRYO
CLICDATA
NANOCLOUD SOFTWARE
BIOLIE
LUNGINNOV SAS
TELLMEPLUS
FITIZZY
CLUSTREE
BRAINIFY
CRYO PUR
IN’AIR SOLUTIONS
WING
GECKO BIOMEDICAL
YNSECT
RESTOFLASH
THE BUBBLES COMPANY
AFRIMARKET
LACTIPS
BEE-BEE AUTOMOTIVE
CARE LABS
CROSSLUX
EXAGAN SA
INFLECTIS BIOSCIENCE
INSTENT
KERANOVA
SURGIVISIO
MONCLUBBUSINESS (SWABBL)
WAGA ENERGY
DIGITSOLE
MANO MANO
MAILJET
WYND
TRAVELERCAR
HEOH
MISTER BELL SOLUTION
CREADS
I-TEN
AKENEO
SPORT HEROES
 

 

Par internet-et-droit • Tags: , , ,

1 2 3 4

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes