Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Les news qui font l’actu

Dans le cadre du partenariat entre l’IDfrights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Revue de presse

Semaine du 15 au 19 novembre

Rédigée par Lyes Bendou, Alexandre Cusanno, Mathilde de Biasi, Léa Dupont, Vincent Kerharou, Louis Poulain, Emmy Paret, Manon Roy, Oriane Serrot , Alexis Spagnolo, Emma Walter, Mélanie Welisarage, étudiants de Master 1 Management & Droit des affaires SKEMA/ULCO, sous la direction de Mme Isabelle Bufflier et M. Frédéric Munier.

Lyes Bendou

Lyes Bendou

23 ans

Alexandre Cusanno

Alexandre Cusanno

20 ans

Mathilde De Biasi

Mathilde De Biasi

21 ans

Léa Dupont

Léa Dupont

21 ans

Vincent Kerharou

Vincent Kerharou

20 ans

Louis Poulain

Louis Poulain

21 ans

Emmy Paret

Emmy Paret

21 ans

Manon Roy

Manon Roy

22 ans

Oriane Serrot

Oriane Serrot

21 ans

Alexis Spagnolo

Alexis Spagnolo

22 ans

Emma Walter

Emma Walter

20 ans

 Mélanie Welisarage

Mélanie Welisarage

21 ans

La ville de Vienne, première au monde à obtenir le label de certification éthique IEEE AI Ethics

Le 16 novembre 2021, la ville de Vienne a été félicitée pour sa mise en œuvre responsable et durable de l'intelligence artificielle. La capitale autrichienne obtient ainsi la certification éthique IEEE CertifiAIEd AI Ethics (AIE). Quatre critères sont pris en compte dans ce label : la transparence, la responsabilité, la prévention contre les biais algorithmiques et enfin la confidentialité. Avec ce label, Vienne entend renforcer la confiance dans ses entreprises publiques et privées.

Pourquoi cette actu ? Vienne se montre précurseur en complétant les réglementations déjà existantes sur l’IA par une action gouvernementale. Elle montre l’exemple et encourage ainsi d’autres villes et États à suivre sa voie pour converger vers un humanisme numérique et donner confiance dans l’IA à ses usagers. S’il nous semble difficile d’évaluer les retombées concrètes d’une telle démarche, il nous apparaît en tout cas intéressant de souligner que la course à l’IA est aussi une question de soft power.

La ville de Vienne, première au monde à obtenir le label de certification éthique IEEE AI Ethics

Le 16 novembre 2021, la ville de Vienne a été félicitée pour sa mise en œuvre responsable et durable de l'intelligence artificielle. La capitale autrichienne obtient ainsi la certification éthique IEEE CertifiAIEd AI Ethics (AIE). Quatre critères sont pris en compte dans ce label : la transparence, la responsabilité, la prévention contre les biais algorithmiques et enfin la confidentialité. Avec ce label, Vienne entend renforcer la confiance dans ses entreprises publiques et privées.

Pourquoi cette actu ? Vienne se montre précurseur en complétant les réglementations déjà existantes sur l’IA par une action gouvernementale. Elle montre l’exemple et encourage ainsi d’autres villes et États à suivre sa voie pour converger vers un humanisme numérique et donner confiance dans l’IA à ses usagers. S’il nous semble difficile d’évaluer les retombées concrètes d’une telle démarche, il nous apparaît en tout cas intéressant de souligner que la course à l’IA est aussi une question de soft power.

Les Eurodéputés trouvent un accord sur le Digital Markets Act

Le 17 novembre 2021, Les Eurodéputés des principaux ont trouvé un accord sur le contenu du futur Digital Markets Act. Ils ont notamment décidé de placer à 80 milliards de dollars de capitalisation boursière (plutôt qu’à 65 comme proposé par la Commission) le seuil à partir duquel une entreprise est considérée comme un "gatekeeper" – un contrôleur d’accès – est susceptible d’être assujetti à davantage d’obligations et de sanctions. Entreront dans cette catégorie les grands groupes jouant un rôle d’intermédiaire dans l’accès à l’information tels Google, Amazon, Meta, Microsoft mais aussi Alibaba et Booking. Ils ont par ailleurs opté pour de ne pas interdire totalement la publicité ciblée mais de lui imposer un cadre plus strict.

Pourquoi cette actu ? Il s’agit d’une avancée majeure au sein d'une révolution qui se prépare avec le Digital Markets Act, cette nouvelle réglementation qui a pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l'UE. C'est un travail colossal qui touche tous les secteurs de l'économie numérique européenne, allant des réseaux sociaux aux marketplaces, et permet enfin de réagir au niveau européen à la position plus que dominante des "gatekeepers" ciblés dans le DMA. Une affaire à suivre de près avec très certainement une réaction des acteurs les plus importants du marché, satisfaits sans doute que le plafond de régulation ait été remonté à un niveau plus élevé. On le voit ici, le texte en préparation rebat les cartes et vient mettre à mal l’idée selon laquelle les pouvoirs publics seraient impuissants face aux GAFAM.

Les Eurodéputés trouvent un accord sur le Digital Markets Act

Le 17 novembre 2021, Les Eurodéputés des principaux ont trouvé un accord sur le contenu du futur Digital Markets Act. Ils ont notamment décidé de placer à 80 milliards de dollars de capitalisation boursière (plutôt qu’à 65 comme proposé par la Commission) le seuil à partir duquel une entreprise est considérée comme un "gatekeeper" – un contrôleur d’accès – est susceptible d’être assujetti à davantage d’obligations et de sanctions. Entreront dans cette catégorie les grands groupes jouant un rôle d’intermédiaire dans l’accès à l’information tels Google, Amazon, Meta, Microsoft mais aussi Alibaba et Booking. Ils ont par ailleurs opté pour de ne pas interdire totalement la publicité ciblée mais de lui imposer un cadre plus strict.

Pourquoi cette actu ? Il s’agit d’une avancée majeure au sein d'une révolution qui se prépare avec le Digital Markets Act, cette nouvelle réglementation qui a pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l'UE. C'est un travail colossal qui touche tous les secteurs de l'économie numérique européenne, allant des réseaux sociaux aux marketplaces, et permet enfin de réagir au niveau européen à la position plus que dominante des "gatekeepers" ciblés dans le DMA. Une affaire à suivre de près avec très certainement une réaction des acteurs les plus importants du marché, satisfaits sans doute que le plafond de régulation ait été remonté à un niveau plus élevé. On le voit ici, le texte en préparation rebat les cartes et vient mettre à mal l’idée selon laquelle les pouvoirs publics seraient impuissants face aux GAFAM.

La CNIL propose un nouveau référentiel relatif aux entrepôts de données de santé

Le 17 novembre 2021, la CNIL a publié un référentiel concernant la création des entrepôts de données de santé, à la suite de la consultation publique lancée en mars 2021. Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel qu’elle a publié en tenant compte des éléments pertinents récoltés.

Ce nouveau document permettra aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme pourra déclarer sa conformité. Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public.

Pourquoi cette actu ? Il est essentiel que le traitement des données de santé, données dites sensibles, qui ont fait l’objet d’un traitement accru depuis le début de la pandémie, notamment au travers du passe sanitaire, soit très encadré. Ce référentiel est donc particulièrement bienvenu, après que certains dysfonctionnements ont été signalésdans une émission télévisuelle. Ce référentiel, censé faciliter la tâche des professionnels, rappelle aussi aux responsables de traitement des données de santé de ces entrepôts que le consentement des personnes physiques concernées doit être au préalable obtenu, conformément aux règles essentielles posées par le RGPD. Ces personnes doivent également pouvoir exercer leur droit d'accès, de rectification, d'effacement, de limitation de traitement et d'opposition.

La CNIL propose un nouveau référentiel relatif aux entrepôts de données de santé

Le 17 novembre 2021, la CNIL a publié un référentiel concernant la création des entrepôts de données de santé, à la suite de la consultation publique lancée en mars 2021. Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel qu’elle a publié en tenant compte des éléments pertinents récoltés.

Ce nouveau document permettra aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme pourra déclarer sa conformité. Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public.

Pourquoi cette actu ? Il est essentiel que le traitement des données de santé, données dites sensibles, qui ont fait l’objet d’un traitement accru depuis le début de la pandémie, notamment au travers du passe sanitaire, soit très encadré. Ce référentiel est donc particulièrement bienvenu, après que certains dysfonctionnements ont été signalésdans une émission télévisuelle. Ce référentiel, censé faciliter la tâche des professionnels, rappelle aussi aux responsables de traitement des données de santé de ces entrepôts que le consentement des personnes physiques concernées doit être au préalable obtenu, conformément aux règles essentielles posées par le RGPD.Ces personnesdoivent également pouvoir exercer leur droit d'accès, de rectification, d'effacement, de limitation de traitement et d'opposition.

Trois autorités européennes lancent une enquête sur Vinted, soupçonné de violer le RGPD

Les autorités de protection des données française, lituanienne et polonaise ont lancé une enquête contre Vinted.com, un site internet développé par une société lituanienne de vente de vêtements et d’objets de seconde main. A l’origine de l’affaire : des vendeurs de la plateforme se sont plaints d’avoir dû envoyer une copie de leur pièce d'identité afin de recevoir leur argent. Il s’agit alors de “contrôler la conformité du site au RGPD”. L’organisme lituanien est désigné comme autorité chef de file.

Pourquoi cette actu ? Vinted est un site internet très populaire, dont les ventes se sont considérablement développées pendant la pandémie et les périodes de confinement. En considération de son modèle économique, fondé sur la revente de vêtements de seconde main entre particuliers, il est tentant de penser que ce projet a de l’avenir tant pour des raisons économiques qu’environnementales, en ce qu’il permet de lutter contre la surproduction de textile. Toutefois, il est important que les consommateurs qui y font appel soient protégés tant au regard de leurs données personnelles que des pratiques commerciales développées. En effet, ce n’est pas la première fois que Vinted se trouve sous le feu des projecteurs. C’est ainsi qu’en mai dernier, l’association de consommateurs UFC-Quechoisir poursuivait Vinted pour pratiques commerciales trompeuses.

Trois autorités européennes lancent une enquête sur Vinted, soupçonné de violer le RGPD

Les autorités de protection des données française, lituanienne et polonaise ont lancé une enquête contre Vinted.com, un site internet développé par une société lituanienne de vente de vêtements et d’objets de seconde main. A l’origine de l’affaire : des vendeurs de la plateforme se sont plaints d’avoir dû envoyer une copie de leur pièce d'identité afin de recevoir leur argent. Il s’agit alors de “contrôler la conformité du site au RGPD”. L’organisme lituanien est désigné comme autorité chef de file.

Pourquoi cette actu ? Vinted est un site internet très populaire, dont les ventes se sont considérablement développées pendant la pandémie et les périodes de confinement. En considération de son modèle économique, fondé sur la revente de vêtements de seconde main entre particuliers, il est tentant de penser que ce projet a de l’avenir tant pour des raisons économiques qu’environnementales, en ce qu’il permet de lutter contre la surproduction de textile. Toutefois, il est important que les consommateurs qui y font appel soient protégés tant au regard de leurs données personnelles que des pratiques commerciales développées. En effet, ce n’est pas la première fois que Vinted se trouve sous le feu des projecteurs. C’est ainsi qu’en mai dernier, l’association de consommateurs UFC-Quechoisir poursuivait Vinted pour pratiques commerciales trompeuses.

Le guide de la CNIL pour accompagner le délégué à la protection des données

Quel est le rôle du délégué à la protection des données ? Comment le désigner ? Quels moyens lui donner pour accomplir ses missions ? Le 16 novembre 2021, la CNIL a publié un guide pour répondre à toutes les questions concernant le rôle, la désignation, l’exercice et l’accompagnement du DPO (Data Protection Officer). Il est rappelé que la fonction principale du délégué à la protection des données est d’informer et de conseiller le responsable de traitement, de contrôler le respect des obligations légales de l’organisme et d’agir comme point de contact avec la CNIL.

Pourquoi cette actu ? cette actualité nous paraît notable pour trois raisons. Tout d’abord, comme le rappelle la CNIL dans son introduction, “le métier de délégué à la protection des données (DPD, ou DPO) est devenu essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. Désormais, le traitement de données personnelles est une composante fondamentale de la plupart des secteurs d’activité.” Ensuite, récemment, nous avons pu constater une forte augmentation des notifications ou condamnations pour violation des données personnelles et DPO peut être un allié de poids pour prévenir ces violations. Enfin, il nous semble que la fonction de DPO emblématise une des tendances importantes de notre temps : la consilience ou « convergence des savoirs". Pour exercer cette fonction, il faut en effet avoir des compétences larges associant l’informatique et le droit. L’avenir est certainement à l’hybridation des savoirs et savoir-faire.

Le guide de la CNIL pour accompagner le délégué à la protection des données

Quel est le rôle du délégué à la protection des données ? Comment le désigner ? Quels moyens lui donner pour accomplir ses missions ? Le 16 novembre 2021, la CNIL a publié un guide pour répondre à toutes les questions concernant le rôle, la désignation, l’exercice et l’accompagnement du DPO (Data Protection Officer). Il est rappelé que la fonction principale du délégué à la protection des données est d’informer et de conseiller le responsable de traitement, de contrôler le respect des obligations légales de l’organisme et d’agir comme point de contact avec la CNIL.

Pourquoi cette actu ? cette actualité nous paraît notable pour trois raisons. Tout d’abord, comme le rappelle la CNIL dans son introduction, “le métier de délégué à la protection des données (DPD, ou DPO) est devenu essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. Désormais, le traitement de données personnelles est une composante fondamentale de la plupart des secteurs d’activité.” Ensuite, récemment, nous avons pu constater une forte augmentation des notifications ou condamnations pour violation des données personnelles et DPO peut être un allié de poids pour prévenir ces violations. Enfin, il nous semble que la fonction de DPO emblématise une des tendances importantes de notre temps : la consilience ou « convergence des savoirs". Pour exercer cette fonction, il faut en effet avoir des compétences larges associant l’informatique et le droit. L’avenir est certainement à l’hybridation des savoirs et savoir-faire.

Amazon : une enquête du magazine Wired dévoile des atteintes marquées aux données personnelles et à la vie privée de ses clients

Une importante enquête menée par le magazine américain « Wired » montre que de nombreux employés d’Amazon ont eu accès à des documents établissant que les coordonnées ou encore l’historique d’achats des consommateurs ont été insuffisamment protégés par l’entreprise de commerce en ligne. Sont cités notamment des exemples d’employés consultant l’historique des commandes de célébrités ou de conjoints, violant ainsi les règles de l’entreprise.
L’enquête de Wired révèle également qu’Amazon n’a pas toujours pris les précautions nécessaires pour protéger les données personnelles de ses clients d’entreprises tierces, notamment d’entreprises de marketing proposant leurs services aux vendeurs inscrits sur sa plate-forme. Dans un communiqué, Amazon « rejette avec force l’idée que ces abus soient courants ».

Pourquoi cette actu ? Les Big techs sont en ce moment sur la sellette en matière de non-respect des données personnelles de leurs clients. En Europe, le RGDP est la norme prégnante et de nombreuses poursuites et condamnations ont lieu, mais aux États-Unis, les citoyens américains ne semblent pas aussi bien protégés. L’affaire Cambridge Analytica ou encore l’invalidation du Safe Arbor et du Privacy Schield par la CJUE avec les arrêts Schrems I et II ont amplement démontré que le niveau de protection des citoyens n’était pas équivalent aux États-Unis et en Europe. Les journalistes qui mènent des enquêtes comme le magazine the Wired constituent ainsi un rempart essentiel contre l’utilisation des données personnelles des citoyens américains contre leur gré. N’oublions pas non plus que le RGPD peut également trouver à s’appliquer aux États-Unis en vertu de son champ d’application extraterritorial.

Amazon : une enquête du magazine Wired dévoile des atteintes marquées aux données personnelles et à la vie privée de ses clients

Une importante enquête menée par le magazine américain « Wired » montre que de nombreux employés d’Amazon ont eu accès à des documents établissant que les coordonnées ou encore l’historique d’achats des consommateurs ont été insuffisamment protégés par l’entreprise de commerce en ligne. Sont cités notamment des exemples d’employés consultant l’historique des commandes de célébrités ou de conjoints, violant ainsi les règles de l’entreprise. L’enquête de Wired révèle également qu’Amazon n’a pas toujours pris les précautions nécessaires pour protéger les données personnelles de ses clients d’entreprises tierces, notamment d’entreprises de marketing proposant leurs services aux vendeurs inscrits sur sa plate-forme. Dans un communiqué, Amazon « rejette avec force l’idée que ces abus soient courants ».

Pourquoi cette actu ? Les Big techs sont en ce moment sur la sellette en matière de non-respect des données personnelles de leurs clients. En Europe, le RGDP est la norme prégnante et de nombreuses poursuites et condamnations ont lieu, mais aux États-Unis, les citoyens américains ne semblent pas aussi bien protégés. L’affaire Cambridge Analytica ou encore l’invalidation du Safe Arboret du Privacy Schieldpar la CJUE avec les arrêts Schrems I et II ont amplement démontré que le niveau de protection des citoyens n’était pas équivalent aux États-Unis et en Europe. Les journalistes qui mènent des enquêtes comme le magazine the Wired constituent ainsi un rempart essentiel contre l’utilisation des données personnelles des citoyens américains contre leur gré. N’oublions pas non plus que le RGPD peut également trouver à s’appliquer aux États-Unis en vertu de son champ d’application extraterritorial.

L’Assemblée Nationale donne un premier feu vert unanime à un soutien accru aux lanceurs d’alerte

Le 17 novembre 2021, les députés ont décidé d’adopter unanimement (52 voix pour et 0 contre) les deux propositions de loi visant d’une part à renforcer la protection des lanceurs d’alerte et d’autre part le rôle du Défenseur des droits en matière de signalement d’alerte. Ces textes doivent encore être discutés par le Sénat. Il faut noter que depuis décembre 2016 et la loi « Sapin II », la France est déjà régie par un cadre général d’alerte, jugé encore insuffisant et qui doit être amélioré par l’adoption de ces nouveaux textes. Au niveau européen, la directive du 23 novembre 2019 vient protéger les personnes qui signalent des violations du droit de l’Union. Ces propositions de loi viennent donc transposer les dispositions européennes dans le droit français qui doivent l’être avant le 17 décembre 2021.

Pourquoi cette actu ? Les lanceurs d’alerte se heurtent souvent à des intérêts puissants et vivent parfois des « drames humains ». Ils peuvent être discriminés, licenciés, voire poursuivis en justice en raison de leur action. Ils sont particulièrement exposés à des risques de représailles car ils remettent en cause souvent les dirigeants ou les entreprises auxquels ils appartiennent en mettant sur le devant de la scène médiatique des pratiques qu’ils jugent « illicites ». C’est pourquoi il nous semble très important de défendre leurs intérêts et de les protéger. Sans les lanceurs d’alerte, certains scandales n’auraient jamais pu émerger. On pense à Irène Frachon dans le dossier du Médiator ou encore à Edward Snowden dans l’affaire des écoutes de la NSA ou, dernièrement, à Frances Haugen à propos des Facebook files. Les textes en discussion sont également intéressants car ils définissent plus clairement la notion de lanceur d’alerte et le champ des informations pouvant être qualifiés d’alertes.

L’Assemblée Nationale donne un premier feu vert unanime à un soutien accru aux lanceurs d’alerte

Le 17 novembre 2021, les députés ont décidé d’adopter unanimement (52 voix pour et 0 contre) les deux propositions de loi visant d’une part à renforcer la protection des lanceurs d’alerte et d’autre part le rôle du Défenseur des droits en matière de signalement d’alerte. Ces textes doivent encore être discutés par le Sénat. Il faut noter que depuis décembre 2016 et la loi « Sapin II », la France est déjà régie par un cadre général d’alerte, jugé encore insuffisant et qui doit être amélioré par l’adoption de ces nouveaux textes. Au niveau européen, la directive du 23 novembre 2019 vient protéger les personnes qui signalent des violations du droit de l’Union. Ces propositions de loi viennent donc transposer les dispositions européennes dans le droit français qui doivent l’être avant le 17 décembre 2021.

Pourquoi cette actu ? Les lanceurs d’alerte se heurtent souvent à des intérêts puissants et vivent parfois des « drames humains ». Ils peuvent être discriminés, licenciés, voire poursuivis en justice en raison de leur action. Ils sont particulièrement exposés à des risques de représailles car ils remettent en cause souvent les dirigeants ou les entreprises auxquels ils appartiennent en mettant sur le devant de la scène médiatique des pratiques qu’ils jugent « illicites ». C’est pourquoi il nous semble très important de défendre leurs intérêts et de les protéger. Sans les lanceurs d’alerte, certains scandales n’auraient jamais pu émerger. On pense à Irène Frachon dans le dossier du Médiator ou encore à Edward Snowden dans l’affaire des écoutes de la NSA ou, dernièrement, à Frances Haugen à propos des Facebook files. Les textes en discussion sont également intéressants car ils définissent plus clairement la notion de lanceur d’alerte et le champ des informations pouvant être qualifiés d’alertes.

Google et l’AFP s’accordent sur les droits voisins ce mercredi 17 novembre

Le 17 novembre 2021, Google et l’AFP ont signé un accord, fruit de longues négociations sur les droits voisins, ces derniers permettant aux agences, ainsi qu’aux éditeurs de journaux et magazines, de se faire rémunérer par les grandes entreprises réutilisant leurs contenus sur Internet. Ces droits ont été institués pour les plates-formes en ligne par l’article 15 de la directive européenne sur le droit d’auteur, adoptée en mars 2019 par le Parlement européen, après plus de deux ans de débats nourris. L’enjeu de cet accord est important : il permettra en effet à l’AFP de se faire rémunérer par Google dès que ce géant du web utilisera ses contenus, et ce, durant une période de 5 ans d’après les termes de l’accord.

Pourquoi cette actu ? Cet accord a un caractère historique : en effet, il s’agit du premier partenariat conclu par une agence de presse au titre des « droits voisins » du droit d’auteur. Qui plus est, l’importance de cet accord est proportionnelle aux tensions que ce sujet faisait peser jusqu’à alors entre l’AFP et Google. En effet, plus tôt dans l’année 2021, un contentieux concernant les droits voisins avait abouti à une condamnation de Google à une amende de 500 millions d’euros par l’Autorité française de la concurrence qui avait lié cette problématique à un abus de position dominante. Cette actualité survient également après la mise en place fin octobre de la société des droits voisins de la presse qui va sans doute impulser une nouvelle régulation et un meilleur respect par les géants du numérique des droits voisins.

Google et l’AFP s’accordent sur les droits voisins ce mercredi 17 novembre

Le 17 novembre 2021, Google et l’AFP ont signé un accord, fruit de longues négociations sur les droits voisins, ces derniers permettant aux agences, ainsi qu’aux éditeurs de journaux et magazines, de se faire rémunérer par les grandes entreprises réutilisant leurs contenus sur Internet. Ces droits ont été institués pour les plates-formes en ligne par l’article 15 de la directive européenne sur le droit d’auteur, adoptée en mars 2019 par le Parlement européen, après plus de deux ans de débats nourris. L’enjeu de cet accord est important : il permettra en effet à l’AFP de se faire rémunérer par Google dès que ce géant du web utilisera ses contenus, et ce, durant une période de 5 ans d’après les termes de l’accord.

Pourquoi cette actu ? Cet accord a un caractère historique : en effet, il s’agit du premier partenariat conclu par une agence de presse au titre des « droits voisins » du droit d’auteur. Qui plus est, l’importance de cet accord est proportionnelle aux tensions que ce sujet faisait peser jusqu’à alors entre l’AFP et Google. En effet, plus tôt dans l’année 2021, un contentieux concernant les droits voisins avait abouti à une condamnation de Google à une amende de 500 millions d’euros par l’Autorité française de la concurrence qui avait lié cette problématique à un abus de position dominante. Cette actualité survient également après la mise en place fin octobre de la société des droits voisins de la presse qui va sans doute impulser une nouvelle régulation et un meilleur respect par les géants du numérique des droits voisins.

La ville de Vienne, première au monde à obtenir le label de certification éthique IEEE AI Ethics

Le 16 novembre 2021, la ville de Vienne a été félicitée pour sa mise en œuvre responsable et durable de l'intelligence artificielle. La capitale autrichienne obtient ainsi la certification éthique IEEE CertifiAIEd AI Ethics (AIE). Quatre critères sont pris en compte dans ce label : la transparence, la responsabilité, la prévention contre les biais algorithmiques et enfin la confidentialité. Avec ce label, Vienne entend renforcer la confiance dans ses entreprises publiques et privées.

Pourquoi cette actu ? Vienne se montre précurseur en complétant les réglementations déjà existantes sur l’IA par une action gouvernementale. Elle montre l’exemple et encourage ainsi d’autres villes et États à suivre sa voie pour converger vers un humanisme numérique et donner confiance dans l’IA à ses usagers. S’il nous semble difficile d’évaluer les retombées concrètes d’une telle démarche, il nous apparaît en tout cas intéressant de souligner que la course à l’IA est aussi une question de soft power.

La ville de Vienne, première au monde à obtenir le label de certification éthique IEEE AI Ethics

Le 16 novembre 2021, la ville de Vienne a été félicitée pour sa mise en œuvre responsable et durable de l'intelligence artificielle. La capitale autrichienne obtient ainsi la certification éthique IEEE CertifiAIEd AI Ethics (AIE). Quatre critères sont pris en compte dans ce label : la transparence, la responsabilité, la prévention contre les biais algorithmiques et enfin la confidentialité. Avec ce label, Vienne entend renforcer la confiance dans ses entreprises publiques et privées.

Pourquoi cette actu ? Vienne se montre précurseur en complétant les réglementations déjà existantes sur l’IA par une action gouvernementale. Elle montre l’exemple et encourage ainsi d’autres villes et États à suivre sa voie pour converger vers un humanisme numérique et donner confiance dans l’IA à ses usagers. S’il nous semble difficile d’évaluer les retombées concrètes d’une telle démarche, il nous apparaît en tout cas intéressant de souligner que la course à l’IA est aussi une question de soft power.

Les Eurodéputés trouvent un accord sur le Digital Markets Act

Le 17 novembre 2021, Les Eurodéputés des principaux ont trouvé un accord sur le contenu du futur Digital Markets Act. Ils ont notamment décidé de placer à 80 milliards de dollars de capitalisation boursière (plutôt qu’à 65 comme proposé par la Commission) le seuil à partir duquel une entreprise est considérée comme un "gatekeeper" – un contrôleur d’accès – est susceptible d’être assujetti à davantage d’obligations et de sanctions. Entreront dans cette catégorie les grands groupes jouant un rôle d’intermédiaire dans l’accès à l’information tels Google, Amazon, Meta, Microsoft mais aussi Alibaba et Booking. Ils ont par ailleurs opté pour de ne pas interdire totalement la publicité ciblée mais de lui imposer un cadre plus strict.

Pourquoi cette actu ? Il s’agit d’une avancée majeure au sein d'une révolution qui se prépare avec le Digital Markets Act, cette nouvelle réglementation qui a pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l'UE. C'est un travail colossal qui touche tous les secteurs de l'économie numérique européenne, allant des réseaux sociaux aux marketplaces, et permet enfin de réagir au niveau européen à la position plus que dominante des "gatekeepers" ciblés dans le DMA. Une affaire à suivre de près avec très certainement une réaction des acteurs les plus importants du marché, satisfaits sans doute que le plafond de régulation ait été remonté à un niveau plus élevé. On le voit ici, le texte en préparation rebat les cartes et vient mettre à mal l’idée selon laquelle les pouvoirs publics seraient impuissants face aux GAFAM.

Les Eurodéputés trouvent un accord sur le Digital Markets Act

Le 17 novembre 2021, Les Eurodéputés des principaux ont trouvé un accord sur le contenu du futur Digital Markets Act. Ils ont notamment décidé de placer à 80 milliards de dollars de capitalisation boursière (plutôt qu’à 65 comme proposé par la Commission) le seuil à partir duquel une entreprise est considérée comme un "gatekeeper" – un contrôleur d’accès – est susceptible d’être assujetti à davantage d’obligations et de sanctions. Entreront dans cette catégorie les grands groupes jouant un rôle d’intermédiaire dans l’accès à l’information tels Google, Amazon, Meta, Microsoft mais aussi Alibaba et Booking. Ils ont par ailleurs opté pour de ne pas interdire totalement la publicité ciblée mais de lui imposer un cadre plus strict.

Pourquoi cette actu ? Il s’agit d’une avancée majeure au sein d'une révolution qui se prépare avec le Digital Markets Act, cette nouvelle réglementation qui a pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l'UE. C'est un travail colossal qui touche tous les secteurs de l'économie numérique européenne, allant des réseaux sociaux aux marketplaces, et permet enfin de réagir au niveau européen à la position plus que dominante des "gatekeepers" ciblés dans le DMA. Une affaire à suivre de près avec très certainement une réaction des acteurs les plus importants du marché, satisfaits sans doute que le plafond de régulation ait été remonté à un niveau plus élevé. On le voit ici, le texte en préparation rebat les cartes et vient mettre à mal l’idée selon laquelle les pouvoirs publics seraient impuissants face aux GAFAM.

La CNIL propose un nouveau référentiel relatif aux entrepôts de données de santé

Le 17 novembre 2021, la CNIL a publié un référentiel concernant la création des entrepôts de données de santé, à la suite de la consultation publique lancée en mars 2021. Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel qu’elle a publié en tenant compte des éléments pertinents récoltés.

Ce nouveau document permettra aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme pourra déclarer sa conformité. Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public.

Pourquoi cette actu ? Il est essentiel que le traitement des données de santé, données dites sensibles, qui ont fait l’objet d’un traitement accru depuis le début de la pandémie, notamment au travers du passe sanitaire, soit très encadré. Ce référentiel est donc particulièrement bienvenu, après que certains dysfonctionnements ont été signalésdans une émission télévisuelle. Ce référentiel, censé faciliter la tâche des professionnels, rappelle aussi aux responsables de traitement des données de santé de ces entrepôts que le consentement des personnes physiques concernées doit être au préalable obtenu, conformément aux règles essentielles posées par le RGPD. Ces personnes doivent également pouvoir exercer leur droit d'accès, de rectification, d'effacement, de limitation de traitement et d'opposition.

La CNIL propose un nouveau référentiel relatif aux entrepôts de données de santé

Le 17 novembre 2021, la CNIL a publié un référentiel concernant la création des entrepôts de données de santé, à la suite de la consultation publique lancée en mars 2021. Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel qu’elle a publié en tenant compte des éléments pertinents récoltés.

Ce nouveau document permettra aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme pourra déclarer sa conformité. Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public.

Pourquoi cette actu ? Il est essentiel que le traitement des données de santé, données dites sensibles, qui ont fait l’objet d’un traitement accru depuis le début de la pandémie, notamment au travers du passe sanitaire, soit très encadré. Ce référentiel est donc particulièrement bienvenu, après que certains dysfonctionnements ont été signalés dans une émission télévisuelle. Ce référentiel, censé faciliter la tâche des professionnels, rappelle aussi aux responsables de traitement des données de santé de ces entrepôts que le consentement des personnes physiques concernées doit être au préalable obtenu, conformément aux règles essentielles posées par le RGPD.Ces personnes doivent également pouvoir exercer leur droit d'accès, de rectification, d'effacement, de limitation de traitement et d'opposition.

Trois autorités européennes lancent une enquête sur Vinted, soupçonné de violer le RGPD

Les autorités de protection des données française, lituanienne et polonaise ont lancé une enquête contre Vinted.com, un site internet développé par une société lituanienne de vente de vêtements et d’objets de seconde main. A l’origine de l’affaire : des vendeurs de la plateforme se sont plaints d’avoir dû envoyer une copie de leur pièce d'identité afin de recevoir leur argent. Il s’agit alors de “contrôler la conformité du site au RGPD”. L’organisme lituanien est désigné comme autorité chef de file.

Pourquoi cette actu ? Vinted est un site internet très populaire, dont les ventes se sont considérablement développées pendant la pandémie et les périodes de confinement. En considération de son modèle économique, fondé sur la revente de vêtements de seconde main entre particuliers, il est tentant de penser que ce projet a de l’avenir tant pour des raisons économiques qu’environnementales, en ce qu’il permet de lutter contre la surproduction de textile. Toutefois, il est important que les consommateurs qui y font appel soient protégés tant au regard de leurs données personnelles que des pratiques commerciales développées. En effet, ce n’est pas la première fois que Vinted se trouve sous le feu des projecteurs. C’est ainsi qu’en mai dernier, l’association de consommateurs UFC-Quechoisir poursuivait Vinted pour pratiques commerciales trompeuses.

Trois autorités européennes lancent une enquête sur Vinted, soupçonné de violer le RGPD

Les autorités de protection des données française, lituanienne et polonaise ont lancé une enquête contre Vinted.com, un site internet développé par une société lituanienne de vente de vêtements et d’objets de seconde main. A l’origine de l’affaire : des vendeurs de la plateforme se sont plaints d’avoir dû envoyer une copie de leur pièce d'identité afin de recevoir leur argent. Il s’agit alors de “contrôler la conformité du site au RGPD”. L’organisme lituanien est désigné comme autorité chef de file.

Pourquoi cette actu ? Vinted est un site internet très populaire, dont les ventes se sont considérablement développées pendant la pandémie et les périodes de confinement. En considération de son modèle économique, fondé sur la revente de vêtements de seconde main entre particuliers, il est tentant de penser que ce projet a de l’avenir tant pour des raisons économiques qu’environnementales, en ce qu’il permet de lutter contre la surproduction de textile. Toutefois, il est important que les consommateurs qui y font appel soient protégés tant au regard de leurs données personnelles que des pratiques commerciales développées. En effet, ce n’est pas la première fois que Vinted se trouve sous le feu des projecteurs. C’est ainsi qu’en mai dernier, l’association de consommateurs UFC-Quechoisir poursuivait Vinted pour pratiques commerciales trompeuses.

Le guide de la CNIL pour accompagner le délégué à la protection des données

Quel est le rôle du délégué à la protection des données ? Comment le désigner ? Quels moyens lui donner pour accomplir ses missions ? Le 16 novembre 2021, la CNIL a publié un guide pour répondre à toutes les questions concernant le rôle, la désignation, l’exercice et l’accompagnement du DPO (Data Protection Officer). Il est rappelé que la fonction principale du délégué à la protection des données est d’informer et de conseiller le responsable de traitement, de contrôler le respect des obligations légales de l’organisme et d’agir comme point de contact avec la CNIL.

Pourquoi cette actu ? cette actualité nous paraît notable pour trois raisons. Tout d’abord, comme le rappelle la CNIL dans son introduction, “le métier de délégué à la protection des données (DPD, ou DPO) est devenu essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. Désormais, le traitement de données personnelles est une composante fondamentale de la plupart des secteurs d’activité.” Ensuite, récemment, nous avons pu constater une forte augmentation des notifications ou condamnations pour violation des données personnelles et DPO peut être un allié de poids pour prévenir ces violations. Enfin, il nous semble que la fonction de DPO emblématise une des tendances importantes de notre temps : la consilience ou « convergence des savoirs". Pour exercer cette fonction, il faut en effet avoir des compétences larges associant l’informatique et le droit. L’avenir est certainement à l’hybridation des savoirs et savoir-faire.

Le guide de la CNIL pour accompagner le délégué à la protection des données

Quel est le rôle du délégué à la protection des données ? Comment le désigner ? Quels moyens lui donner pour accomplir ses missions ? Le 16 novembre 2021, la CNIL a publié un guide pour répondre à toutes les questions concernant le rôle, la désignation, l’exercice et l’accompagnement du DPO (Data Protection Officer). Il est rappelé que la fonction principale du délégué à la protection des données est d’informer et de conseiller le responsable de traitement, de contrôler le respect des obligations légales de l’organisme et d’agir comme point de contact avec la CNIL.

Pourquoi cette actu ? cette actualité nous paraît notable pour trois raisons. Tout d’abord, comme le rappelle la CNIL dans son introduction, “le métier de délégué à la protection des données (DPD, ou DPO) est devenu essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. Désormais, le traitement de données personnelles est une composante fondamentale de la plupart des secteurs d’activité.” Ensuite, récemment, nous avons pu constater une forte augmentation des notifications ou condamnations pour violation des données personnelles et DPO peut être un allié de poids pour prévenir ces violations. Enfin, il nous semble que la fonction de DPO emblématise une des tendances importantes de notre temps : la consilience ou « convergence des savoirs". Pour exercer cette fonction, il faut en effet avoir des compétences larges associant l’informatique et le droit. L’avenir est certainement à l’hybridation des savoirs et savoir-faire.

Amazon : une enquête du magazine Wired dévoile des atteintes marquées aux données personnelles et à la vie privée de ses clients

Une importante enquête menée par le magazine américain « Wired » montre que de nombreux employés d’Amazon ont eu accès à des documents établissant que les coordonnées ou encore l’historique d’achats des consommateurs ont été insuffisamment protégés par l’entreprise de commerce en ligne. Sont cités notamment des exemples d’employés consultant l’historique des commandes de célébrités ou de conjoints, violant ainsi les règles de l’entreprise.
L’enquête de Wired révèle également qu’Amazon n’a pas toujours pris les précautions nécessaires pour protéger les données personnelles de ses clients d’entreprises tierces, notamment d’entreprises de marketing proposant leurs services aux vendeurs inscrits sur sa plate-forme. Dans un communiqué, Amazon « rejette avec force l’idée que ces abus soient courants ».

Pourquoi cette actu ? Les Big techs sont en ce moment sur la sellette en matière de non-respect des données personnelles de leurs clients. En Europe, le RGDP est la norme prégnante et de nombreuses poursuites et condamnations ont lieu, mais aux États-Unis, les citoyens américains ne semblent pas aussi bien protégés. L’affaire Cambridge Analytica ou encore l’invalidation du Safe Arbor et du Privacy Schield par la CJUE avec les arrêts Schrems I et II ont amplement démontré que le niveau de protection des citoyens n’était pas équivalent aux États-Unis et en Europe. Les journalistes qui mènent des enquêtes comme le magazine the Wired constituent ainsi un rempart essentiel contre l’utilisation des données personnelles des citoyens américains contre leur gré. N’oublions pas non plus que le RGPD peut également trouver à s’appliquer aux États-Unis en vertu de son champ d’application extraterritorial.

Amazon : une enquête du magazine Wired dévoile des atteintes marquées aux données personnelles et à la vie privée de ses clients

Une importante enquête menée par le magazine américain « Wired » montre que de nombreux employés d’Amazon ont eu accès à des documents établissant que les coordonnées ou encore l’historique d’achats des consommateurs ont été insuffisamment protégés par l’entreprise de commerce en ligne. Sont cités notamment des exemples d’employés consultant l’historique des commandes de célébrités ou de conjoints, violant ainsi les règles de l’entreprise. L’enquête de Wired révèle également qu’Amazon n’a pas toujours pris les précautions nécessaires pour protéger les données personnelles de ses clients d’entreprises tierces, notamment d’entreprises de marketing proposant leurs services aux vendeurs inscrits sur sa plate-forme. Dans un communiqué, Amazon « rejette avec force l’idée que ces abus soient courants ».

Pourquoi cette actu ? Les Big techs sont en ce moment sur la sellette en matière de non-respect des données personnelles de leurs clients. En Europe, le RGDP est la norme prégnante et de nombreuses poursuites et condamnations ont lieu, mais aux États-Unis, les citoyens américains ne semblent pas aussi bien protégés. L’affaire Cambridge Analytica ou encore l’invalidation du Safe Arboret du Privacy Schieldpar la CJUE avec les arrêts Schrems I et II ont amplement démontré que le niveau de protection des citoyens n’était pas équivalent aux États-Unis et en Europe. Les journalistes qui mènent des enquêtes comme le magazine the Wired constituent ainsi un rempart essentiel contre l’utilisation des données personnelles des citoyens américains contre leur gré. N’oublions pas non plus que le RGPD peut également trouver à s’appliquer aux États-Unis en vertu de son champ d’application extraterritorial.

L’Assemblée Nationale donne un premier feu vert unanime à un soutien accru aux lanceurs d’alerte

Le 17 novembre 2021, les députés ont décidé d’adopter unanimement (52 voix pour et 0 contre) les deux propositions de loi visant d’une part à renforcer la protection des lanceurs d’alerte et d’autre part le rôle du Défenseur des droits en matière de signalement d’alerte. Ces textes doivent encore être discutés par le Sénat. Il faut noter que depuis décembre 2016 et la loi « Sapin II », la France est déjà régie par un cadre général d’alerte, jugé encore insuffisant et qui doit être amélioré par l’adoption de ces nouveaux textes. Au niveau européen, la directive du 23 novembre 2019 vient protéger les personnes qui signalent des violations du droit de l’Union. Ces propositions de loi viennent donc transposer les dispositions européennes dans le droit français qui doivent l’être avant le 17 décembre 2021.

Pourquoi cette actu ? Les lanceurs d’alerte se heurtent souvent à des intérêts puissants et vivent parfois des « drames humains ». Ils peuvent être discriminés, licenciés, voire poursuivis en justice en raison de leur action. Ils sont particulièrement exposés à des risques de représailles car ils remettent en cause souvent les dirigeants ou les entreprises auxquels ils appartiennent en mettant sur le devant de la scène médiatique des pratiques qu’ils jugent « illicites ». C’est pourquoi il nous semble très important de défendre leurs intérêts et de les protéger. Sans les lanceurs d’alerte, certains scandales n’auraient jamais pu émerger. On pense à Irène Frachon dans le dossier du Médiator ou encore à Edward Snowden dans l’affaire des écoutes de la NSA ou, dernièrement, à Frances Haugen à propos des Facebook files. Les textes en discussion sont également intéressants car ils définissent plus clairement la notion de lanceur d’alerte et le champ des informations pouvant être qualifiés d’alertes.

L’Assemblée Nationale donne un premier feu vert unanime à un soutien accru aux lanceurs d’alerte

Le 17 novembre 2021, les députés ont décidé d’adopter unanimement (52 voix pour et 0 contre) les deux propositions de loi visant d’une part à renforcer la protection des lanceurs d’alerte et d’autre part le rôle du Défenseur des droits en matière de signalement d’alerte. Ces textes doivent encore être discutés par le Sénat. Il faut noter que depuis décembre 2016 et la loi « Sapin II », la France est déjà régie par un cadre général d’alerte, jugé encore insuffisant et qui doit être amélioré par l’adoption de ces nouveaux textes. Au niveau européen, la directive du 23 novembre 2019 vient protéger les personnes qui signalent des violations du droit de l’Union. Ces propositions de loi viennent donc transposer les dispositions européennes dans le droit français qui doivent l’être avant le 17 décembre 2021.

Pourquoi cette actu ? Les lanceurs d’alerte se heurtent souvent à des intérêts puissants et vivent parfois des « drames humains ». Ils peuvent être discriminés, licenciés, voire poursuivis en justice en raison de leur action. Ils sont particulièrement exposés à des risques de représailles car ils remettent en cause souvent les dirigeants ou les entreprises auxquels ils appartiennent en mettant sur le devant de la scène médiatique des pratiques qu’ils jugent « illicites ». C’est pourquoi il nous semble très important de défendre leurs intérêts et de les protéger. Sans les lanceurs d’alerte, certains scandales n’auraient jamais pu émerger. On pense à Irène Frachon dans le dossier du Médiator ou encore à Edward Snowden dans l’affaire des écoutes de la NSA ou, dernièrement, à Frances Haugen à propos des Facebook files. Les textes en discussion sont également intéressants car ils définissent plus clairement la notion de lanceur d’alerte et le champ des informations pouvant être qualifiés d’alertes.

Google et l’AFP s’accordent sur les droits voisins ce mercredi 17 novembre

Le 17 novembre 2021, Google et l’AFP ont signé un accord, fruit de longues négociations sur les droits voisins, ces derniers permettant aux agences, ainsi qu’aux éditeurs de journaux et magazines, de se faire rémunérer par les grandes entreprises réutilisant leurs contenus sur Internet. Ces droits ont été institués pour les plates-formes en ligne par l’article 15 de la directive européenne sur le droit d’auteur, adoptée en mars 2019 par le Parlement européen, après plus de deux ans de débats nourris. L’enjeu de cet accord est important : il permettra en effet à l’AFP de se faire rémunérer par Google dès que ce géant du web utilisera ses contenus, et ce, durant une période de 5 ans d’après les termes de l’accord.

Pourquoi cette actu ? Cet accord a un caractère historique : en effet, il s’agit du premier partenariat conclu par une agence de presse au titre des « droits voisins » du droit d’auteur. Qui plus est, l’importance de cet accord est proportionnelle aux tensions que ce sujet faisait peser jusqu’à alors entre l’AFP et Google. En effet, plus tôt dans l’année 2021, un contentieux concernant les droits voisins avait abouti à une condamnation de Google à une amende de 500 millions d’euros par l’Autorité française de la concurrence qui avait lié cette problématique à un abus de position dominante. Cette actualité survient également après la mise en place fin octobre de la société des droits voisins de la presse qui va sans doute impulser une nouvelle régulation et un meilleur respect par les géants du numérique des droits voisins.

Google et l’AFP s’accordent sur les droits voisins ce mercredi 17 novembre

Le 17 novembre 2021, Google et l’AFP ont signé un accord, fruit de longues négociations sur les droits voisins, ces derniers permettant aux agences, ainsi qu’aux éditeurs de journaux et magazines, de se faire rémunérer par les grandes entreprises réutilisant leurs contenus sur Internet. Ces droits ont été institués pour les plates-formes en ligne par l’article 15 de la directive européenne sur le droit d’auteur, adoptée en mars 2019 par le Parlement européen, après plus de deux ans de débats nourris. L’enjeu de cet accord est important : il permettra en effet à l’AFP de se faire rémunérer par Google dès que ce géant du web utilisera ses contenus, et ce, durant une période de 5 ans d’après les termes de l’accord.

Pourquoi cette actu ? Cet accord a un caractère historique : en effet, il s’agit du premier partenariat conclu par une agence de presse au titre des « droits voisins » du droit d’auteur. Qui plus est, l’importance de cet accord est proportionnelle aux tensions que ce sujet faisait peser jusqu’à alors entre l’AFP et Google. En effet, plus tôt dans l’année 2021, un contentieux concernant les droits voisins avait abouti à une condamnation de Google à une amende de 500 millions d’euros par l’Autorité française de la concurrence qui avait lié cette problématique à un abus de position dominante. Cette actualité survient également après la mise en place fin octobre de la société des droits voisins de la presse qui va sans doute impulser une nouvelle régulation et un meilleur respect par les géants du numérique des droits voisins.

Focus de la semaine

Données personnelles : WhatsApp fait appel devant la CJUE de l’amende de 225 millions d’euros

En décembre 2018, une enquête avait été ouverte à l’encontre de Whatsapp, filiale de Facebook, par la Data Protection Commission (DPC), l’équivalent irlandais de la Commission nationale de l’informatique et des libertés (CNIL). Le partage des informations entre WhatsApp et Facebook était en particulier dans le viseur de l’autorité irlandaise. A l’issue de cette enquête, le DPC, n’étant pas réputé des plus efficaces dans sa lutte pour protéger les données personnelles des citoyens irlandais, avait envisagé de prononcer une sanction de 50 millions d’euros. Le 24 décembre 2020, conformément à l’article 60 du RGPD, le DPC irlandais partageait son projet de décision avec les autres autorités européennes concernées. Ces dernières ont alors estimé que la sanction envisagée n’était pas suffisamment élevée, au regard de la gravité des violations du RGPD constatés et ont proposé une modification des sanctions. Le DPC refusant de se conformer à cette demande, a saisi le Comité européen de protection des données (EDPB) conformément à l’article 65 du RGPD, initiant ainsi la procédure de règlement des litiges. Le Comité, tenant compte dans la fixation de la sanction du chiffre d’affaires consolidé de la société mère de Whatsapp, a donc tranché en juillet 2021 en faveur de la position d’autorités européennes en se prononçant pour une une sanction de 225 millions d’euros. Le DPC entérina la sanction et condamna Whatsapp à verser ce montant. Elle a ainsi estimé que la filiale de Facebook ne traitait pas les données personnelles de ses utilisateurs de « manière licite, loyale et transparente » et qu’elle n’avait pas fourni d’informations sur la manière avec laquelle les données sont collectées, stockées et transférées à des tiers. En novembre 2021, Whatsapp a décidé de saisir la CJUE non seulement contre la décision de la DPC mais également contre celle du Comité européen de protection des données, en invoquant que cette condamnation était inconstitutionnelle et contraire à la Convention européenne des droits de l’homme, en particulier au droit à un procès équitable.

 

Pourquoi ce focus ? Les mises en accusation sur le fondement du RGPD des géants du numérique se multiplient et en particulier autour du groupe Facebook, dont Whatsapp est une filiale emblématique. Il est intéressant de remarquer que dans toutes les étapes de la procédure suivie, la norme européenne qu’est le RGPD et les autorités de contrôle qui la mettent en œuvre ont remarquablement fonctionné, tant à l’égard de l’entreprise incriminée que de l’autorité de contrôle irlandaise, dont les défaillances ont été régulièrement soulignées. Les décisions rendues manifestent ainsi le soft power de la puissance normative européenne capable d’ébranler quelque peu l’assurance des Big techs et de réaffirmer la primauté de la personne humaine comme valeur essentielle du Vieux continent. La décision relative au recours devant la CJUE, droit également fondamental de Whatsapp, sera certainement passionnante à découvrir. 

Le point de vue enseignants

Par Isabelle Bufflier, responsable du Master Management & Droit européen des affaires SKEMA/ULCO, sous l’œil éclairé et bienveillant de Frédéric Munier, professeur de géopolitique, SKEMA

Le 18 novembre 2021, le Comité européen de protection des données (EDPB) a publié de nouvelles lignes directrices 5/2021 relatives aux transferts internationaux de données vers des pays tiers ou des organisations internationales, en particulier l’interaction entre l’article 3, qui détermine le champ d’application du RGPD et son Chapitre V, qui s’intéresse davantage aux transferts de données internationaux hors UE. Ces lignes directrices étaient particulièrement attendues, après l’invalidation du Privacy Shield par la CJUE dans un arrêt Schrems II en date du 16 juillet 2020. Le Comité a ouvert comme à l’accoutumée une consultation publique sur ce sujet jusqu’au 31 janvier 2022.

Retour sur le rôle du Comité, sur les dispositions du RGPD concernées et les apports de ces nouvelles lignes directrices.

Le rôle du Comité européen de protection des données

 Ce Comité, mis en place en 2018, a pris le relais du G29. Il s’agit d’un organe européen indépendant,qui contribue à l’application cohérente des règles en matière de protection des données (RGPD) au sein de l’Union européenne et encourage la coopération entre les autorités de l’UE chargées de la protection des données. Il est composé des représentants des autorités nationales chargés de la protection des données et du Contrôleur européen de la protection des données (CEPD). Peuvent participer à ses travaux et activités, mais sans droit de vote, les représentants des autorités de la Norvège, de l’Islande et du Lichtenstein ainsi que la Commission européenne. Parmi ses missions, il est chargé d’adopter des documents d’orientations générales, à travers notamment de lignes directrices, comme celles que nous commentons ici, des recommandations et des règles de bonnes pratiques afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et, de cette manière, fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations. Le RGPD étant parfois obscur ou silencieux sur de nombreux points, l’éclairage du Comité est donc particulièrement bienvenu, surtout sur la question complexe de l’application du RGPD en matière de transferts internationaux de données personnelles par les responsables de traitement et/ou les sous-traitants soumis au RGPD en fonction de son article 3. Précisons enfin que le Comité est une vigie essentielle et l’a amplement démontré, notamment lors la procédure menée contre Whatsapp par l’autorité de contrôle irlandaise.

L’articulation entre l’article 3 et le chapitre V du RGPD

L’article 3 (Chap.I) du RGPD précise que ce dernier s’applique aux organisations publiques ou privées traitant des données personnelles (responsables du traitement ou sous-traitants) pour leur compte ou non soit parce qu’elles sont établies sur le territoire de l’UE soit parce que, non établies dans l’UE, elles ciblent des résidents européens. Lorsque ces organisations souhaitent transférer des données personnelles vers un pays hors UE ou une organisation internationale, donc a priori hors du champ d’application territorial du RGPD, plusieurs autres dispositions du RGPD entrent en application. Ainsi son article 13 (f) oblige le responsable du traitement de ces données à informer les personnes physiques de son intention d’effectuer des transferts vers un pays tiers à l’UE. 

Les articles 44 à 50 (Chap.5) énoncent ensuite plusieurs solutions permettant de contrôler que les pays tiers, vers qui sont transférées des données personnelles, bénéficient d’un « niveau de protection adéquat » garantissant, outre le respect des règles d’accès et de traitement des données personnelles, que le respect de l’État de droit et des conventions internationales relatives aux droits humains et notamment à la vie privée, sont équivalents entre l’UE et ces pays. 

Parmi ces solutions, la première, visée à l’article 45, est la décision dite « d’adéquation » que peut prendre la Commission européenne après avoir effectué cette vérification. Dans un tel cas, le transfert est simplifié, car déjà contrôlé, et n’est donc soumis à aucune autre contrainte spécifique. Le site de la Commission permet de consulter les pays qui ont pu bénéficier pour l’instant d’une telle décision : Andorre, l’Argentine, le Canada, les Îles Féroé, Guernesey, Israël, l’Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse, le Royaume-Uni et l’Uruguay. Les États-Unis avaient bénéficié de telles décisions d’adéquation qui ont été invalidés par la CJUE dans les deux arrêts Schrems I et  Schrems II.

Si un responsable de traitement de données personnelles souhaite transférer des données vers un pays tiers à l’UE n’ayant pas bénéficié d’une telle décision d’adéquation, il peut suivre l’article 46 du RGPD qui prévoit un certain nombre de mécanismes alternatifs permettant de garantir un niveau de protection réputé satisfaisant, soit de plein droit, soit via une décision d’une autorité de contrôle nationale compétente comparable à la CNIL.

Parmi ces mécanismes figurent les règles d’entreprise contraignantes, ou « binding corporate rules » (« BCR ») visées à l’article 46.1 b° et dont le fonctionnement est spécifiquement décrit à l’article 47.  Pour être efficaces, ces règles doivent nécessairement être déclarées et approuvées par les autorités de contrôle compétentes de l’Union européenne, similaires à notre CNIL française et respecter les exigences fixées à l’article 47.2 du RGPD. Ces règles sont souvent utilisées pour effectuer un transfert au sein d’un même groupe de sociétés. En France, cela a été notamment le cas des entreprises comme Axa Private Equity, Bristol Myers Squibb, General Electric, ou bien encore Hermès, LVMH ou Novartis.

Autre possibilité prévue par le RGPD : les entreprises peuvent également subordonner les transferts de données vers des pays tiers au respect de clauses contractuelles types, modèles de contrats de transfert adoptés par la Commission européenne. Ces clauses ont été mises à jour le 4 juin 2021 à la suite de l’arrêt Schrems II. La CJUE a précisé que si le niveau d’exigence ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’UE, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Le contenu des nouvelles lignes directrices du Comité

Ces lignes directrices, qui viennent d’être publiées par le Comité, ont vocation à préciser l’interaction entre l’article 3 et le Chapitre V du RGPD. Le Comité a pris soin de donner pas moins de sept exemples pour l’expliquer. Elles soulignent ainsi que les responsables de traitement et les sous-traitants, qui ne sont pas établis dans l’UE, peuvent être soumis au RGPD en vertu de l’article 3 pour un traitement donné et, par conséquent, doivent se conformer au chapitre V lorsqu’ils transfèrent des données à caractère personnel vers un pays tiers ou vers une organisation internationale.

Il faut souligner que si ces nouvelles lignes directrices s’inscrivent dans un contexte d’invalidation des déclarations d’adéquation des États-Unis (Safe Harbor et Privacy Shield), elles ont un spectre beaucoup plus large et peuvent concerner non seulement des transferts de données vers les États-Unis mais aussi vers tout pays tiers ou organisation internationale autre. Elles précisent qu’elles encadrent le fait pour un responsable de traitement ou un sous-traitant (exportateur) soumis au RGPD de transférer des données à un responsable de traitement ou un sous-traitant (importateur) non soumis au RGPD. 

Ces lignes directrices pourront être complétées plus tard, à la suite d’une consultation publique ouverte par le Comité jusqu’à 31 janvier 2022.

Le 19 novembre, le Comité a par ailleurs effectué, en complément de ces lignes directrices, une déclaration sur le paquet de services numériques (projet sur la gouvernance des données (DGA),  projet sur les services numériques (DSA),  projet sur les marchés numériques (DMA) et le projet de règlement sur l’IA (AIR)) ainsi que sur la stratégie en matière de données. Le Comité y réitère notamment son appel à l’interdiction de toute utilisation de l’IA pour la reconnaissance faciale automatisée dans les espaces accessibles au public et demande instamment au législateur d’envisager une élimination progressive de la publicité ciblée sur la base d’un suivi omniprésent, ainsi que l’interdiction globale du profilage des enfants.

Contactez-nous

Adresse

179, boulevard Haussmann,

75008 Paris

 

 

ADRESSE

179, boulevard Haussmann,

75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux

Partenaires