A partir de quand traite-t-on des données?Car l’examen de la jurisprudence en témoigne: tout est traitement, rien n’est traitement, c’est la dose qui fait le traitement! Illustration avec quelques cas récents, et parfois mal interprétés. Le 28 mars 2023, le Conseil d’Etat autrichien a ainsi considéré que des suppositions émises par des personnes – en l’absence de toute donnée – ne constituaient pas un traitement. …
En savoir plus
Une autorité de protection des données peut-elle sanctionner des faits déjà pénalement sanctionnés? La réponse varie, d’un Etat à l’autre. Le 8 décembre 2022, l’APD espagnole n’avait pas hésité à prononcer une amende administrative à l’encontre d’un mineur déjà sanctionné au pénal. A l’inverse, son homologue finlandaise estimait (le lendemain!) qu’elle n’était pas compétente si l’infraction était pénalement réprimable. La nuance est de taille : …
En savoir plus
La charte informatique constitue aussi bien une mesure de sécurité organisationnelle, au titre du RGPD, qu’un instrument disciplinaire, en droit du travail. Cette dualité n’est pas sans conséquence, pour l’employeur, comme pour le salarié. Ainsi, le droit du travail impose-t-il de permettre un usage personnel – raisonnable et licite – des moyens mis à disposition du salarié. Concrètement, il est ainsi autorisé à envoyer et …
En savoir plus
« Mais qu’est-ce qu’il nous chante, encore » vous dites-vous peut-être. En synthèse, que tout responsable de traitement est réputé traiter les données qu’il collecte et produit, mais également celles pouvant être inférées à partir des premières. Est-ce plus clair? Non? Prenons alors un cas concret. Imaginez que vous ayez à remplir une déclaration d’intérêts, faisant apparaître l’identité de votre conjoint. A priori neutre, l’information fait pourtant …
En savoir plus
Vous n’avez-pas pu le rater. Et si tel était le cas, vous allez bientôt probablement le constater dans votre quotidien. Dans un avis du 17 avril 2024, le CEPD a considéré que dans l’immense majorité des cas, la pratique du « Pay or consent » ne pouvait être conforme au RGPD, au regard des conditions de validité du consentement. Mais c’était pas déjà tranché ça? Si, si. …
En savoir plus
Voici une décision d’une juridiction munichoise qui donne à réfléchir en ce qui concerne l’encadrement des fins de sous-traitance RGPD. Le texte impose aux parties de prévoir la restitution ou l’effacement des données. Mais au cas d’espèce, jugé le 9 février 2023 et rectifié le 14 mars suivant, le client d’un prestataire cloud s’est vu reprocher, alors que le contrat avait été résilié, de n’avoir …
En savoir plus
Alors que la CNIL a annoncé que le droit d’accès constituera une priorité pour ses contrôles, en 2024, faisons le point sur l’authentification de la personne concernée. Comment votre organisation s’en assure-t-elle ? Intégrité et confidentialité justifient que le responsable s’assure de ce que les droits RGPD sont bel et bien exercés par la personne concernée (AEPD, n° PS/00456/2022). Ce que rappelle d’ailleurs son article …
En savoir plus
Vous savez – pour certains, craignez – que la CNIL peut vous contrôler à tout moment. Voici ce qu’il faut savoir pour être prêt. Grosso modo, il peut être déclenché suite à une plainte ou une notification de violation de données, parce que vous entrez dans le champ du programme annuel ou suite à un autre contrôle (vérification ou contrôle « en cascade »). Ce contrôle peut …
En savoir plus
Saviez-vous que l’exactitude des données est l’un des principes les plus délicats à mettre en œuvre dans le RGPD ? En règle générale, il peut être appréhendé de trois façons différentes. La plus évidente, pas la plus simple à gérer, est le cas où la personne exerce son droit de rectification. Ici, la personne doit démontrer l’inexactitude des données (NSA, 2 août 2023, n° III …
En savoir plus
Dans une décision très surprenante du 6 décembre dernier, la Cour d’Appel de Rennes a considéré que les pièces, exemptes de données « nominatives », remises à un expert pour un avis technique ne constituent pas des « données médicales » (CA Rennes, 5ème Chambre, 6 décembre 2023, RG n° 23/02428). Evoquer des données nominatives paraît quelque peu anachronique, l’expression ayant disparu du droit français en 2004. La notion …
En savoir plus