FR EN

Toute l'actualité sur le public

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< Cybersécurité : les enjeux juridiques en matière de cyber-risques
10.05.2023 11:43 Il y a: 2 yrs
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Veille Juridique
Auteur : Nicholas CULLEN, Avocat, DPO, Solicitor of England and Wales

Conformité RGPD : La CJUE précise les règles sur la légalité des traitements et sur l’indemnisation

Le registre n'est pas une condition de la licéité d'un traitement, pas de seuil minimum pour le préjudice moral...


Deux décisions de la Cour de justice de l’Union européenne (CJUE) du 4 mai 2023 ont apporté des précisions importantes sur la conformité au RGPD. Nos avocats RGPD vous expliquent les apports de ces décisions :

 

 

 

1. L’absence d’un registre des traitements et d’un accord de co-traitance ne rend pas un traitement de données illicite

 

Dans l’affaire UZ contre Bundesrepublik Deutschland, le requérant avait introduit une demande de protection internationale auprès de l'Office fédéral des migrations et des réfugiés (Allemagne). Dans ce cadre, l’Office fédéral avait consulté un dossier électronique « MARIS », transmis via une boîte de messagerie électronique.

Or, il s’avérait que l’Office fédéral ne tenait pas de registre des traitements portant sur cette boîte de messagerie et avait donc méconnu l’obligation de l’article 30 du RGPD. De plus, le partage de données entre les différentes administrations allemandes par ce biais n’était pas régi par un accord de responsabilité conjointe, requis par l’article 26 du RGPD.

 

La question suivante a de ce fait été posée à la CJUE : le manquement au RGPD, constitué par l’absence de registre ou d'accord de co-traitance, rend-il illicite le traitement des données, de sorte que la personne concernée peut demander la suppression de ses données ou la limitation du traitement ?

 

Sur cette question, la Cour a constaté que les obligations de tenir un registre de traitements et de mettre en place un accord de co-traitance ne font pas partie des « bases légales » requises par l’article 6 du RGPD

À cet égard, elle a opéré une distinction entre les « principes » et les « obligations générales » du Règlement et a considéré que le registre et l’accord de co-traitance faisaient parties de la deuxième catégorie.

 

Par conséquent, la Cour a conclu qu’une violation des articles 26 et 30 du RGPD ne rendait pas un traitement « illicite », en précisant que d’autres mesures sont disponibles pour corriger de tels manquements.

 

 

 

2. Une simple violation du RGPD ne crée pas automatiquement un droit à réparation. Il faut qu’il existe également un préjudice et un lien de causalité entre les deux. Toutefois, il n’y a pas de seuil minimum de gravité à dépasser pour déclencher la réparation d’un préjudice moral.

 

Dans l’affaire UI contre Österreichische Post AG, une société autrichienne avait collecté des données sur les opinions politiques de la population du pays, utilisant un algorithme pour créer des profils « cibles » à des fins de publicité ciblée

Le requérant, qui n’avait pas consenti à ce traitement, s’est plaint du fait que la société en question lui avait attribué une affinité pour un parti politique, sur la base d’une analyse statistique.

Il avait intenté une action devant les tribunaux en Autriche, en demandant une indemnisation de 1.000 euros pour réparer son préjudice moral.

 

La Cour suprême autrichienne a demandé à la CJUE des précisions quant aux règles relatives au droit à réparation consacré par l’article 82 du RGPD, selon lequel : « Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 

Dans sa décision, la CJUE a notamment dégagé les principes suivants :

  1. La simple violation des dispositions du RGPD ne confère pas, en soi, un droit à réparation. En effet, il faut qu’il existe une violation du RGPD et un dommage ou un préjudice, et qu’il y ait un lien de causalité entre le dommage et la violation.
  2. La Cour a rappelé à ce titre que les sanctions administratives (ex. une amende de la CNIL) ne sont pas subordonnées à l’existence d’un dommage individuel.
  3. La réparation d’un préjudice moral au titre du l’article 82 du RGPD ne peut être conditionnée à un « seuil de gravité ». Ainsi, une règle nationale qui impose une telle condition serait donc contraire au RGPD car elle risquerait notamment de nuire à l’harmonisation des règles au sein de l’UE.
  4. Cela dit, les juges nationaux doivent appliquer les règles internes de l’État membre, en question, relatives à l’étendue de l’indemnisation (sous réserve de respecter les principes de l’équivalence et l’effectivité du droit de l’UE).

 

 

L’équipe IP/IT – DATA

 

 

Nos avocats RGPD et DPO sont à votre disposition pour répondre à toutes vos questions en matière de protection des données et pour vous accompagner sur votre mise en conformité

 

 

DÉCOUVREZ NOTRE CYCLE DE FORMATION :
NUMÉRIQUE DATA