Actualités

29/09/2023

Une amende de 200 000 euros a été prononcée par la CNIL, dans sa délibération du 18 septembre 2023,  à l’encontre d’une société de transport et de logistique en raison d’une collecte excessive de données concernant ses salariés.

La filiale d’une société basée à Hong-Kong avait demandé à ses salariés de fournir les informations suivantes : ethnie, affiliation à un parti politique, situation familiale, identité des parents et des éventuels frères, sœurs et enfants, date et lieu de naissance, numéro de téléphone, employeur, fonctions et situation maritale de ces personnes.

● La collecte de ces données n’est pas justifiée par le besoin de prévenir les proches en cas d’urgence et viole le principe de minimisation.

● En outre, certaines de ces données sont « sensibles », de sorte que leur collecte n’était possible qu’avec le consentement libre et éclairé des salariés.

● Enfin, la CNIL a constaté lors d’un contrôle sur place que des extraits de casier judiciaire B3 étaient conservés dans les dossiers individuels des salariés par l’employeur. Sur ce point, la CNIL considère que si l’employeur peut « consulter », dans certaines circonstances, le casier judiciaire il ne peut pas en conserver un extrait.

15/09/2023

Nous mettons à jour notre tableau de bord des sanctions de la CNIL, avec un focus sur l’année 2023.

Le record 2023 de la sanction pécuniaire est pour le moment de 40 000 000 euros.

➡️ Tableau de bord 2023

11/09/2023

Une enquête menée par le Service National des Enquêtes dans le secteur de la publicité en ligne avait révélé qu’une régie publicitaire ne pouvait ignorer le caractère déloyal d’annonces diffusés par ses services sur des sites tels que Le Figaro, 20 Minutes, La Dépêche, Ouest-France, La Voix du Nord. Ces annonces revêtaient en effet « une apparence faussement éditoriale alors qu’il s’agissait de contenu publicitaire » ou encore « comportaient des allégations non justifiées sur les effets attendus de divers produits ».

Un procès-verbal d’infraction pour pratiques commerciales trompeuses avait été dressé par la DGGCRF. A l’issue de ce PV, la régie s’était engagée à « vérifier la loyauté de toutes les annonces avant de les diffuser, et à contrôler les pages vers lesquelles sont redirigés les internautes qui cliquent sur les publicités ».

Cependant, elle n’a pas respecté ses engagements et a poursuivi la diffusion de publicités au contenu trompeur. La régie publicitaire a été condamnée à une amende transactionnelle de 650 000 euros.

Le communiqué de la DGCCRF

01/09/2023

10 minutes pour tout comprendre.

Les transferts de données personnelles vers les Etats-Unis vont pouvoir s’effectuer en application du « EU-US Data Privacy Framework » . La commission européenne, dans sa décision du 10 juillet 2023, a reconnu que l’adhésion à ces principes par une entreprise américaine offrait un niveau de protection adéquat permettant le transfert de données personnelles vers cette entreprise conformément à l’article 45 du RGP.

Mais quel est ce nouveau « Cadre » ?

➡️ NEXT vous présente le EU-US Data Privacy Framework et ses Principes.

25/08/2023

Le vendredi 25 août 2023, les dispositions du DSA concernant les 17 très grandes plateformes en ligne et les 2 très grands moteurs de recherches entrent en vigueur. A quoi ces big tech seront-elles obligées ?

➡️ Notre synthèse du DSA vous apporte les éléments de réponse.

17/07/2023

Les procédures en application desquelles les autorités judiciaires ou administratives peuvent enjoindre le blocage de l’accès à des sites internet se sont multipliées. Comme souvent, le régime juridique devient complexe et sans cohérence.

● Récemment, le décret n° 2023-454 du 12 juin 2023 relatif au blocage et déréférencement des « sites miroirs » est venu compléter les possibilités de blocage des sites qui relèvent du président du tribunal judiciaire (après un avis critique de l’ARCOM du 16 février dernier).

● Le décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise œuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique fait quant à lui l’objet d’un recours devant le Conseil d’État. Ce recours a conduit le tribunal judiciaire à sursoir à statuer, le 7 juillet dernier, dans la procédure qui oppose l’ARCOM, les FAI et des éditeurs de sites pornographiques.

Le sujet est d’autant plus d’actualité qu’il va falloir combiner le droit positif français avec le DSA.

➡️ L’occasion pour NEXT de vous présenter de manière synthétique les différentes procédures applicables au blocage des sites internet.

La loi est complexe. Cette présentation vous fournira le cadre de référence mais il faudra toujours revenir aux textes. Les avocats de NEXT sont là pour vous aider !

04/07/2023

Google sanctionné par la DGCCRF pour manquements à diverses obligations d’information

● Sur le moteur de recherche : défaut d’informations relatives aux critères de classement des résultats.
● Sur le module de recherche et de comparaison d'offres d'hébergement touristique : absence de communication au consommateur d’informations relatives aux conditions tarifaires des offres proposées (caractère annulable et remboursable ou non de l’offre d’hébergement et inclusion ou non du petit-déjeuner dans le prix).
● Sur le magasin d’applications Google Play : plusieurs manquements résultant notamment de l’absence d’informations relatives aux critères de classement des résultats, à la qualité de l’offreur (professionnel ou particulier), aux modalités de paiement et à celles de règlement des litiges.
● En ce qui concerne les avis de consommateurs déposés sur Google Play : l’auteur d’un avis n’était pas informé des motifs ayant conduit à ce que l’avis ne soit pas publié.

La décision n’est pas rendue publique. On comprend toutefois du communiqué que sont notamment sanctionnés des manquements aux articles L.111-7 et L.111-7-2 du code de la consommation.

L’amende administrative prononcée s’élève à un montant total de 2,015 millions d’euros.

Le communiqué de la DGCCRF du 4 juillet 2023

03/07/2023

Adoption par le Parlement d’une loi ayant pour but d'encadrer l'accès aux réseaux sociaux par les mineurs de moins de 15 ans. Cette loi modifie la loi sur la confiance en l’économie numérique (LCEN) du 21 juin 2004.

  La loi définit les « services de réseaux sociaux en ligne » comme « toute plateforme permettant aux utilisateurs finaux de se connecter et de communiquer entre eux, de partager des contenus et de découvrir d’autres utilisateurs et d’autres contenus, sur plusieurs appareils, en particulier au moyen de conversations en ligne, de publications, de vidéos et de recommandations. »

Les réseaux sociaux vont être obligés :
● de refuser l’accès à des mineurs de quinze ans sauf autorisation parentale ;
● pour les mineurs déjà inscrits, de recueillir l’autorisation parentale « dans les meilleurs délais » ;
● de vérifier l’âge et l’autorisation parentale à l’aide de « solutions techniques conformes à un référentiel élaboré » par l’ARCOM ;
● d’informer mineurs et parents sur les risques des réseaux sociaux ;
● d’activer un dispositif de contrôle parental du temp d’utilisation ;
● de fournir à l’autorité judiciaire dans un un délai de 10 jours maximum, réduit à 8 heures en cas de risques graves, les éléments permettant l’identification de l’auteur d’un contenu ;
● de lutter contre la commission de nombreuses infractions comme le montage vidéo ou audio d’une personne sans son consentement, divulgation sans consentement des données à caractère personnel obtenues illicitement, etc.

26/06/2023

Précisions de la CJUE sur l’étendue du droit d’accès d’un salarié : il ne permet pas de connaitre l’identité des personnes physiques ayant consulté des données personnelles.

Un salarié d’une banque finlandaise, qui était par ailleurs client de cette banque, avait appris que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque dans le cadre d’une enquête interne.

Ayant des doutes sur la licéité de ces consultations, le salarié avait demandé à la banque que lui soit communiquée l’identité des collaborateurs qui avaient consulté ses données, les dates des consultations ainsi que les finalités du traitement. La banque a indiqué les raisons de ces opérations mais a refusé la demande de communiquer l’identité des salariés.

La CJUE (22 juin 2023, C-579/21), saisie d’une question préjudicielle, interprète le RGPD en ce qu’il ne consacre pas de tel droit à connaitre l’identité des salariés qui ont consulté des données. La CJUE indique que les salariés du responsable du traitement ne sont pas considérés comme étant des « destinataires » au sens du RGPD lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions.

Elle ajoute qu’à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers.