Actualités

28/01/2022

Avec la nouvelle procédure simplifiée de sanction, créée par une loi du 24 janvier 2022, les "petits" manquements au RGPD vont être plus facilement et rapidement sanctionnés par la CNIL. Les sanctions encourues peuvent aller jusqu'à 20 000 euros. Voici une présentation des différences entre la procédure normale et la nouvelle procédure simplifiée de sanction.

25/01/2022

Dans sa décision du 11 janvier 2022, la Cour d'Appel de Paris rappelle les droits des artistes-interprètes en matière de captation d'un spectacle. La Cour d'Appel de Paris condamne Universal Music France pour avoir édité et distribué des DVD d'un concert alors que l’autorisation des artistes-interprètes, matérialisée par la signature de la "feuille de présence" de la SPEDIDAM, ne portait que sur l’enregistrement des prestations et leur exploitation sous la forme d’une diffusion télévisuelle. La formalisation des cessions de droits voisins des artistes-interprètes est donc essentielle pour l'exploitation future de leur interprétation.

24/01/2022

En quelques années, le Législateur a réussi à faire du droit des plateformes un véritable patchwork.

Deux décrets ont encore été adoptés récemment : 1 Décret n°2021-1922 du 30 décembre 2021 fixant les principes généraux applicables aux communications commerciales audiovisuelles fournies sur les plateformes de partage de vidéos. 2 Décret n°2022-32 du 14 janvier 2022 relatif à la fixation d’un seuil à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites.

NEXT avocats a mis à jour sa présentation sur la législation applicable aux plateformes numériques.

20/01/2022

La décision du Contrôleur européen de la protection des données (EDPS) du 5 janvier 2022 remet en question l’utilisation de Google Analytics et de Stripe, services largement utilisés en Europe. L'EDPS a, en effet, ordonné au Parlement européen de se conformer pour ses traitements à ses obligations en matière de protection des données personnelles:

1. Le site internet du centre de test Covid-19 du Parlement européen mettait en place des cookies Google Analytics et Stripe (bien que la présence des cookies Stripe résultait d’une erreur du développeur du site en question).

L’EDPS retient qu’un transfert de données personnelles de l’Union européenne vers les Etats-Unis a bien eu lieu par l’utilisation de ces cookies. L’EDPS souligne que le Parlement européen n’avait pas mis en place de mesures contractuelles, techniques ou organisationnelles garantissant un niveau de protection des données équivalent à celui garanti dans l’Union européenne, tel qu’il aurait dû le faire en cas de transfert vers un pays tiers. L'EDPS ne précise pas quelles mesures...

2. L’EDPS retient que les bannières de cookies proposées par le Parlement européen ne permettaient pas aux utilisateurs de donner un consentement libre et éclairé, et ne leur donnent pas une information transparente relative au traitement des données personnelles. L’EDPS précise à cette occasion que le consentement des utilisateurs est exigé même pour les cookies nécessaires aux mesures d’audience… ce qui n’est pas en ligne avec la doctrine de la CNIL sur ce point !

14/02/2022

La CNIL projette de faire évoluer ses méthodologies de référence (MR) 005 et 006 pour la recherche en santé. Les projets de MR sont soumis à consultation publique jusqu’au 18 février 2022. Que prévoient les nouvelles versions envisagées ?

● L’extension du champ d’application des MR : Les MR005 et MR006 s’appliquent désormais à tous les responsables de traitement justifiant de l’exécution d’une mission publique (MR005) ou la poursuite d’un intérêt légitime (MR006), à l’exception des assureurs et mutuelles.

● L’extension des données accessibles et de leurs modalités d’accès : Le périmètre des données concernées par les traitements est étendu aux données issues à l’ensemble du SNDS (Système national des données de santé) et aux RPU (Résumé de passage aux urgences).

Les modalités d’accès aux données sont également étendues : il serait désormais possible de passer par le portail de la CNAM, de l’ATIH ou du CASD, mais aussi par une « bulle sécurisée » (entendue comme une infrastructure hébergeant un système d’information mettant à disposition les données relatives au SNDS).

● La réduction des délais : La profondeur historique des données traitées est réduite à cinq ans, tandis que la durée d’accès et de conservation des données traitées est réduite à 3 ans maximum à compter de l’accès aux données.

● En outre, il devient désormais obligatoire d’obtenir un avis favorable du CESREES préalablement à la mise en œuvre des traitements.

31/12/2021

Un décret du 30 décembre 2021 transposant la directive « Services de médias audiovisuels » (SMA) a fixé les principes applicables aux communications commerciales audiovisuelles fournies sur les plateformes de partage de vidéos.

• Les communications commerciales audiovisuelles (publicité, parrainage, télé-achat, placement de produit) doivent être facilement reconnaissables comme telles.

• Les communications commerciales audiovisuelles clandestines sont interdites. Il s'agit de présenter des marchandises, services, marques ou activités d’un producteur ou d’un prestataire de services lorsque : - cela est fait dans un but publicitaire, et - en échange d’une contrepartie, et - si cela risque d’induire le public en erreur sur la nature d’une telle présentation.

• Il est interdit d’utiliser des techniques subliminales (sans pour autant qu’une définition ne soit apportée par le décret).

• Il est également précisé que les communications commerciales audiovisuelles ne peuvent porter atteinte à la dignité des personnes, ni s’avérer discriminantes, ni encourager des comportements préjudiciables à la santé, sécurité et environnement. Des interdictions s’ajoutent dès lors que les communications audiovisuelles commerciales visent les mineurs.

A qui est-ce applicable ?

Aux plateformes de partage de vidéos. Il s’agit des services dont l’objet principal, ou une de ses fonctionnalités essentielles, est la fourniture au grand public de programmes et/ou de vidéos créées par l’utilisateur, qui ne relèvent pas de la responsabilité éditoriale du fournisseur, par le biais de communications électroniques. Si le décret s’applique évidemment aux plateformes telles que YouTube, il n’est pas aussi certain que les réseaux sociaux à l’instar d’Instagram soient concernés. Il faudra d’abord déterminer si la fourniture de vidéos créées par les utilisateurs en constitue ou non une fonctionnalité essentielle.

31/12/2021

Le 31 décembre 2021, la CNIL a condamné la société Facebook Ireland Limited au paiement de la somme de 60 millions d’euros pour manquement à l’article 82 de la loi « Informatiques et Libertés » qui impose l’information claire et complète des utilisateurs et leur consentement avant le dépôt de certains cookies. Le même jour, et sur le même fondement, la CNIL a condamné les sociétés Google LLC et Google Ireland Limited, responsables conjointement, au paiement des sommes respectives de 90 millions et 60 millions d’euros. La CNIL a assorti ces deux décisions d’une astreinte de 100 000 euros par jour de retard en cas d’absence de mise en conformité à l’issue d’un délai de trois mois.

La leçon est très claire : les utilisateurs doivent pouvoir refuser les cookies aussi facilement que de les accepter.

1. La CNIL estime, concernant Facebook, que le bouton « Gérer les paramètres de données », suivi d’un clic supplémentaire pour parvenir à refuser les cookies, ne répond pas à cette exigence face au bouton unique « Tout accepter ».

2. Elle estime également, concernant Google, que le bouton « Personnaliser », qui s’accompagne de quatre actions supplémentaires pour parvenir à refuser les cookies, ne répond pas davantage à cette exigence.

3. La CNIL recommande deux boutons présentés au même niveau et sur le même format, par exemple : Tout accepter / Tout refuser Autoriser / Interdire Consentir / Ne pas consentir

Cette décision est également l’occasion pour la CNIL d’affirmer sa compétence matérielle et territoriale pour traiter des opérations liées aux cookies déposés par une société sur les terminaux des utilisateurs situés en France.