La décision "Spartoo" de la CNIL du 28 juillet 2020 est un cas d'école pour la conformité RGPD des sites de eCommerce. Retour de NEXT avocats sur les enseignements de cette décision.

8/09/2020

Dans ses « Guidelines on the concepts of controller and processor in the GDPR », l'EDPB remet un peu de rationalité dans le concept de sous-traitant : « not every service provider that processes personal data in the course of delivering a service is a “processor” within the meaning of the GDPR ». 1️⃣ En toute logique, n’est pas sous-traitant, par exemple : un service de taxi pour entreprise qui traite les données de salariés transportés. 2️⃣ De manière critiquable, reste sous-traitant selon l’EDPB : le prestataire auquel une entreprise confie le support de son IT. Des commentaires peuvent être adressés à l’EDPB jusqu’au 19 octobre 2020. L'expertise DATA & PRIVACY de NEXT avocats.

29/07/2020

La publication le 28 juillet 2020 par la CNIL d’un référentiel sur les durées de conservation des données personnelles collectées dans le cadre de recherches en santé n’apporte pas de nouveauté. Il s’agit d’une compilation des durées de conservation figurant dans les méthodologies de référence. La durée de conservation reste le plus souvent limitée à « 2 ans à compter de la dernière publication des résultats de la recherche ». L'expertise DATA & PRIVACY de NEXT avocats.

23/07/2020

« Explicit consent under the PSD2 is different from (explicit) consent under the GDPR »… L'EDPB (European Data Protection Board) lance une consultation publique jusqu’au 16 septembre 2020 sur ses lignes directrices relatives à la conciliation entre la directive sur les services de paiement DSP2 et le RGPD. Le European Data Protection Board met en exergue une différence (subtile) entre le consentement explicite au traitement de données personnelles au titre de la DSP2 et le même consentement au titre du RGPD. L’EDPB se prononce également sur le traitement des données des « silent parties », à savoir les personnes non liées avec le fournisseur de service de paiement. Un droit des données personnelles de plus en plus complexe... . L'expertise DATA & PRIVACY de NEXT avocats.

16/07/2020

L'invalidation du Privacy Shield place l'Europe et ses institutions en face de leurs contradictions en matière de protection des données personnelles. La chronique d'Etienne Papin, NEXT avocats, pour Le Monde Informatique sur les conséquences de la décision de la CJUE du 16 juillet 2020 : "En matière de données personnelles, l'Europe aura-t-elle un jour les moyens de ses ambitions ?". L'expertise DATA & PRIVACY de NEXT avocats.

24/06/2020

L’ordonnance du Conseil d'Etat du 19 juin 2020 est pleine d’enseignements sur le traitement des données de santé dans le cadre du SNDS 1️⃣ Elle interprète utilement l’article L1118-1 CSP relatif aux hébergeurs de données de santé « HDS ». 2️⃣ Elle confirme la licéïté de l’usage du cloud Azure de Microsoft pour l’hébergement des données de santé…. tant que la validité du « privacy shield » n’est pas remise en cause et tant qu’il n’est pas démontré que les données de santé pseudonymisées peuvent faire l’objet d’une demande d’accès des autorité US sur le fondement du « Cloud Act ». 3️⃣ Elle ordonne que soient communiquées à la CNIL les informations lui permettant de vérifier les conditions de pseudonymisation des données confiées à la CNAM et le Health Data Hub dans la lutte contre le Covid-19. L'expertise DATA & PRIVACY de NEXT avocats.

19/05/2020

RGPD An II : retour sur la casuistique du Conseil d'Etat concernent le droit à l'oubli.

15/05/2020

Quels enseignements tirer de la FAQ de la CNIL du 14/05 sur le « décret cadre NIR » relatif au traitement du numéro de Sécurité Sociale ? 1️⃣ Entre principes, exceptions, dérogations, autorisation de la CNIL ou autorisation par décret, identifier dans quels cas le traitement du NIR est possible ou interdit nécessite une étude précise ; 2️⃣ la possibilité de se prévaloir du décret ne soustrait évidemment pas les responsables de traitements aux autres obligations du RGPD (AIPD, minimisation, etc.). Notre expertise DATA & PRIVACY.