16/02/2016

L’invalidation du « Safe Harbor » est une belle illustration de la force de la réalité à l’encontre de l’effectivité de la règle. En effet, si du jour au lendemain le mécanisme du « Safe Harbor » s’est retrouvé illégal, les transferts de données entre l’Europe et les Etats-Unis ne se sont pas arrêtés pour autant. L’invalidation du Safe Harbor ayant surpris tout le monde, la Commission et l’administration américaine se sont attachées ces derniers mois à combler le vide juridique créé. Ce sera prochainement chose faite. Le 2 février dernier, les Etats-Unis et la Commission Européenne se sont accordés sur un nouveau dispositif. Il faudra maintenant appliquer le « Bouclier Vie Privée » (EU-US Privacy Shield).

16/01/2016

Ce règlement, dont le premier projet remonte à 2012, est appelé à remplacer la directive de 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Son objectif est d’uniformiser les règles en matière de protection des données personnelles en Europe, de garantir la libre circulation de ces données sur le territoire de l’Union et de simplifier l’exercice de leurs droits par les citoyens européens. De la loi du 6 janvier 1978 au futur règlement, la législation en matière de protection des données personnelles est allée dans le sens d’une complexité et d’une incertitude toujours plus grande. Les entreprises peuvent-elles attendre plus de sécurité juridique du futur règlement ? La réponse est contrastée.

12/10/2015

Du jour au lendemain, on découvre maintenant que bon nombre des données personnelles des Européens envoyées sur le territoire américain n’auraient jamais dû y aller… En effet, par sa décision du 6 octobre 2015, déjà largement commentée dans la grande presse, la Cour de Justice de l’Union Européenne (CJUE) vient d’invalider le régime juridique dit du « Safe Harbor » (« sphère de confiance » en Français).

16/06/2014

La CNIL vient de publier son 34ème rapport d’activité annuelle dans lequel elle dresse le bilan de son action et des problématiques renouvelées en matière de protection des données personnelles. En 2013, 5 638 plaintes ont été portées devant elle par des particuliers, des représentants du personnel ou des associations de consommateurs. Mais l’élément phare qui se dégage de ce rapport est la dimension internationale que prend désormais la question de la protection des données à caractère personnel.

14/04/2014

Plusieurs dispositions françaises sont susceptibles de devoir être repensées : l’article L.34-1 du Code des postes et des communications électroniques (CPCE) et son décret d’application ; l’article 6 de la loi pour la confiance dans l’économie numérique et son décret d’application et enfin l’article 20 de la nouvelle loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire qui modifie le Code de la sécurité intérieure et qui n’entrera en vigueur que le 1er janvier 2015.

25/05/2013

La mise en oeuvre par une entreprise d’un « traitement » informatisé de données à caractère personnel requiert un formalisme parfois lourd et lui impose le respect d’un certain nombre d’obligations rigoureuses. Le tout est contenu dans la loi du 6 janvier 1978 « Informatique et Libertés ». Mais qu’est-ce qu’un traitement de données à caractère personnel ? Une décision du 23 avril 2013 de la Cour de cassation nous donne l’occasion de revenir sur cette question.

20/09/2012

La réglementation en matière de traitement de données personnel va connaître prochainement une évolution majeure. La France a été le premier pays à se doter d’une législation en la matière, par la loi du 6 janvier 1978, Informatique et Libertés. Cette loi fut profondément modifiée en 2004 pour intégrer dans notre droit, la première réglementation européenne en la matière : la directive du 24 octobre 1995. Cette directive, qui avait pour objectif d’harmoniser le droit des Etats membres de l’Union européenne, a finalement abouti à une grande disparité dans les législations nationales. La Commission a divulgué récemment son projet de règlement. Le règlement définitif ne sera pas adopté avant de nombreux mois mais les entreprises doivent d’ores et déjà se préparer à l’arrivée de ce nouveau cadre juridique. Un certain nombre de dispositions concerne directement les directions informatiques des entreprises.

24/10/2011

Corolaires presque indispensables du pouvoir de sanction dont elles sont parfois dotées, certaines AAI, comme la CNIL, disposent d’importants pouvoirs d’investigation afin d’établir l’existence des pratiques illicites qui relèvent de leur compétence. Leurs agents peuvent ainsi procéder à ce que la loi nomme des « visites », c’est-à-dire des perquisitions. Il se développe ainsi une procédure « para-pénale » qui nourrit de nombreuses difficultés, difficultés renouvelées depuis que l’administration dispose du pouvoir de saisir les données informatiques des entreprises.

26/09/2011

A l’occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l’ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009 a introduit dans la directive 2002/58/CE « vie privée et communications électroniques » des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles. La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011[4]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.