Réforme européenne du droit des données personnelles : le règlement a été définitivement adopté !

Après quatre ans de travaux des institutions européennes, le Règlement Général sur la Protection des Données personnelles (RGPD) a été définitivement adopté le 14 avril dernier par le Parlement Européen.

Ce texte, d’application directe dans l’ensemble des pays de l’Union Européenne, remplacera l’actuelle directive de 1995, transposée en droit français par la loi dite « Informatique et Libertés » du 6 janvier 1978 modifiée en 2006.  Lire la suite

Données personnelles, encore : la directive de 1995 est morte, Vive le règlement 2016 !

Le Parlement européen a adopté le 14 avril 2016 le règlement européen sur la protection des données. Il sera effectif en 2018 et les entreprises devront s’y adapter. En synthèse, le règlement comporte les principes suivants.  Lire la suite

Données personnelles et vie privée : le bilan 2015 est sans concession

Publié le 8 avril 2016, le bilan 2015 de la CNIL souligne que : « L’année 2015 est marquée par une forte augmentation de l’activité de la CNIL, avec 13 790 demandes provenant de particuliers : 7908 plaintes dont 36% concernent l’e-réputation et 5 890 demandes de droit d’accès indirect. Cette évolution témoigne de la volonté des citoyens de reprendre leurs droits en main au bénéfice de plus de transparence et de sécurité, notamment dans la gestion de leur e-réputation.»  Lire la suite

Données personnelles : le G29 discute le Privacy Shield

Le G29 réunit les « CNIL » européennes depuis sa création par les directives n° 95/46/CE et 97/66/CE. Alors que la Commission européenne annonçait, après l’affaire Facebook, l’accord Privacy Shield (bouclier des données personnelles) avec les Etats-Unis qui avaient perdu leur statut de safe harbor, le G29 semble critique.

La CNIL (https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield) précise ainsi – et l’avis est d’importance par la résistance qu’il manifeste : « Le G29 a mené son analyse à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 & 8). L’objectif de cette analyse consiste à s’assurer que les transferts de données personnelles qui seront réalisés dans le cadre du Privacy Shield respectent un niveau de protection « essentiellement équivalent » aux exigences européennes, pour reprendre l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015. Le G29 tient tout d’abord à souligner les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001 (…) : l’insertion de définition clés ; les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes. »  Lire la suite

Frédéric Fournier, Associé, publie un article « Loi République numérique : bientôt la portabilité des emails et des données personnelles » sur le Journal du Net : Loi République numérique : bientôt la portabilité des emails et des données personnelles

EU–US personal data transfer – United States and European Commission reach an agreement named « EU-US Privacy Shield »

On February 2, 2016, European Commission and US government reached an agreement on European citizens’ personal data transfer to the US.

The new framework follows the “Safe Harbour” invalidation by the Court of Justice of the European Union (CJEU) on October 6, 2015, for not meeting adequate protection level requirements required by the European Directive 95/46/EC.  Lire la suite

Transfert de données personnelles UE-US – les Etats-Unis et la Commission parviennent à s’entendre sur un accord politique baptisé « accord bouclier ».

Le 2 février 2016, la Commission européenne et les Etats-Unis sont parvenus à un nouvel accord politique sur le transfert de données personnelles vers les Etats-Unis.

Cet accord survient à la suite de l’invalidation du « Safe Harbour » par la Cour de Justice de l’Union européenne (CJUE) le 6 octobre dernier, la Cour ayant constaté la non-conformité de celui-ci aux exigences de garantie de protection adéquate requises par la Directive européenne n°95/46/CE.  Lire la suite

Safe Harbor : le G29 donne trois mois pour agir.

A la suite de la décision de la CJUE invalidant le Safe Harbor, la CNIL et ses homologues européens (le G29) se sont réunis pour en analyser les conséquences.

Pour mémoire, le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a jugé que la décision de la Commission 2000/52 du 26 juillet 2000 reconnaissant les Etats-Unis comme « sphère de sécurité » en cas de transfert de données personnelles était invalide. Elle juge que ces transferts doivent être suspendus comme ne répondant pas aux exigences de garantie de protection adéquate requis par la directive européenne n°95/06/EC, à la suite d’une question préjudicielle de la High Court irlandaise dans une affaire initiée par un utilisateur de Facebook se plaignant du transfert de ses données vers les serveurs américains. Le transfert de données personnelles à partir de l’Europe vers les Etats-Unis basée sur l’équivalence de protection du fait de l’adhésion de la société américaine au Safe Harbor ne sera plus possible à ce stade.  Lire la suite