Archives des Data - DS-Avocats-global

Réglementation des données – Vietnam

Posted on février 8, 2024février 9, 2024 by DS_Kenya

Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (RGPD), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.

Vous trouverez ci-dessous un aperçu de l’approche nationale de la Chine en matière de protection de la vie privée.

Vous pourrez découvrir les approches nationales de l’Inde, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.

Notre Asia Data Privacy Taskforce : Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.

Le gouvernement vietnamien a publié le décret 13/2013/ND-CP sur Personal Data Protection (« DPDP« ) le 17 avril 2023, lequel est entré en vigueur le 1^er juillet 2023. Le DPDP remplace plusieurs lois éparses et définit le cadre juridique de la protection des données au Vietnam.

Entre influence internationale et spécificité locale

Fortement influencé par le RGPD, le DPDP fournit une définition plus claire des données personnelles (de base et celles considérées comme sensibles), de la responsabilité des organisations et des individus traitant des données personnelles, ainsi que des droits des individus.

Bien qu’il soit influencé par le RGPD, le DPDP prévoit toutefois des dispositions uniques telles que l’interdiction de la vente et de l’achat de données personnelles par quelque moyen que ce soit, sauf disposition contraire. Cette disposition devrait avoir un effet considérable sur l’activité des courtiers en données et d’autres entreprises engagées dans le commerce des données personnelles. Le DPDP ne reconnaît pas non plus le principe d’intérêt légitime.

Protection des données personnelles des mineurs

Comme le RGPD, le DPDP prévoit une protection spéciale pour les données personnelles des mineurs. Toutefois, il existe une différence entre ces deux réglementations en ce qui concerne le seuil d’âge pour l’obtention d’un consentement valide. Au Vietnam, le décret exige le consentement d’un parent ou d’un tuteur légal pour les mineurs âgés de 7 ans ou moins (le DPDP ne précise pas toutefois les modalités de vérification de l’âge), alors que le RGPD n’autorise que les personnes de plus de 16 ans à donner leur consentement de manière indépendante pour le traitement de leurs données personnelles.

Le DPDP stipule que seul le parent ou le tuteur légal du mineur peut retirer son consentement au traitement des données de l’enfant. Toutefois, il n’est pas clair si le mineur lui-même peut révoquer le consentement qui a été donné en son nom et réclamer que soient effacées ses données personnelles.

Exigences relatives aux transferts transfrontaliers de données personnelles

Un dossier d’analyse d’impact pour un transfert transfrontalier de données personnelles doit être préparé avant tout transfert transfrontalier de données. Ce dossier doit également être soumis au Department of Cybersecurity and Hi-Tech Crime Prevention (« DCHCP« ) relevant du Ministry of Public Security (« MPS« ) dans un délai de 60 jours à compter de la date de traitement des données.

Le MPS se réserve le droit d’interrompre un transfert transfrontalier de données personnelles si : (i) les données transférées sont utilisées pour des activités violant l’intérêt national et la sécurité du Vietnam ; (ii) le cédant ne se conforme pas aux demandes de compléter le dossier d’évaluation d’impact ; ou (iii) il y a un incident de fuite ou de perte de données personnelles de citoyens vietnamiens – il semble que cela puisse être appliqué même s’il n’y a pas de faute de la part du cédant.

Conséquences pour les entreprises

Le DPDP encadre le traitement des données personnelles sans toutefois abroger les lois spécifiques pouvant contenir de règles particulières en matière de traitement des données personnelles, telles que la loi sur la cybersécurité (et ses exigences en matière de localisation des données). Il est donc essentiel que les entreprises comprennent et identifient leurs nouvelles obligations au titre du DPDP (mais également des lois spécifiques) et évaluent les mesures à prendre pour s’y conformer.

Législation	Decree No. 13/2023/ND-CP dated 17 April 2023 on protection of personal data
Autorité	Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention)
Champ d’application	Personnes et organisations vietnamiennes (y compris celles qui opèrent à l’étranger) ainsi qu’aux entités étrangères opérant au Vietnam, ou s’engageant directement dans des activités de traitement de données personnelles de citoyens vietnamiens ou s’y rapportant.
Définition de données personnelles	Information in the form of symbols, scripts, numbers, images, sounds or any other similar form in the electronic environment, which pertains to a particular individual or facilitates the identification of a particular individual. Personal data includes “basic personal data” and “sensitive personal data”
Principes de protection des données personnelles	8 principes : 1. Les données personnelles sont traitées conformément à la loi. 2. La personne concernée a le droit de recevoir des informations relatives au traitement de ses données personnelles, sauf disposition contraire de la loi. 3. Les données personnelles sont traitées aux fins enregistrées et déclarées par le peronal data controller, le personal data processor et le personal data controlling, et le tiers. 4. Les données personnelles collectées doivent être adaptées à la portée et aux finalités du traitement. L’achat ou la vente de données personnelles est interdit sous quelque forme que ce soit, sauf disposition légale contraire. 5. Les données personnelles sont mises à jour et ajoutées aux fins du traitement. 6. Les données personnelles sont protégées et sécurisées tout au long du traitement. En particulier, les données personnelles sont protégées contre les violations des règles relatives à la protection des données personnelles et à la prévention de la perte, de la destruction ou des dommages causés par des incidents et l’utilisation de mesures techniques. 7. Les données personnelles sont conservées pendant une durée adaptée aux finalités du traitement, sauf disposition légale contraire. 8. Le personal data controller et le personal data controlling doivent respecter les règles de traitement des données conformément aux lois et prouver leur conformité.
Droits de la personne concernée	11 droits : 1. Droit d’être informé 2. Droit de donner son consentement 3. Droit d’accès aux données personnelles 4. Droit de retirer son consentement 5. Droit d’effacer les données personnelles 6. Droit d’obtenir la limitation du traitement 7. Droit d’obtenir des données personnelles 8. Droit de s’opposer au traitement 9. Droit de déposer une plainte et d’introduire une action en justice 10. Droit de réclamer des dommages et intérêts 11. Droit à la légitime défense
Portée du consentement	Le consentement de la personne concernée est accordé pour toutes les activités de traitement de ses données personnelles, sauf disposition contraire de la loi. Le consentement de la personne concernée est valable jusqu’à ce que la personne concernée ait pris d’autres décisions ou que l’autorité compétente en fasse la demande par écrit. Le retrait du consentement n’affecte pas la légalité du traitement pour lequel le consentement a été donné avant son retrait.
Mesures visant à assurer la protection des données personnelles	Protection générale : Mesures de gestion et mesures techniques prises par les parties concernées par les données personnelles, ainsi que par le gouvernement compétent. Mesure supplémentaire pour les données sensibles : désignation d’un service de protection des données et d’un délégué à la protection des données au sein de l’organisation ou de l’entité.
Analyse d’impact sur le traitement des données	Le responsable du traitement des données, le sous-traitant des données et l’entité de contrôle et de traitement des données sont tenus de préparer et de présenter le dossier de demande d’évaluation de l’impact du traitement des données personnelles sur le SPM. Ce dossier doit être soumis au DCHCP du MPS dans les 60 jours suivant le début du traitement des données personnelles. Toute mise à jour ou modification connexe doit également être signalée.
Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger	Définition du « transfert transfrontalier de données » : le fait d’utiliser le cyberespace, des dispositifs électroniques, des équipements ou d’autres formes pour transférer des données personnelles d’un citoyen vietnamien vers un lieu situé en dehors du territoire vietnamien ou d’utiliser un lieu situé en dehors du Vietnam pour traiter des données personnelles d’un citoyen vietnamien. Plus précisément : a. Une organisation, une entreprise ou une personne transfère les données personnelles d’un citoyen vietnamien à une organisation, une entreprise ou un service de gestion à l’étranger afin de traiter les données aux fins convenues par la personne concernée ; b. Les données personnelles d’un citoyen vietnamien sont traitées par des systèmes automatiques en dehors du territoire vietnamien par le contrôleur des données personnelles, l’entité de contrôle des données personnelles et l’entité de traitement, le processeur des données personnelles aux fins convenues par la personne concernée. Condition relative au transfert transfrontalier de données : • Obtention du consentement de la personne concernée • Evaluation du dossier d’évaluation de l’impact du transfert par le DHCP du MPS (dans les 60 jours suivant le transfert). • Une notification écrite au DHCP du MPS doit être soumise après que les données ont été transférées avec succès.
Notification de la violation	• Délai : 72 heures à compter de la violation (tout retard doit être justifié) • Autorité chargée de recevoir la notification : DCHCP du MPS
Sanctions	• Sanction administrative • Sanction pénale

Réglementation des données – Inde

Posted on février 8, 2024février 13, 2024 by DS_Kenya

Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.

Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.

Depuis l’arrêt historique de la Cour suprême indienne ayant déclaré le « droit à la vie privée » comme un droit fondamental en 2017 et exhorté le gouvernement indien d’établir un régime de protection des données, les décideurs politiques ont travaillé à l’adoption d’une législation centrale afin de protéger la vie privée. Grâce à ces efforts, le Digital Personal Data Protection Act, 2023 (DPDPA) a finalement été adopté le 11 août 2023.

Le DPDPA remplace un ensemble de règles établies en vertu de l’article 43A de l’Information Technology Act, 2000, qui jouait jusqu’alors le rôle de loi sur la protection des données.

Le DPDPA vise à régir le traitement des données personnelles numériques en prenant en compte tant les droits des individus à protéger leurs données personnelles et que la nécessité de traiter ces données personnelles à des fins licites.

Le RGPD et le DPDPA

Le DDPA s’inspire en partie du RGPD et des lois sur la protection des données en vigueur à Singapour et en Australie.

Alors que le RGPD adopte une approche extraterritoriale (il s’applique aux entreprises du monde entier qui traitent les données personnelles des personnes concernées, quelle que soit leur situation géographique) et accorde des droits étendus aux individus (notamment le droit à la portabilité des données, leur effacement, leur rectification et le droit d’objection), le DPDPA se concentre principalement sur les données collectées, traitées et conservées sur le territoire indien. Il a une portée nationale et s’applique aux citoyens indiens, ainsi qu’aux entreprises étrangères qui sont amenées à traiter les données.

D’un point de vue philosophique, le RGPD repose sur la protection des droits fondamentaux des individus, en particulier le droit à la vie privée. Il fait de la protection des données personnelles un droit fondamental des individus et met l’accent sur l’importance de la préservation de la confidentialité des données personnelles. À l’inverse, l’approche indienne met l’accent sur la souveraineté des données et la nécessité de promouvoir le développement économique du pays. Elle cherche à trouver un équilibre entre la protection des données personnelles et les intérêts du pays en matière de développement, notamment en ce qui concerne la facilitation des affaires et la promotion de l’innovation et du développement de l’économie numérique en Inde. En résumé, le RGPD se concentre sur la sauvegarde des droits fondamentaux des individus et la préservation de la vie privée, tandis que le DPDPA met l’accent sur la souveraineté des données et l’équilibre entre la protection des données et le développement économique. Ces différences reflètent les valeurs et les priorités propres à chaque région. Néanmoins, les deux réglementations ont pour objectif commun de garantir la protection des données personnelles.

Présentation du DPDPA

Législation	Digital Personal Data Protection Act 2023 Entrée en vigueur prévue début 2024
Régulateur	Data Protection Board of India (DPBI)
Champ d’application	Toute entité traitant des données personnelles sur le territoire indien. Compétence extraterritoriale : le DPDPA couvre les données traitées en dehors de l’Inde, si cela est fait dans le but d’offrir des biens et des services à des personnes en Inde. Exclusion : le DPDPA ne s’applique pas aux entreprises indiennes fournissant des services d’externalisation (ex :traitement en Inde de données collectées à l’étranger).
Définition de données personnelles	Le DPDPA s’applique uniformément à tous les types de données personnelles définies comme « any data about an individual who is identifiable by or in relation to such data« . Le DPDPA ne contient aucune disposition sur les catégories spéciales de données (données sensibles). Mais les « significant data fiduciary » (classés comme tels sur la base du volume et de la sensibilité des données personnelles et d’autres critères prescrits) sont soumis à des obligations de conformité plus importantes. Exclusion : • données non numérisées : contrairement au RGPD, le DPDPA ne cherche pas à réglementer une opération de traitement ou une activité qui est entièrement manuelle ou non automatisée • données personnelles traitées à des fins personnelles ou domestiques ou les • • données personnelles collectées à des fins de recherche et de statistiques non relative à une catégorie spécifique • données personnelles publiquement disponibles
Parties impliquées dans le traitement des données	Data fiduciary : toute personne qui décide des finalités et des moyens du traitement des données (responsable du traitement). Un data fiduciary peut être un significant data fiductiary. Data processor : toute personne qui traite des données personnelles pour le compte du data fiduciary. Data principal : personne à laquelle se rapportent les données personnelles (sujet des données). Contrairement au RGPD, le DPDPA n’impose pas d’obligations directement au data processor, mais attend des data fiduciary qu’ils s’assurent de la conformité des data processors qu’elles engagent par le biais d’accords de traitement de données.
Droits et devoirs de la personne concernée	• Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de recours • Droit de nomination Contrairement au RGPD, il n’existe pas de droit à la portabilité des données. Mais il existe une interdiction : • d’usurper l’identité d’une autre personne • de supprimer des informations importantes • de fournir que des informations dont l’authenticité peut être vérifiée • de déposer de plaintes futiles Les citoyens indiens peuvent exercer leurs droits selon les méthodes prescrites par les data fiduciaries qui doivent, de leur côté, mettre en place des mécanismes de réclamations à la collecte de données personnelles.
Localisation des données	Bien que le DPDPA n’impose pas d’exigences strictes en matière de localisation, il confère au gouvernement le pouvoir d’imposer le stockage local de certains types de données dans l’intérêt de la sécurité nationale.
Pouvoir de l’État	• Divulgation de données personnelles par les data fiduciaries à l’État/aux agents de l’État (« État« ) en vertu d’une obligation légale : « legitimate use« , sans que le consentement ou l’information des personnes ne soient requis. • L’État est dispensé de demander le consentement (et d’autres obligations en vertu de la loi sur le PDPDA, y compris celle d’effacer les données personnelles dans ses dossiers) lorsque le traitement des données personnelles est nécessaire à l’exercice d’une fonction légale, est dans l’intérêt de la sécurité, de la souveraineté et de l’intégrité de l’Inde ou est destiné à maintenir l’ordre public. • Le gouvernement indien est responsable de la nomination des membres du DPBI. Le DPDPA ne prévoit pas de conditions relatives à la nécessité contractuelle ou aux intérêts légitimes. Une version antérieure du DPDPA contenait une exemption générale pour le traitement dans l’intérêt public, mais celle-ci a été modifiée pour ne s’appliquer qu’à l’État.
Sécurité	Le responsable du traitement des données doit mettre en œuvre des garanties de sécurité raisonnables et des mesures techniques et organisationnelles appropriées pour assurer le respect du PDPDA et prévenir les violations des données collectées.
Obligation concernant l’obtention du consentement	Le traitement des données est soumis au consentement explicite des utilisateurs, sauf si les données peuvent être traitées sur le fondement d’une autre base légale. Le consentement doit être : • libre : Le principal intéressé ne doit pas se sentir contraint ou forcé de donner son consentement. • inconditionnel : Le consentement ne peut être subordonné à aucune autre condition, telle que la fourniture d’un produit ou d’un service. • sans ambiguïté : la personne concernée doit savoir clairement à quoi elle consent. • spécifique : Le consentement doit préciser la finalité pour laquelle les données sont collectées et traitées. • informé : Le data principal doit recevoir suffisamment d’informations sur l’utilisation qui sera faite de ses données pour qu’il puisse décider en connaissance de cause de donner ou non son consentement. Le data fiduciary doit publier un avis expliquant la finalité et les moyens du traitement des données et donner au data principal la possibilité d’accéder au contenu de l’avis en anglais ou dans l’une des 22 langues spécifiées à l’Annexe 8 de la Constitution. Le data principal a le droit de révoquer son consentement à tout moment. Le traitement des données relatives aux enfants (âgés de moins de 18 ans) nécessite le consentement d’un parent ou d’un tuteur. Tout suivi et toute surveillance du comportement des enfants ou toute publicité ciblée à l’intention des enfants sont interdits.
Analyse d’impact sur le traitement des données	Seuls les significant data fiduciary sont tenus de réaliser une analyse d’impact sur la protection des données (DPIA).
Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger	Contrairement au RGPD, le transfert de données personnelles en vue d’un traitement en dehors de l’Inde est généralement autorisé par le DPDPA. Le gouvernement indien peut identifier des pays spécifiques vers lesquels les transferts de données sont interdits. À l’heure actuelle, le gouvernement n’a donné aucune indication sur les pays qui pourraient figurer sur cette liste. Si les dispositions du PDPDA sur le transfert international de données sont en conflit avec d’autres lois indiennes, c’est la loi qui prévoit le degré de protection ou de restriction le plus élevé pour les transferts transfrontaliers qui prévaudra (c’est-à-dire que les réglementations sectorielles, telles que le mandat de localisation des données de la RBI en ce qui concerne les données des systèmes de paiement, continueront à s’appliquer).
Notification de violation	1. Signalement de la violation au DPBI dans les 72 heures suivant la prise de connaissance de celle-ci. 2. Informations des data principals de la violation des données 3. Les data principals lésés par une violation de données peuvent poursuivre le data fiduciary pour obtenir des dommages-intérêts.
Sanctions	Amendes : • Manquement d’un data controller à prendre des mesures de sécurité raisonnables : amendes allant jusqu’à 250 millions de roupies indiennes (2.800.000 d’euros). • Manquement à l’obligation de notifier une violation de données personnelles ou de se conformer aux exigences en matière de protection des données relatives aux enfants : amendes pouvant aller jusqu’à 200 millions de roupies indiennes (2.240.000 euros). Les amendes sont déterminées par le DPBI, en fonction de la nature de l’infraction.

Réglementation des données – Indonésie

Posted on février 8, 2024février 9, 2024 by DS_Kenya

Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.

Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.

La loi indonésienne sur la protection des données personnelles (loi n° 27 de l’année 2022) (« PDPL »), attendue depuis longtemps, est finalement entrée en vigueur le 17 octobre 2022. Avec sa couverture extraterritoriale, la PDPL s’applique tant aux activités de traitement en dehors du territoire indonésien qu’aux activités ayant un effet ou des conséquences juridiques en Indonésie et/ou envers des personnes indonésiennes se trouvant à l’étranger. Elle opère un classement des données personnelles en catégories spécifiques et générales. La PDPL vient réglementer diverses activités de traitement des données personnelles, en mettant l’accent sur des principes tels que la collecte limitée et transparente des données, le traitement exact et les mesures de sécurité. Des dispositions transitoires prévoient une période de mise en conformité de deux ans pour les entités impliquées dans le traitement des données personnelles.

PDPL et RGPD

Le PDPL est à la fois proche et différent du RGPD.

Les deux règlements adoptent en effet une définition large de la notion de « données à caractère personnel » et créent différentes catégories de données en fonction de leur sensibilité. Le PDPL a choisi d’adopter une approche extraterritoriale similaire à celle du RGPD, s’appliquant à toute entité qui traite des données personnelles de citoyens indonésiens, qu’ils se trouvent ou non en Indonésie, ainsi qu’aux entités ne relevant pas de la juridiction indonésienne mais ayant un impact en Indonésie.

En outre, elles visent toutes deux à sauvegarder les droits des personnes, en soulignant l’importance de la protection des données à caractère personnel en tant que droit de l’homme. Cette protection est obtenue en donnant la priorité à un traitement transparent et responsable des données personnelles, en veillant à ce que les personnes soient informées et les organisations responsables de leurs pratiques en matière de données personnelles.

La PDPL est toutefois très différente du RGPD en ce qui concerne les pouvoirs des organismes de réglementation. Alors que la loi indonésienne donne au gouvernement un rôle important dans la formulation des politiques, la supervision de la mise en œuvre et l’application des sanctions, le RGPD s’appuie sur des autorités indépendantes.

En outre, la PDPL met l’accent sur la promotion de la croissance de l’économie numérique et de l’industrie des technologies de l’information parallèlement à la protection des données personnelles, ce qui reflète une double orientation vers le développement et la protection de la vie privée, tandis que le RGPD promeut la protection des droits individuels.

Exigences en matière de transfert transfrontalier de données

En vertu de la PDPL, les responsables du traitement transférant des données à caractère personnel à l’étranger doivent s’assurer que le pays destinataire dispose d’un niveau de protection des données équivalent ou supérieur au leur. Cependant, alors que le RGPD met l’accent sur la mise en adéquation, la PDPL se concentre sur la garantie du niveau de protection de l’entité destinataire. En outre, la PDPL introduit la possibilité d’obtenir l’approbation de la personne concernée si une protection équivalente n’est pas assurée, une disposition qui n’est pas explicitement présente dans le RGPD.

La PDPL prévoit des sanctions administratives pour garantir le respect des règles. Ces sanctions sont conçues pour encourager les organisations à adhérer aux principes et à se conformer aux obligations énoncées dans la PDPL. La sévérité de la sanction dépend de la nature et de l’étendue de la violation, afin d’équilibrer l’application de la loi avec l’objectif de promouvoir un traitement responsable et licite des données à caractère personnel.

Présentation de la PDPL

Mpo	Law No. 27 Year 2022, Personal Data Protection Law Régulation spécifique : Bancaire / Services financiers
Régulateur	Ministry of Communication and Informatics of the Republic of Indonesia
Champ d’application	Extraterritorial Toute entité traitant des données personnelles indonésiennes, qu’elle se trouve à l’intérieur ou à l’extérieur de l’Indonésie.
Définition de données personnelles	Personal data means any data related to identified or identifiable individuals, separately or in combination with other information, directly or indirectly, through an electronic or non-electronic system. Les données personnelles sensibles comprennent : 1. les données relatives à la santé et à l’information 2. les données biométriques 3. les données génétiques 4. les casiers judiciaires 5. les données relatives aux enfants 6. les données financières personnelles ; et/ou 7. d’autres données conformément aux dispositions législatives et réglementaires.
Parties prenantes au traitement des données	Contrôleur : toute personne ou société, institution publique et organisation internationale agissant individuellement ou conjointement qui détermine les finalités et contrôle les activités de traitement des données à caractère personnel. Sous-traitant : toute personne ou société, institution publique et organisation internationale agissant individuellement ou conjointement dans le traitement de données à caractère personnel pour le compte du contrôleur.
Principes compris dans le PIPL	1. Traitement licite, équitable et transparent 2. Limitation des finalités 3. Minimisation des données 4. Précision des donnéess 5. Intégrité, sécurité et confidentialité 6. Conservation légale 7. Garantie des droits des personnes concernées 8. Responsabilité
Droits des personnes	1. Droit d’obtenir des informations 2. Droit de compléter, de mettre à jour et/ou de rectifier des erreurs ou des inexactitudes 3. Droit d’accès aux données ou aux copies des données 4. Droit de mettre fin au traitement, à la suppression ou à l’élimination des données 5. Droit de retirer son consentement 6. Droit de s’opposer à la prise de décision automatisée 7. Droit de restreindre le traitement 8. Droit d’intenter une action en justice 9. Droit d’obtenir, d’utiliser ou de transférer ses données 10. Droit de déposer une plainte auprès de l’autorité ou des autorités compétentes en matière de protection des données
Sécurité	Le contrôleur et le sous-traitant sont tenus de protéger et d’assurer la sécurité des données à caractère personnel traitées. Pour ce faire, ils doivent a) en préparant et en mettant en œuvre des mesures techniques opérationnelles pour protéger les données à caractère personnel contre toute perturbation du traitement des données ; b) en déterminant le niveau de sécurité des données à caractère personnel en tenant compte de la nature et des risques des données à caractère personnel traitées ; et c) en utilisant un système de sécurité pour les données à caractère personnel traitées et/ou en traitant les données à caractère personnel à l’aide d’un système électronique d’une manière fiable, sûre et responsable.
Consentement	Les enfants : en vertu du PDP, le traitement des données personnelles des enfants nécessite le consentement de leurs parents ou de leur tuteur légal. Le PDPL renvoie à d’autres lois le soin de fixer l’âge du consentement. Selon la Law No. 23 of 2002 regarding Child Protection, as amended by Law No. 35 of 2014, un enfant est une personne qui n’a pas atteint l’âge de 18 ans.
Transfert de data transfrontalier	Le transfert transfrontalier de données peut être effectué si l’une des conditions suivantes est remplie : • le cédant doit s’assurer que le pays du destinataire dispose d’une norme de protection des données personnelles équivalente ou supérieure à la loi PDP ; • si la condition mentionnée à la lettre a n’est pas remplie, le cédant doit s’assurer de l’existence d’un instrument adéquat et contraignant (par exemple, une clause contractuelle type) ; ou • si les conditions mentionnées aux lettres a et b ne sont pas remplies, le cédant doit obtenir le consentement de la personne concernée.
Notification d’une violation	En cas de violation de données, le contrôleur est tenu de présenter une notification écrite aux personnes concernées et à l’autorité indonésienne de protection des données dans un délai de trois jours à compter de la violation. Dans certaines circonstances, la violation de données doit également être notifiée au public si elle perturbe les services publics et/ou a un impact important sur l’intérêt public. La notification doit contenir les éléments suivants • les données divulguées ; • le moment et la raison de la violation ; et • la mesure corrective prise par le responsable du traitement.
Sanctions / pénalités	(i) un avertissement écrit ; (ii) la suspension temporaire de l’activité de traitement des données ; (iii) l’effacement ou la destruction des données à caractère personnel ; et/ou (iv) une amende administrative d’un montant maximal de deux pour cent du revenu annuel ou de la recette annuelle de la variable d’infraction.

Réglementation des données – Chine

Posted on février 9, 2024février 12, 2024 by DS_Kenya

Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.

Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.

Brève présentation de la protection des données personnelles en Chine

La Personal Information Protection Law (« PIPL« ) de la République populaire de Chine (« RPC« ), entrée en vigueur le 1^er novembre 2021, est connue sous le nom de « RGPD Chinois » en raison de ses similitudes avec le Règlement Général sur la Protection des Données de l’UE (« RGPD« ).

Les entreprises à capitaux étrangers (« FIE« ) familières de l’approche européenne de la protection des données possèdent ainsi certains avantages dans leur mise en conformité avec le RGPD Chinois. Toutefois, bien que fortement influencée par le GDPR, la PIPL s’en démarque tout aussi fortement. Les FIE ne peuvent donc se limiter à dupliquer leur système de conformité RGPD mais doivent prendre en compte les particularités du PIPL.

Avant l’entrée en vigueur de la PIPL, les dispositions relatives à la protection des données étaient dispersées dans différentes lois et réglementations, notamment le PRC Civil Code, Criminal Law, Cybersecurity Law, the Law on the Protection of Minors and E-commerce Law. La protection des données est désormais régie principalement par la PIPL complétées par des règlements d’application, règles de mise en œuvre, normes nationales et lignes directrices recommandées par les autorités compétentes.

Le traitement des données dans certaines industries stratégiques reste soumis à des réglementations, normes et lignes directrices spécifiques à l’industrie pouvant imposer des obligations supplémentaires. Outre le respect des obligations prévues par la PIPL et la PRC Data Security Law pour le traitement des données, les responsables du traitement et les sous-traitants peuvent être confrontés à des exigences supplémentaires et plus strictes en matière de cybersécurité et de traitement des données. Par conséquent, les responsables du traitement des données et les sous-traitants doivent adapter les projets de mise en conformité du traitement des données à leurs objectifs et caractéristiques organisationnelles.

Les responsables du traitement des données ne doivent toutefois pas ignorer l’importance des lois sur la cybersécurité en Chine, en particulier la PRC Cybersecurity Law, qui est étroitement liée à la PIPL. En particulier, certains cas d’infraction concernent des violations de la protection des données à caractère personnel où la mise en conformité aurait dû s’appuyer sur les obligations en matière de cybersécurité. La conformité des données ne peut être complète ou efficace sans la conformité aux règles de cybersécurité.

Compte tenu de l’évolution juridique en Chine, il est conseillé aux responsables du traitement des données et aux sous-traitants relevant du champ d’application de la PIPL d’adopter une approche globale lors de la création et de la mise en œuvre des projets de mise en conformité. En outre, il est essentiel de se tenir au courant des évolutions juridiques et d’adapter sa mise en conformité. En particulier, les FIE doivent trouver un équilibre entre les exigences de conformité imposées par leurs sociétés mères dans d’autres pays et les objectifs de conformité fixés pour leurs filiales/FIE en Chine.

Dernières mises à jour sur la protection des données en Chine

Suite à la mise en œuvre de la PIPL, plusieurs normes, réglementations et lignes directrices ont été publiées ou mises à jour. Ces instruments juridiques fournissent des instructions spécifiques sur des aspects clés de la protection des données, notamment la gestion du consentement, le transfert transfrontalier de données (« CBDT« ), la reconnaissance faciale et l’audit des données personnelles.

Gestion du consentement

L’obtention du consentement est l’une des obligations prévues par la PIPL pour le traitement des données à caractère personnel. Pour certains traitements importants de données à caractère personnel, il est également nécessaire d’obtenir le consentement distinct des personnes concernées. Néanmoins, les lois et règlements chinois n’expliquent pas explicitement comment recueillir et conserver ce consentement, mais une recommandation nationale énonce les principes généraux concernant le consentement.

L’Information Security Technology—Implementation Guidelines for Notices and Consent in Personal Information Processing (Reference No. GB/T 42574-2023) traite des points suivants :

information des personnes concernées (forme et contenu de l’avis) ;
exigences relatives à l’obtention du consentement (y compris le consentement séparé) et dérogations ;
refus et retrait du consentement ; et,
conservation du consentement en tant que preuve.

CBDT

Le régime chinois des CBDT est principalement basé sur deux règlements qui précisent les scénarios et les exigences dans lesquels les évaluations de sécurité et les contrats types chinois servent d’outils de conformité au CBDT :

Measures for the Security Assessment of Outbound Data Transfers (publié le 7 juillet 2022 et applicable depuis le 1^er septembre 2022);
Measures for the Standard Contract for Outbound Cross-Border Transfer of Personal Information(publié le 22 février 2022 et applicable depuis le 1^er juin 2023).

Le premier règlement s’applique à tout transfert transfrontalier de données tandis que le second ne supervise que les transfert transfrontalier de données personnelles. Un projet de règlement, le Draft Provisions on Regulating and Facilitating Cross-border Data Flow (« DPRF CBDF« ), publié le 28 septembre 2023, prévoit des exemptions aux deux règlements susmentionnés qui, s’il est adopté, facilitera le CBDT et, notamment, réduira le fardeau de la conformité pour les exportateurs de données.

Une société ne peut toutefois s’exonérer de l’ensemble de ses obligations en application de ses dérogations. Ces exceptions ne concernent que la mise en conformité avec les règles applicables en matière de CBDT, phase intervenant en aval de la mise en conformité avec le PIPL, laquelle nécessite de réaliser la cartographie des données et les mesures correctives pour assurer un traitement licite des données à caractère personnel.

Les responsables du traitement disposent d’un autre outil de conformité du CBDT, la certification de protection des données personnelles. En raison de sa complexité et de son coût, cette option n’est actuellement pas largement adoptée par les responsables du traitement.

Reconnaissance faciale

Les informations obtenues par reconnaissance faciale sont définies comme des données biométriques/données personnelles sensibles conformément à la PIPL. Les personnes chargées du traitement des données doivent donc se conformer à des règles plus rigoureuses à leur sujet. Avant la PIPL, une interprétation judiciaire intitulée Provisions of the Supreme People’s Court on Several Issues concerning the Application of Law in the Trial of Civil Cases involving the Processing of Personal Information Using Facial Recognition Technology, publiée le 1^er août 2021, donnait des exemples de litiges civils courants liés à la reconnaissance faciale, ainsi que des critères sur la manière dont les tribunaux les résoudront.

Un projet de règlement sur la reconnaissance faciale, the Provisions on Security Management of the Application of Face Recognition Technology (for Trial Implementation), a été publié en août 2023 pour examen public. Le projet de document réglemente l’application de la reconnaissance faciale et définit les principales obligations des responsables du traitement des données. En particulier, il mentionne que la reconnaissance faciale utilisée dans les lieux publics et le traitement des données personnelles de plus de 10 000 personnes doivent être déclarés auprès de l’autorité compétente locale. Outre les obligations de conformité de base concernant les données, les fournisseurs de services de reconnaissance faciale ciblant le public sont soumis à des exigences plus strictes en ce qui concerne le système de protection à plusieurs niveaux (« MLPS« ) prévu par la PRC Cybersecyrity Law.

Audit des données personnelles

La PIPL impose à tous les responsables du traitement des données de procéder à un audit des données à caractère personnel, soit volontairement, soit sur ordre des autorités compétentes, sans toutefois préciser les procédures, la fréquence ou les routines d’audit. En août 2023, un projet de règlement, The Administrative Measures for Personal Information Protection Compliance Auditing, a été publié pour commentaires publics et fournit des conseils sur les audits de données personnelles.

La réalisation d’un audit de protection des données personnelles est une tâche essentielle pour les responsables du traitement des données dans les phases initiales de leur mise en conformité. Cela permet aux responsables du traitement d’évaluer toutes les lacunes relatives aux exigences de conformité.

S’ils disposent de ressources suffisantes, les responsables du traitement peuvent procéder eux-mêmes à l’audit des données à caractère personnel. Cet audit devrait avoir lieu au moins une fois tous les deux ans, ou une fois par an si des données personnelles concernant plus d’un million de personnes sont traitées.

La violation des données ou tout autre incident lié aux données peuvent également déclencher un audit, auquel cas il convient de faire appel à un prestataire de services d’audit qualifié et enregistré auprès des autorités compétentes. Les responsables du traitement devront mettre en œuvre des mesures correctives sur la base des conclusions du premier rapport d’audit. Un deuxième audit sera effectué pour déterminer si la situation s’est améliorée et si l’objectif de conformité a été atteint. Le rapport final sera soumis à l’autorité compétente.

En outre, le projet de règlement décrit également les obligations des prestataires de services d’audit et les sanctions en cas de non-conformité.

Résumé du PIPL

Loi	Personal Information Protection Law (“PIPL”)
Date d’entrée en vigueur	1^er novembre 2021
Définition de données personnelles/informations personnelles (“PI »)	Les informations personnelles désignent tout type d’informations relatives à une personne physique identifiée ou identifiable, enregistrées électroniquement ou d’une autre manière, à l’exclusion des informations rendues anonymes (Article 4, PIPL). Les informations personnelles sont les informations enregistrées électroniquement ou d’une autre manière qui peuvent être utilisées, seules ou en combinaison avec d’autres informations, pour identifier une personne physique, y compris le nom, la date de naissance, le numéro d’identification, les informations biométriques, l’adresse résidentielle, le numéro de téléphone, l’adresse électronique, les informations sur la santé, les allées et venues, etc. de la personne (Article 1034, PRC Civil Code).
Données et informations personnelles des mineurs	Toute information personnelle concernant des mineurs de moins de 14 ans est considérée comme une information personnelle sensible. Le traitement des informations/données personnelles des mineurs doit également respecter d’autres lois et règlements applicables, y compris, mais sans s’y limiter, les suivants the Law of the People’s Republic of China on the Protection of Minors, Regulations on the Protection of Minors Online, et les Provisions on the Protection of Minors at School, etc.
Personnes assujetties à la réglementation	Data Processor (terme utilisé dans la PIPL pour désigner le responsable du traitement des données, afin d’éviter tout malentendu ; ci-après dénommé “data controller”/ “controller”) Entrusted Processor (terme utilisé dans la PIPL pour désigner le responsable du traitement des données ; pour éviter tout malentendu, il est ci-après dénommé “data processor”/ “processor”)
Champ d’application	Territorial : Les activités de traitement des PI localisées en Chine. Principe de ciblage : Les activités de traitement des données personnelles se déroulent en dehors de la Chine mais visent des personnes physiques en Chine : pour la fourniture de produits et/ou de services ; ou, pour analyser leur comportement.
Traitement	L’ensemble du cycle de vie des données/informations à caractère personnel, y compris, mais sans s’y limiter, « la collecte, le stockage, l’utilisation, le traitement, la transmission, la mise à disposition, la divulgation et la suppression (article 4 of PIPL, a non-exhaustive list)”.
Sécurité	Les organisations doivent mettre en place des mesures de sécurité raisonnables et appropriées pour protéger les données personnelles et empêcher leur accès, collecte, utilisation, divulgation, copie, modification, élimination ou tout autre risque similaire et comportement non autorisé.
Principes généraux	1. Légalité, légitimité, nécessité et bonne foi ; 2. Le but légitime ; 3. La minimisation des données ; 4. Ouverture et transparence ; 5. Exactitude et exhaustivité ; 6. Sécurité.
Base légale du traitement	Le PIPL exige que les contrôleurs remplissent au moins l’une des conditions suivantes pour le traitement des données personnelles : 1. Consentement éclairé ; 2. Gestion des contrats et de la main-d’œuvre ; 3. L’obligation légale ; 4. Urgence (santé publique/intérêt vital des individus) ; 5. Reportage d’actualité, ou 6. à des fins d’intérêt public ; 7. PI divulguée au public ; et, 8. toute autre base juridique spécifiée par d’autres lois et règlements. La PIPL précise que le traitement des informations personnelles divulguées légalement au public ne nécessite pas le consentement de la personne concernée, mais que celle-ci a le droit de refuser un tel traitement. Dans ce cas, le traitement doit être interrompu.
Droits de la personne concernée	1. Droit à l’information ; 2. Droit d’accès ; 3. Droit de rectification ; 4. Droit à l’effacement/à l’oubli ; 5. Droit à la limitation du traitement ; 6. Droit à la portabilité des données ; 7. Droit d’opposition ; 8. Droit de ne pas faire l’objet d’une prise de décision automatisée. 9. Droit de faire des copies (associé au droit d’accès) ; 10. Droit de décider des activités de traitement (associé au droit de restriction et au droit de refus).
Mesures de protection	La PIPL exige que seuls les responsables du traitement tiennent un registre des activités importantes de traitement des données (les scénarios énumérés dans l’analyse d’impact ci-dessous). La plupart des obligations obligatoires en matière de protection des données à caractère personnel et des personnes concernées sont assumées et dirigées par les responsables du traitement, qui doivent prendre les mesures techniques et organisationnelles appropriées pour garantir le traitement licite des données à caractère personnel. Les sous-traitants doivent être responsables de la sécurité des données, traiter les données comme convenu dans les accords contractuels et aider les responsables du traitement lorsque ces derniers remplissent leurs obligations obligatoires dans le cadre des activités de traitement des données à caractère personnel.
Etude d’impact	L’évaluation de l’impact de la protection des informations personnelles (« PIPIA« ) est requise dans les cas suivants : 1. Transfert transfrontalier 2. Traitement d’informations personnelles sensibles 3. Traiter des informations à caractère personnel pour la prise de décision 4. Fournir des informations personnelles à des tiers 5. Publier des informations personnelles 6. Tout autre scénario dans lequel les droits et les intérêts des personnes concernées seront fortement affectés. Le rapport PIPIA doit être conservé pendant au moins trois ans. En ce qui concerne les approches, elles sont fournies dans les normes nationales chinoises pertinentes. En outre, le rapport PIPIA pour les transferts transfrontaliers doit suivre un modèle officiel et être soumis à l’autorité compétente pour archivage.
Transfert transfrontalier de données à caractère personnel	Informer les personnes concernées et obtenir un consentement distinct, le cas échéant, et en choisir un pour légitimer le transfert : 1. Évaluation de la sécurité organisée par l’autorité compétente (dans certains scénarios, cette évaluation est obligatoire et non facultative pour les exportateurs de données) ; 2. Obtention d’une certification de protection des informations personnelles délivrée par des prestataires de services agréés ; 3. Conclusion d’un contrat type entre l’exportateur et l’importateur de données.
Notification de violation	La violation doit être rapportée immédiatement/dans les 24 heures aux autorités compétente(s). Selon un projet de règlement publié le 8 décembre 2023, l’Administrative Measures for the Reporting of Cybersecurity Incidents, tout incident cybernétique grave doit être signalé dans l’heure à l’autorité compétente, et tous les détails essentiels doivent être communiqués dans les 24 heures ; le rapport d’élimination de l’incident cybernétique doit également être soumis dans les 5 jours ouvrables suivant sa résolution.
Recours	Les personnes concernées peuvent intenter une action en justice contre la partie en infraction, et les organisations qualifiées peuvent également intenter une action en justice au civil pour des raisons d’intérêt public.

Détails des sanctions administratives en cas de violation de la PIPL

Infractions mineures	· Ordre de rectification Avertissement Confiscation des gains illégaux (le cas échéant) (pour les applications logicielles) ordre de suspension ou de cessation du service.
Dans le cas où la personne en infraction refuse de rectifier ses violations	En plus de ce qui précède, Amende pécuniaire (inférieure à 1 million de RMB) pour le contrevenant ;Amende pécuniaire (de 10 000 à 100 000 RMB) pour la personne directement responsable de l’auteur de l’infraction.
Infractions graves	Ordre de rectification par l’autorité compétente au niveau provincial ;Confiscation des gains illégaux (le cas échéant) ;Amende pécuniaire d’un montant maximum de 50 millions RMB ou de 5 % du chiffre d’affaires de l’année précédente ;Suspension ou cessation d’activité, et annulation des agréments ou de la licence d’exploitation ;Amende pécuniaire de 100 000 RMB minimum à 1 million RMB maximum pour la personne directement responsable ; et,La personne directement responsable du contrevenant peut se voir interdire, pendant une certaine période, d’exercer les fonctions de directeur, de superviseur, de cadre supérieur ou de responsable de la protection des PI dans une entreprise concernée.

Réglementation des données – Singapour

Posted on février 8, 2024février 13, 2024 by DS_Kenya

Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes. Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (« RGPD« ), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.

Vous trouverez ci-dessous un aperçu des approches nationales de la Chine, de l’Inde, de l’Indonésie, de Singapour et du Viêt Nam en matière de protection de la vie privée, préparé par notre Asia data privacy taskforce.

Notre Asia data privacy taskforce. Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.

La loi dite Personal Data Protection Act, 2012 (« PDPA »), socle de la réglementation sur la protection des données personnelles à Singapour, est entrée en vigueur le 2 juillet 2014. L’objectif principal du PDPA est de protéger les droits à la vie privée des individus et de réglementer la collecte et le traitement des données personnelles par les organisations privées.

Le RGPD et le PDPA

Le RGPD est fondé sur la protection des droits fondamentaux des individus, en particulier le droit à la vie privée, et met l’accent sur la protection des données en tant que droit fondamental de l’individu, plaçant ainsi la sauvegarde de la vie privée au cœur de ses préoccupations et reconnaissant l’importance de préserver la confidentialité des données personnelles. Le PDPA recherche quant à lui un équilibre entre la protection des données personnelles et la facilitation des affaires, reconnaissant l’importance de l’innovation et du développement économique tout en sauvegardant la protection de la vie privée.

Les deux lois ont toutefois une approche globale et un champ d’application personnel et extraterritorial similaires. Elles créent toutes deux une autorité de contrôle dotée de pouvoirs d’enquête et de sanction étendus et de la possibilité de condamner les acteurs à des amendes importantes en cas de non-respect. Toutefois, la conformité au PDPA ne signifie pas nécessairement la conformité avec le RGPD par les entreprises, les exigences différant selon le régime applicable, comme illustré par l’infographie ci-dessous élaborée par la Personal Data Protection Commission de Singapour (PDPC) détaillant les exceptions relatives au consentement prévues par le PDPA et le RGPD pour le traitement des données personnelles.

D’autres différences entre les deux réglementations peuvent également être relevées :

Alors que le PDPA exclut les agences publiques et les organisations agissant en leur nom, le RGPD s’applique tant aux organismes privés que publics.
Le PDPA accorde une protection plus restreinte aux individus que le RGPD.
Alors que le RGPD s’applique à toutes les entreprises traitant les données personnelles des citoyens de l’UE, quel que soit leur lieu d’implantation, le PDPA s’applique à toute organisation, à l’exclusion des organismes publics, qui traite des données personnelles à Singapour.

Bien que les deux législations accordent aux personnes le droit d’être informées des conditions dans lesquelles leurs données sont collectées et utilisées, le droit de s’opposer à la collecte de leurs données, le droit d’accéder aux données qui ont été collectées et de les modifier, le RGPD va plus loin en permettant notamment aux personnes d’obtenir la suppression de leurs données personnelles ayant été collectées. Le PDPA reste muet sur ce point, les entreprises ayant collecté des données n’étant pas tenues de les supprimer en cas de demande.

Présentation du PDPA

Réglementation	Protection Data Personal Act, 2012 (No.26 of 2012) (PDPA) Lignes directrices spécifiques pour certains secteurs : télécommunications / agences immobilières / éducation / santé / services sociaux / transport / société de gestion Réglementations spécifiques pour certains secteurs : bancaires / santé / assurance-vie
Régulateur	Personal Data Protection Commission (PDPC)
Champ d’application	Application à toutes les organisations (y compris toute personne physique, société, association ou groupe de personnes, avec ou sans personnalité morale, qu’elles soient ou non constituées ou reconnues en vertu des lois de Singapour) qui exercent des activités impliquant des données personnelles à Singapour, à moins qu’elles ne soient expressément exclues de l’application du PDPA. Sont exclues : • Les personnes agissant à titre personnel ; • Les employés agissant dans le cadre de leur emploi au sein d’une organisation ; • Les agences publiques ; et • Les organisations agissant au nom d’une agence publique.
Définition de donnée personnelle	“personal data” means data, whether true or not, about an individual who can be identified — (a) from that data; or (b) from that data and other information to which the organisation has or is likely to have access;” Le PDPA ne définit pas de catégories spéciales de données. La PDPC a utilisé dans plusieurs décisions le concept de données ayant un caractère plus sensible, notamment relatives aux données médicales, financières, à la situation de faillite des personnes, aux problèmes de drogue et d’infidélité.
Obligations aux termes du PDPA	Principes relatifs à la protection des données personnelles : • Obligations en matière de consentement (articles 13 à 17) • Obligation de limitation de la finalité (article 18) • Obligations de notification (article 20) • Obligations d’accès et de rectification (articles 21, 22 et 22A) • Obligation d’exactitude (article 23) • Obligation de protection (article 24) • Obligation de limitation de la conservation des données (article 25) • Obligation de limitation du transfert (article 26) • Obligation de notification des violations de données (articles 26A à 26E) • Obligation de rendre compte (articles 11 et 12)
Parties impliquées	Data controller: le PDPA n’utilise pas le terme de « data controller« . Il utilise plutôt le terme plus général d' »organisation » pour désigner les entités qui sont tenues de se conformer aux obligations prévues par le PDPA. Le terme « organisation » couvre largement les personnes physiques, les personnes morales (telles que les sociétés) et les personnes non constituées en société (telles que les associations), qu’elles soient formées ou reconnues en vertu du droit singapourien, qu’elles résident ou qu’elles aient un bureau ou un lieu d’activité à Singapour. Data processor: Le terme « data processor » n’est pas utilisé dans le PDPA, mais un terme équivalent est utilisé, celui de « data intermediary« . Un « data intermediary » est défini comme une organisation qui traite des données personnelles pour le compte d’une autre organisation, à l’exclusion des employés de cette dernière. Pour plus d’informations sur les obligations des intermédiaires de données, voir également la section sur le champ d’application personnel ci-dessus.
Droits des personnes concernées	Permettre aux personnes d’accéder à leurs données personnelles et de corriger les erreurs qui s’y trouvent
Sécurité	Les organisation doivent mettre en place des mesures de sécurité raisonnables et appropriées pour protéger les données personnelles et empêcher leur accès, collecte, utilisation, divulgation, copie, modification, élimination ou tout autre risque similaire et comportement non autorisé.
Consentement	Les organisations sont tenues d’obtenir le consentement des personnes avant de collecter, utiliser ou divulguer leurs données personnelles, à moins que cette collecte, cette utilisation ou cette divulgation ne soit requise ou autorisée en vertu du PDPA ou de toute autre réglementation. Le consentement n’est pas requis pour la collecte, l’utilisation et la divulgation de données personnelles lorsque les exceptions des Annexes 1 et 2 du PDPA s’appliquent, par exemple lorsque la collecte, l’utilisation ou la divulgation de données personnelles d’une personne est : • Nécessaire à toute fin clairement identifiée comme étant dans l’intérêt de l’individu, et dont I. Le consentement pour la collecte, l’utilisation ou la divulgation ne peut pas être obtenu en temps opportun ; ou II. n ne peut pas raisonnablement s’attendre à ce que l’individu refuse son consentement. • Accessible au public ; • Dans l’intérêt public ; • Dans l’intérêt légitime de l’organisation ou d’une autre personne, et que l’intérêt légitime de l’organisation ou de l’autre personne l’emporte sur tout effet négatif pour la personne. Une organisation est en outre tenue d’indiquer les finalités pour lesquelles elle collecte, utilise ou divulgue les données dans le cadre de l’obligation de notification. Le consentement peut par ailleurs être présumé : sont considérées comme ayant consenti à la collecte de leurs données les personnes qui produisent volontairement leurs données personnelles à une fin donnée et raisonnable. Le PDPA prévoit trois formes différentes de consentement présumé : • Du fait du comportement de la personne ; • Du fait de l’existence d’un accord entre les parties ; • Après notification. Lorsqu’il est nécessaire, le consentement peut être recueilli par écrit ou voie électronique. Une personne peut à tout moment retirer son consentement en donnant un préavis raisonnable à l’organisation.
Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger	L’organisation peut transférer des données dans un autre pays si : • Elle se conforme au PDPA tant que les données transférées restent en sa possession ; • Le destinataire est lié par des obligations juridiques d’assurer une protection comparable à celle prévue par le PDPA
Violations	Guide 2.0 du PDPC sur la gestion des violations de données : Il est conseillé aux organisations de notifier la PDPC et/ou les personnes concernées des violations de données qui sont d’une ampleur significative ou qui sont plus susceptibles d’entraîner un préjudice ou un impact significatif pour les personnes auxquelles se rapportent les informations.
Sanctions	Amendes n’excédant pas 1.000.000 S$ (685.000€) ou 10 % du chiffre d’affaires annuel s’il est supérieur à 10.000.000 S$ (6.850.000€).

Décision d’adéquation du Data Privacy Framework américain : la prudence est de mise

Posted on juillet 19, 2023septembre 21, 2023 by DS_Alice

Le 10 juillet 2023, la Commission européenne a finalement rendu une décision très attendue relative aux évolutions de la législation américaine de protection des données à caractère personnel. Pour mémoire, suite à l’invalidation d’une précédente décision d’adéquation relative au « Privacy Shield » par la CJUE le 16 juillet 2020, les transferts de données vers les USA (et donc vers ou par la plupart des prestataires du numérique) posaient d’intenses difficultés dans la mise en conformité de ces transferts aux exigences de la législation européenne.

La décision d’adéquation de la Commission Européenne n’est, en soi, pas une surprise : elle était attendue suite aux modifications dont les USA avaient décidé dans le cadre d’un Executive Order signé par le président nord-américain le 7 octobre dernier. Beaucoup d’entreprises européennes, découragées par la nécessité pour elles de procéder à une analyse du droit américain (dont les conclusions étaient, qui plus est, assez prévisibles du fait de la décision de la CJUE en 2020), attendaient impatiemment que la législation américaine rénovée soit reconnue comme adéquate.

On rappelle que cet Executive Order impose de nouvelles règles aux autorités américaines œuvrant au renseignement, et précise, entre autres exigences, que :

Les activités des agences de renseignement américain ne doivent agir qu’en vertu de leurs prérogatives statutaires ou d’un Executive Order ou autre directive présidentielle, conforme à la Constitution américaine ; bref, l’interception de données personnelles d’européens doit reposer sur une décision légale au regard du droit américain ;
Ces activités doivent être soumises à des « garanties appropriées » permettant d’assurer le respect de la vie privée et des libertés civiles des individus, après avoir déterminé, « sur la base d’une évaluation raisonnable de tous les facteurs pertinents », qu’elles répondent à une « cause probable » et un impératif validé en matière de renseignement ;
Ces activités ne sont menées que « dans la mesure et d’une manière proportionnées à la priorité validée en matière de renseignement pour laquelle elles ont été autorisées », dans le but d’assurer un juste équilibre entre l’objectif de l’investigation et l’impact sur la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur lieu de résidence ;
Les objectifs des activités de renseignement doivent être légitimes (l’Executive Order énumère une longue liste des objectifs que les USA considèrent comme légitimes pour se protéger notamment contre le risque terroriste ou le risque climatique, l’espionnage, les armes de destruction massive, etc.) ;
Les objectifs des activités de renseignement ne doivent pas être interdits (l’Executive Order énumère une liste d’objectifs prohibés tels que les atteintes à la liberté d’expression ou la liberté de la presse, la discrimination fondée sur l’origine ethnique, la religion ou l’identité sexuelle, la protection de la vie privée, mais aussi la collecte d’informations commerciales privées étrangères ou de secrets commerciaux dans le but de conférer un avantage concurrentiel aux entreprises américaines…) ;
Les priorités du renseignement américain doivent être soumises à une évaluation par le bureau du directeur du renseignement national qui doit vérifier si l’investigation respecte la vie privée et les libertés civiles des personnes, quels que soient leur nationalité ou leur lieu de résidence – donc le respect des droits des européens sur leurs données personnelles au sens du RGPD. Peut-on considérer qu’un directeur du renseignement est le mieux placé pour contrôler le respect des droits et libertés des individus ? L’approche est assez originale… ;
Un organisme distinct pourra recevoir et instruire les éventuelles plaintes des citoyens européens qui estimeraient que leur vie privée ou leurs droits fondamentaux sont bafoués par une activité de renseignement américaine – à supposer qu’ils en aient connaissance : « l’Officier de Protection des Libertés Civiles » (CLPO) ;
Les décisions de cet organisme seront en outre susceptibles d’appel devant une nouvelle juridiction spécialisée, la « Data Protection Review Court » (DPRC), dont les membres devront être titulaires de compétences spécifiques en matière de protection des droits fondamentaux des individus et qui ne seront pas désignés par le gouvernement américain afin d’assurer leur indépendance, ni soumis aux directives dudit gouvernement. Cette cour recevra les plaintes des personnes concernées, et aura des capacités d’enquête et de vérification des activités du renseignement américain ainsi que des pouvoirs de sanction, pouvant aller jusqu’à faire supprimer les données collectées illégalement par le renseignement.

En février 2023, cet Executive Order et les nouvelles mesures déployées par les USA avaient cependant reçu un accueil mitigé de la part du Comité Européen de Protection des Données (CEPD) qui réunit les CNIL européennes. Le CEPD saluait de véritables progrès par rapport au précédent Privacy Shield, mais émettait cependant des réserves. La Commission Européenne est passée outre et a considéré que la nouvelle réglementation américaine répondait aux exigences européennes.

La première conséquence de cette décision d’adéquation est que la législation américaine est désormais reconnue, par la Commission Européenne, comme d’un niveau équivalent aux exigences du RGPD en Europe, en vertu de l’article 45 du RGPD qui dispose que :

Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

Cela ne signifie pas pour autant que tout transfert de données vers les USA, quelle qu’en soit la forme et le destinataire, est de nouveau licite sans qu’il soit besoin d’encadrer ce transfert par des garanties supplémentaires telles qu’exigées par les articles 46 et suivants du RGPD.

Cela signifie seulement qu’en théorie, il n’est plus besoin de recourir aux clauses contractuelles types dans les contrats liant les entités européennes et celles des entités américaines (notamment les sous-traitants américains) qui auront mis en œuvre les démarches nécessaires pour assurer leur conformité au « Data Privacy Framework » américain.

Parmi ces démarches figurent l’obligation de s’assurer que les données ne sont utilisées que pour les finalités déterminées et dûment portées à la connaissance des personnes concernées, et que ces données sont supprimées dès ces finalités accomplies. Classiquement, les entreprises américaines sont également tenues de déployer toutes mesures techniques et organisationnelles de nature à garantir la confidentialité des données.

La décision d’adéquation de la Commission européenne a notamment procédé à un travail d’alignement des concepts et principes européens avec ceux utilisés dans la nouvelle réglementation américaine, pour vérifier comment les exigences de spécificité, de transparence, de minimisation, d’accountability, etc. sont bel et bien reprises au sein du « Data Privacy Framework ».

La CNIL française a expressément conclu que :

« La Commission européenne constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’UE, les organismes soumis au RGPD (qu’ils soient responsables de traitement ou sous-traitants) peuvent désormais transférer des données personnelles vers les organismes certifiés qui se sont engagés annuellement et publiquement, à adhérer à ce cadre légal. Ils n’ont pas l’obligation de mettre en place un outil de transfert au titre de l’article 46 du RPGD ou de se prévaloir d’une dérogation au titre de l’article 49 du RGPD. »

La liste des entreprises américaines qui seront considérées comme conformes aux exigences du Data Privacy Framework est publiée par le Département américain du Commerce. Lorsque l’entreprise américaine considérée figurera sur cette liste, il ne sera donc plus nécessaire de négocier avec elle des clauses contractuelles types, non plus que les « mesures additionnelles » complexes recommandées précédemment par le CEPD.

Il est à noter que cette décision d’adéquation n’est pas rétroactive : elle ne permet les transferts vers les prestataires américains sans autre précaution que pour l’avenir, et pour les seuls prestataires qui seront inscrits sur cette liste.

Si une entreprise américaine ne figure pas sur la liste, les obligations des articles 46 et suivants du RGPD s’appliquent, et il est alors nécessaire de conclure avec cette entité des clauses contractuelles types (version 2021) ou d’identifier un autre mécanisme acceptable de protection des données (tel que les « binding corporate rules » si l’entité américaine en a déployé).

La Commission européenne devra réévaluer régulièrement si la réglementation américaine (et sa pratique) demeurent conformes aux exigences européennes, le premier réexamen étant prévu dans un an.

Il est également à noter que cette décision d’adéquation apporte une solution partielle aux problèmes rencontrés par les transferts de données personnelles vers des destinataires américains uniquement ; elle laisse intacte la problématique concernant des destinataires situés dans d’autres pays extra-européens, tels que les prestataires basés en Chine ou dans de nombreux pays étrangers où se pratiquent des activités de offshoring.

Est-ce que cette décision d’adéquation apporte réellement une conclusion aux difficultés récurrentes rencontrées pour aligner les législations américaine et européenne ? Rien n’est moins certain.

En effet, les deux précédentes réglementations américaines, le Safe Harbor, puis le Privacy Shield, avaient en leur temps bénéficié également d’une décision d’adéquation de la Commission Européenne, ce qui n’avait pas empêché leurs invalidations successives.

L’association NOYB, à l’origine de l’invalidation du Privacy Shield, a d’ores et déjà annoncé qu’elle introduirait un recours contre cette décision d’adéquation. L’association considère en effet que l’affirmation selon laquelle les investigations du renseignement américain seront désormais « nécessaires » et « proportionnées » est une pétition de principe qui ne sera pas respectée dans les faits. En outre, l’association estime que la « Data Protection Review Court » mise en place n’est pas un véritable recours « juridictionnel » au sens exigé par les garanties essentielles européennes, à l’instar du précédent médiateur qui existait dans le Privacy Shield. Tout dépendra de ce que la CJUE pensera de ce nouvel organe américain, et de l’effectivité des recours possibles pour les citoyens européens, mais les mêmes causes menant généralement aux mêmes conséquences, il n’est pas certain que la décision d’adéquation de la Commission Européenne résiste dans la durée. Une nouvelle invalidation prononcée par la CJUE, dont on ne peut pas écarter qu’elle puisse advenir, créerait une nouvelle période d’incertitude dans 2ou 3 ans.

Dans ce contexte, il est vivement recommandé aux entreprises européennes de maintenir un niveau d’exigence poussé dans la protection de leurs données personnelles par leurs cocontractants américains, même si ce niveau d’exigence pourra paraître superflu, voire être refusé par les entreprises américaines qui auront obtenu leur inscription sur la liste du Département fédéral du Commerce.

En particulier, dans la mesure où le chiffrement des données de bout en bout est l’une des rares mesures « additionnelles » qui a été reconnue comme « efficace » par les CNIL européennes, il est vivement conseillé de maintenir ce type d’exigence chaque fois que nécessaire.

Et comme le sort du nouveau « Data Privacy Framework » est incertain, il est également recommandé de compléter les contrats conclus avec les entités américaines par les clauses contractuelles types européennes, quand bien même elles ne seront plus formellement nécessaires avec les entreprises américaines figurant sur cette liste.

Bien que de nombreuses entités, des deux côtés de l’Atlantique, puissent se sentir soulagées de cette décision d’adéquation qui les dispense, pour l’heure, des nombreuses complications liées aux divergences entre les réglementations respectives de l’Union européenne et des USA, il ne peut être raisonnablement considéré que ces difficultés sont désormais du passé. Les entreprises françaises et européennes sont donc invitées à la plus grande circonspection, et au maintien d’exigences techniques poussées afin de sécuriser leurs traitements de données personnelles dans la durée, contre les probables vicissitudes à venir dans un contexte juridique très mouvant.

Véhicules connectes et règlementations européennes de protection des données

Posted on mars 23, 2023mars 24, 2023 by DS_Kenya

Dans le cadre de sa démarche d’accompagnement sectoriel, la CNIL a récemment lancé un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité.

Le fort développement des véhicules intelligents entraîne en effet de nombreuses implications juridiques, car ces véhicules et les services connectés qui les accompagnent impliquent de nombreuses collectes de données (via des capteurs, GPS, radars, gyromètres, caméras et applications) et leur traitement par différents acteurs du marché (constructeurs, éditeurs de logiciels, distributeurs, mainteneurs, assureurs…).

Comme le rappelle la CNIL, ces données peuvent être utiles en termes d’innovation, de maintenance et de sécurité, mais révèlent également des aspects liés à la vie privée de leurs conducteurs ou passagers (localisation, déplacements, comportement).

Le véhicule connecté est au confluent de nombreuses réglementations (loi d’orientation des mobilités 2019-1428 du 26 décembre 2019, loi climat et résilience 2021-1104 du 22 août 2021, futur Data Act sur les données générées) mais doivent évidemment respecter le RGPD.

Autant dire que les fabricants et exploitants de véhicules connectés sont confrontés à une forêt réglementaire, que la CNIL souhaite les aider à défricher.

Ce « club conformité » est un espace de dialogue avec les professionnels, qui s’inscrit dans la foulée du « pack conformité » publié par la CNIL en 2017 et des Lignes Directrices 01/2020 du Comité Européen de Protection des Données du 9 mars 2021 sur les traitements de données dans le contexte des véhicules connectés.

Le « pack conformité » de la CNIL est un référentiel sectoriel basé sur trois scénarios de traitements de données, selon que les données

(i) restent stockées dans le véhicule sans retransmission (ex : conseils d’éco-conduite affichés au conducteur),

(ii) sont transmises hors du véhicule pour fournir des services complémentaires (ex : assurance facturée au kilomètre, études d’accidentologie, exploitation commerciale des données, ecall en cas d’urgence), ou

(iii) sont transmises hors du véhicule pour déclencher en retour des actions automatiques dudit véhicule (ex : aide à la navigation par géolocalisation, calcul d’un nouvel itinéraire en cas d’obstacle sur le parcours, assistance à la conduite, maintenance à distance, sécurité routière).

Dans chacun des scénarios, la CNIL rappelait que toute donnée liée à la personne via notamment l’immatriculation ou le numéro de série sont soumises au RGPD, et présente les exigences associées notamment en termes :

de finalités (le traitement est-il lié au démarrage du véhicule par reconnaissance biométrique ? A la sécurité des personnes, à la fluidification du trafic, à l’amélioration de l’expérience de conduite, à l’assistance automatisée, ou encore à l’optimisation de la police d’assurance ?),
de base légale (le traitement est-il soumis au consentement de la personne ou dépend-il de l’intérêt légitime du responsable de traitement ?),
d’identification des destinataires des données (il n’y en a pas dans le scénario 1, mais quels sont-ils dans les scénarios 2 et 3 : le seul fournisseur de services ou ses partenaires commerciaux, notamment pour optimiser le véhicule, pour des travaux d’accidentologie, pour proposer des services connexes, pour lutter contre le vol de voitures…),
de durées de conservation (selon les finalités mais toujours en respectant l’exigence de minimisation),
d’information circonstanciée des personnes (notamment en cas de profilage du comportement routier), ou encore
d’exercice de leurs droits sur leurs données personnelles (dont la portabilité des données fournies par la personne ou des données directement issues de son comportement, sans retraitement de déduction tel qu’un score d’éco-conduite).

Le pack conformité aidait à définir qui est le responsable de traitement (ex : le fournisseur de services qui traite les données issues du véhicule pour adresser au conducteur des messages d’info-trafic, d’éco-conduite ou des alertes sur le fonctionnement du véhicule).

Par opposition, les sous-traitants amenés à traiter les données ne pourront le faire que dans le respect des instructions du responsable de traitement et pour son compte.

Le pack conformité posait également l’exigence d’« autodétermination informationnelle », la personne concernée devant maîtriser les paramétrages par défaut de protection de ses données (par activation ou désactivation des traitements fondés sur son consentement tels que la prospection marketing fondée sur sa géolocalisation par exemple).

Le pack conformité rappelait enfin que la sécurité est un élément essentiel dans le déploiement de véhicules connectés et implique, sinon l’anonymisation, en tous cas des mesures de chiffrement des canaux de transfert des données extraites du véhicule, des mesures de gestion des accès et authentification, ou encore un fort cloisonnement des données selon les fonctionnalités qui les utilisent (fonctions vitales du véhicule, fonctions de communication, données susceptibles de révéler des infractions, etc.).

Ce pack conformité, bien qu’antérieur au RGPD, demeure pertinent dans beaucoup de domaines, en particulier pour répertorier les finalités des traitements qu’il est possible de mettre en place sur les données collectées via l’utilisation d’un véhicule connecté. Ce sont cependant, désormais, les Lignes Directrices du CEPD du 9 mars 2021 qui constituent la doctrine actuelle des autorités de protection.

Ces Lignes Directrices ont adopté une approche par le risque, et ont porté l’accent sur cinq grandes catégories de risques que les voitures connectées doivent border :

la collecte excessive des données personnelles ainsi que leurs réutilisations secondaires,
l’asymétrie d’information entre le responsable de traitement et la personne concernée par les données,
la difficulté de recueillir un consentement éclairé de la part de celle-ci, et bien entendu,
la sécurité des données personnelles traitées.

Les Lignes Directrices du CEPD comportent des recommandations générales liées aux finalités en récapitulant les principales (gestion de la mobilité en fonction notamment du trajet des conditions de conduite), gestion du véhicule lui-même (rappels d’entretien, modalités de conduite, assurances personnalisées), sécurité routière (détection des dangers externes et prévention des collisions, détection des dérives, ecall en cas d’urgence), divertissement (plutôt tournée vers les passagers bien entendu…) ou aide au conducteur (automatisation partielle ou totale du pilotage).

Elles comportent ensuite une liste de préconisations détaillées, liées à la gestion des familles de risques susmentionnées, en portant notamment l’accent sur la qualité de l’information et du consentement requis de l’utilisateur, le principe de minimisation et de proportionnalité des données, ou encore le privacy by design, qui milite pour des traitements localisés et limités le plus possible au véhicule lui-même.

Ces Lignes Directrices comportent en outre des cas d’usage instructifs (traitements de données pour les assurances basées sur l’utilisation du véhicule, pour le service ecall en cas d’accident, pour les études d’accidentologie, ou pour la lutte contre les vols de voiture), en insistant sur les destinataires possibles des données et les bases légales devant s’appliquer à leurs traitements.

Les responsables de traitement (au premier rang desquels les constructeurs et les fournisseurs des services connectés accompagnant ces véhicules) devront donc se plier à l’ensemble des exigences du RGPD, en s’appuyant sur ces Lignes Directrices pour assurer la conformité de leurs traitements et la sécurité des données ainsi collectées.

Au sujet de la sécurité, l’ANSSI a eu l’occasion de rappeler de quelle façon les véhicules pouvaient être piratés voire dérobés par simple détournement des données collectées et a émis des préconisations pour la sécurisation des objets connectés, suite à des exemples de prise en main à distance qui entraînent évidement des risques non seulement pour les données, mais pour l’intégrité physique des personnes elles-mêmes.

Ces règles n’ont pas de valeur normative mais sont bien entendu fortement conseillées pour les fabricants de véhicules connectés.

La CNIL rappelle par ailleurs que le RGPD ne s’applique pas aux données réellement anonymes (données techniques définitivement non rattachables à une personne physique), le fournisseur pouvant alors librement les réexploiter.

Mais attention : ces données seront prochainement soumises aux exigences du Data Act, dont le projet est en cours de discussion ai niveau européen.

Cette réglementation qui vise les « données générées » par les objets connectés et les services liés (qu’elles soient d’ailleurs personnelles ou non identifiantes) prévoit en effet que

(i) le fournisseur doit préciser dans son contrat avec le client les réutilisations qu’il fera lui-même de ces données industrielles (amélioration du service, sécurité), et

(ii) en tant que détenteur de ces données, il doit les mettre à disposition de l’utilisateur ou des tiers (mainteneurs, réparateurs, etc.) dans le cadre d’une nouvelle portabilité censée favoriser l’innovation au sein d’un vaste marché européen de la donnée.

Le Data Act affirme en effet deux nouveaux droits :

(i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et

(ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.

Le Data Act entraine corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ».

La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des véhicules connectés, selon une notion d’« accessibility by design » comparable au « privacy by design » du RGPD.

Les fournisseurs de véhicules connectés devront donc, outre le strict respect du RGPD, assurer leur conformité au Data Act et à cet égard, renforcer encore l’information due à leurs clients, garantir la portabilité technique des données générées par l’utilisation de leurs véhicules, et mettre ces données à disposition des tiers dans le cadre de contrats à nouer avec ces derniers.

L’innovation que constituent indéniablement les véhicules connectés, et l’ensemble de services de sécurité comme de confort apportés aux conducteurs et leurs passages, implique donc pour les fabricants et éditeurs de services un travail considérable de cartographie des données et de mise en conformité avec les différentes réglementations applicables.

RGPD & transferts transatlantiques : l’avis du CEPD encouragera-t-il la Commission européenne à rendre la décision d’adéquation du Data Privacy Framework ?

Posted on mars 16, 2023avril 5, 2023 by DS_Kenya

La problématique de la légalité des flux de données à caractère personnel vers les Etats Unis a connu de nombreux épisodes, et nous n’en sommes certainement pas encore parvenus à la conclusion de cette série à rebondissements qui, si elle ne comporte ni dragons ni châteaux forts, tient néanmoins en haleine les praticiens, et continue surtout d’inquiéter les entreprises.

Cette saga avait commencé avec l’arrêt Schrems I (décision de la CJUE du 6 octobre 2015 invalidant l’adéquation du programme américain Safe Harbor) et s’est poursuivie plus récemment avec l’arrêt Schrems II (décision de la CJUE du 16 juillet 2020 invalidant l’adéquation de son remplaçant le Privacy Shield) sur la conformité des transferts transatlantiques à la législation européenne.

Depuis cette dernière décision, les transferts de données vers les Etats Unis sont potentiellement illicites : tous ceux qui ne reposaient que sur l’adhésion du prestataire au Privacy Shield sont interdits, et les autres, reposant sur des garanties certes prévues par le RGPD telles que les Clauses Contractuelles Types de la Commission Européenne (« CCT ») et les Règles Contraignantes d’Entreprise (« BCR »), sont fragilisés, car le Comité Européen de la Protection des Données (« CEPD ») a indiqué que ces garanties peuvent ne pas suffire si le droit du pays d’importation des données contredit les garanties essentielles européennes.

Plusieurs décisions des CNIL européennes ont enfoncé le clou, notamment au sujet de la technologie Google Analytics dont l’utilisation déclenche des flux transfrontaliers de données d’européens vers les USA (cf. notamment décisions de la CNIL française et de son homologue autrichienne).

Pour assurer un cadre légal a minima des transferts, les entreprises s’efforcent donc de suivre les recommandations du CEPD de 2020 et 2021 sur les respect des garanties essentielles européennes et sur les mesures additionnelles à appliquer.

En substance, le CEPD demande aux entreprises européennes de vérifier si le droit local permet de répondre aux garanties essentielles européennes, et à défaut, d’obtenir de l’entreprise américaine qu’elle déploie des « mesures additionnelles » efficaces.

Or, les entreprises ne sont pas forcément en mesure d’obtenir de telles garanties au regard de leur droit national, et les prestataires étrangers ne sont pas nécessairement désireux de réellement s’y conformer, comme les décisions Google l’ont montré.

Dès lors, la conclusion d’un accord interétatique se révèle être plus que nécessaire afin de rétablir un socle légal fiable pour les flux de données transatlantiques et la confiance dans les fournisseurs.

Les Etats-Unis et l’Union européenne ont entrepris des discussions visant à la reconnaissance d’un nouveau texte américain (le « Data Privacy Framework »), dont une première version a été signée par le Président américain en octobre 2022 sous la forme d’un « executive order » du 7 octobre 2022 permettant un rapprochement entre le droit américain et les exigences du CEPD.

L’executive order impose aux autorités américaines de renseignements un certain nombre d’obligations afin d’assurer le respect de la vie privée et des libertés individuelles.

Entre autres dispositions, les agences de renseignements américaines ne peuvent avoir accès aux données personnelles en provenance de l’UE qu’en justifiant de la proportionnalité de la mesure, des intérêts légitimes des activités et sous réserve que ces activités soient contrôlés par un organisme juridique (l’Officier de Protection des Libertés Civiles puis la Data Protection Review Court en appel).

La Commission européenne doit désormais valider ce nouveau texte en rendant une décision d’adéquation attendue ce mois-ci, en mars 2023.

En attendant la décision de la Commission, le CEPD et l’association NOYB de M. Schrems ont d’ores et déjà rendu leurs avis concernant ce projet de Data Privacy Framework qui, pour des raisons parfois proches, leur semble peu efficace et dont l’adéquation éventuellement décidée par la Commission risque de se heurter à une nouvelle invalidation de la CJUE en cas de litige (inévitable compte tenu de l’activité de NOYB), à l’instar de ses prédécesseurs le Safe Harbor et le Privacy Shield.

Selon NOYB en effet, cette nouvelle réglementation n’empêchera pas les services de renseignements américains de collecter massivement les données européennes.

A ses yeux, les exigences de proportionnalité et de nécessité des collectes restent vaguent et sont sujettes à de larges interprétations, qui sont différentes d’un côté et de l’autre de l’Atlantique. Ce qui affaiblit indéniablement la portée de l’executive order de M. Biden.

NOYB relève également que la Data Protection Review Court ne serait pas une juridiction « réelle » au sens de la Constitution des Etats Unis ; il s’agirait plutôt d’un organe au sein du gouvernement, dont l’indépendance pourrait encore être discutée.

Bien que ce dispositif soit une amélioration par rapport à l’« Ombudsperson » (médiateur) du Privacy Shield, cette nouvelle « cour » ne satisferait pas aux exigences européennes.

NOYB souligne également qu’un executive order est une directive interne du Président au sein du gouvernement fédéral, mais ne constitue pas une véritable loi…

L’association regrette encore que la Commission n’ait pas exigé plus simplement la conformité des entreprises américaines au RGPD.

Il est vrai cependant que la Cour de Justice de l’Union européenne se contente de souligner que les données doivent être protégées de façon « essentially equivalent ».

De son côté, le CEPD, organe de l’Union européenne regroupant les autorités de protection des données au niveau européen (à ne pas confondre avec le Contrôleur européen de la protection des données), s’est positionné à deux reprises sur la question des transferts internationaux.

Dans un premier temps, le CEPD avait adopté le 18 novembre 2021 des lignes directrices sur la notion de transfert.

La définition de transfert donnée internationale par le RGPD manque effectivement de précision : « transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ».

Le CEPD précise qu’un transfert peut être qualifié comme tel lorsque trois critères cumulatifs sont réunis :

1) l’exportateur de données personnelles d’européens (qu’il soit un responsable du traitement ou un sous-traitant) est soumis au RGPD pour le traitement considéré;

2) l’exportateur de données transmet ou met les données à caractère personnel à la disposition de l’importateur de données (une autre responsable du traitement, un responsable conjoint du traitement ou un sous-traitant) : le transfert s’opère entre deux parties distinctes – cependant, un traitement de donnée peut très bien avoir lieu sans qu’il y ait transfert effectif entre deux responsable de traitement.

3) l’importateur de données se trouve dans un pays tiers ou est une organisation internationale.

Ce rappel de la CEPD servait à clarifier l’interaction entre champ d’application territorial du RGPD et les dispositions relatives aux transferts internationaux de son chapitre V.

Selon la présidente du CEPD, ces lignes directrices fournissaient une interprétation cohérente de la notion de “transferts internationaux” et, lorsqu’un importateur de données est soumis au RGPD, les obligations résultant du chapitre V du RGPD s’appliquent tant au transfert de l’UE vers l’importateur qu’à tout transfert ultérieur effectué par l’importateur.

Selon le chapitre V du RGPD, ce transfert transfrontalier n’est possible que s’il répond à certaines exigences : autorisation par une décision d’adéquation de la Commission européenne (art. 45) ou mise en place des garanties appropriées (art. 46 : règles d’entreprises contraignantes (BCR), clauses contractuelles types (CCT), codes de conduite, mécanismes de certification, etc.).

Suite à cette clarification, il convenait d’en identifier les conséquences et de rappeler les droits et obligations qu’un tel transfert doit respecter, notamment en l’espèce de la part des organisations américaines.

Dans le second temps, le CEPD a donc rendu le 28 février 2023 son avis sur le projet de décision d’adéquation de la Commission sur cet executive order, qui lui avait été soumis le 13 décembre 2022.

Le CEPD y reconnait un progrès de la part du gouvernement américain sur la protection des données transférées aux Etats unis, dont l’introduction des notions de nécessité et de proportionnalité s’imposant aux collectes de données et la reconnaissance des droits des citoyens européens sur leurs données.

Néanmoins, certains points suscitent des inquiétudes persistantes.

Le Data Protection Framework prévoit ainsi un certain nombre d’exemptions concernant la protection des personnes concernées.

Le CEPD souhaite que ces exemptions soient mieux encadrées et que la Commission Européenne apporte davantage de précision sur le champ d’application de ces exemptions.

En l’occurrence, en ce qui concerne le droit d’accès de la personne concernée à ses données telles qu’obtenues par les autorités américaines, les détails relatifs à l’obligation de répondre à ses demandes ne sont que décrits dans une note de bas de page, ce qui paraît anecdotique alors que le sujet est au cœur de la protection exigée en Europe ; le CEPD regrette que ces détails ne soient pas inclus dans le corps du texte principal.

Il semble également que le texte ne prévoit l’exercice de ce droit d’accès que lorsque l’organisation « stocke » les données : or, le droit d’accès doit être rendu possible dès lors que les données sont traitées.

On trouve ici l’illustration de ce que des interprétations divergentes des termes peuvent provoquer, avec à la clé une acception plus restrictive du droit d’accès aux USA qu’au sein de l’UE.

Le CEPD note aussi que dans la liste des exemptions au droit d’accès, certaines sont clairement en faveur des intérêts des organisations au dépit des droits et intérêts des individus, selon un équilibre qui n’est pas celui retenu en Europe.

Par exemple, l’exception au droit d’accès visant les informations « accessibles au public » suscite également une certaine inquiétude.

Le CEPD considère que, conformément à la législation européenne, les personnes concernées doivent toujours avoir le droit d’accéder à leurs données, que celles-ci aient été publiées ou non.

Le Data Privacy Framework américain évoque également un droit d’opposition (dit « opt-out ») à la divulgation d’informations personnelles à un tiers ou à l’utilisation de ces données dans un but différent de celui pour lequel elles ont été collectées.

Mais l’exercice de ce droit n’est pas suffisamment détaillé.

Le CEPD regrette ici qu’un droit général d’opposition pour des motifs légitimes impérieux tenant à la situation particulière de la personne concernée ne soit pas expressément prévu dans le Data Privacy Framework.

Et surtout, ce droit d’opposition devrait être garanti à tout moment, et non pas limité à l’utilisation des données à des fins de marketing direct.

Le CEPD remarque également que le droit américain ne prévoie pas d’autorisation préalable par une autorité indépendante, ni un contrôle effectif par une juridiction indépendante pour l’autorisation d’une collecte indifférenciée de données (surveillance de masse), en dépit des précautions ajoutées par l’executive order.

Le CEPD souhaite en conséquence que la Commission précise l’étendue des voies de recours prévue par le Data Privacy Framework américain, et notamment si la personne concernée pourra exercer de manière effective son droit d’accès, de rectification ou d’effacement de ses données tels que prévus par le RGPD.

On peut cependant s’interroger sur ce que vaudront les précisions de la Commission, fondées sur sa propre interprétation du texte américain, si les juges américains décident d’adopter une lecture différente de l’executive order…

Enfin, le CEDP regrette que le Data Privacy Framework ne se prononce pas sur les questions des décisions prises par des algorithmes et du profilage dont on sait que la prolifération donne une acuité particulière aux exigences de protection renforcée des données personnelles.

La question désormais est de savoir quelle position de la Commission Européenne adoptera sur le Data Privacy Framework à la lumière des critiques du CEPD.

Il est à craindre que l’hypocrisie qui caractérise cette saga réglementaire se poursuive.

On en veut pour preuve que les USA estiment d’une part que leur nouvel executive order règle le problème mis à jour par la CJUE dans sa décision du 16 juillet 2020, et dans le même temps, les USA s’indignent d’autre part d’apprendre que le FBI a pu littéralement acheter des données personnelles d’américains (géolocalisation de téléphones) dans le cadre de ses travaux d’investigation, en contournant les exigences réglementaires locales.

Si les agences américaines piétinent leur propre droit pour accéder aux données des citoyens américains, comment l’Europe peut-elle sérieusement considérer que le Data Privacy Framework constituera une garantie suffisante pour protéger les données des citoyens européens ?

L’avis du CEPD sur la décision d’adéquation « Opinion of the Board » du 28 février 2023

Le projet de Data Act : innovations et questions posées par le « RGPD des données industrielles »

Posted on février 13, 2023février 27, 2023 by DS_Kenya

Le projet de Data Act est en cours de discussion au Parlement Européen, et est annoncé pour le courant de l’année 2023. Il a pu être qualifié de « RGPD des données industrielles » dans la mesure où il a été élaboré par le législateur européen aux fins d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, spécifiquement liées aux objets connectés.

L’idée est, entre autres, de faire pièce aux GAFAM en consolidant une vaste économie européenne de la donnée. Le législateur européen souligne que la multiplication rapide des produits connectés (« internet des objets ») a fait augmenter le volume de données et leur valeur potentielle pour les consommateurs, les entreprises et la société en général. De nouveaux modèles économiques ont émergé. Les données sont des biens « non rivaux » et en conséquence, un même ensemble de données est susceptible d’être utilisé et réutilisé à diverses fins de façon illimitée, sans perdre en qualité ni en quantité.

Leur circulation est néanmoins entravée par les pratiques de réservation des entreprises détentrices de données, par les coûts liés aux interfaçages de systèmes et aux échanges de données, par la dispersion des informations, par l’absence de norme impérative d’interopérabilité, et par des déséquilibres contractuels au profit notamment des champions étrangers du numérique qui se sont investis bien plus tôt dans la constitution de gigantesques bases de données à travers le monde. Le législateur européen en a déduit la nécessité d’ériger juridiquement un droit d’accès et de partage des données générées par les objets connectés et les services liés, de manière harmonisée à l’échelle du continent.

Sommaire

Contexte et objectifs du Data Act

Champ d’application du Data Act

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Adhérences avec le RGPD

Montée en puissance de l’exigence d’interopérabilité

La problématique du secret d’affaires

L’encadrement des flux transfrontaliers

Mise à disposition des données au bénéfice des autorités publiques

Perspectives

Contexte et objectifs du Data Act

Le Data Act fera suite au Data Governance Act (« DGA ») adopté en mai 2022, qui avait pour but d’encadrer la réutilisation de certaines données du secteur public en créant notamment de nouvelles certifications et des services d’intermédiaires de données. Le DGA évoquait comment le secteur public peut partager ses données ; le Data Act indique désormais comment les entreprises doivent permettre de créer de la valeur ajoutée à partir de leurs données.

Schématiquement, le Data Act a pour objectifs de :

Faciliter le partage des données générées entre entreprises (B2B) et avec le consommateur (B2C), en fixant notamment une obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable ;
Permettre l’utilisation de ces données par les entreprises européennes (à l’exclusion des « contrôleurs d’accès » définis par le DMA, c’est-à-dire les très grandes plateformes dont celles des GAFAM) et, sous réserve de justifier d’un besoin exceptionnel, par les organismes publics des États-membres et les institutions, agences ou organes de l’Union ;
Faciliter le changement de fournisseur de services de traitement de données (notion de « cloud switching ») par l’encadrement des relations contractuelles entre les fournisseurs de services et leurs clients, et par la suppression progressive des frais liés au changement de service cloud pour le client ;
Entériner une obligation de portabilité des données à la charge des entreprises qui les génèrent via leurs produits connectés, et en conséquence, renforcer l’exigence générale et sectorielle d’interopérabilité entre les services de traitement de données ;
Mettre en place de nouvelles garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud, dans la foulée des dernières évolutions qui ont marqué l’application du RGPD suite à la décision Schrems II de la CJUE du 16 juillet 2020.

L’ensemble de ces objectifs s’inscrit dans la stratégie de constitution d’un vaste espace européen d’exploitation et de valorisation des données, qui doit favoriser le développement de technologies au service des personnes et le déploiement d’une économie numérique compétitive face aux titans américains et chinois.

En tant qu’élément de la stratégie numérique européenne, le Data Act s’inscrit dans un environnement réglementaire très prolifique, à la suite du Data Governance Act, et aux côtés du Digital Markets Act (DMA, qui encadre les acteurs numériques pour préserver un marché concurrentiel et restreindre les oligopoles des GAFAM), du Digital Services Act (DSA, qui encadre les contenus échangés sur les réseaux sociaux afin de protéger les citoyens, notamment les plus jeunes, contre les contenus haineux et les fausses informations), du futur règlement eprivacy (qui doit venir réformer la Directive de 2002 applicable à la protection de la vie privée et des données de communications électroniques) et le futur Règlement IA (qui doit régir la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle dans l’UE). C’est donc un environnement réglementaire particulièrement complexe que les entreprises françaises et européennes vont devoir appréhender dans les années qui viennent, et dont le RGPD ne constituait que le premier étage.

L’introduction du Data Act rappelle qu’il s’inscrit dans une volonté de redonner aux utilisateurs le contrôle sur leurs données : pas seulement les données personnelles liées aux personnes physiques, mais également les données techniques liées à leur utilisation des objets connectés et services liés qui prolifèrent désormais.

Retour au sommaire

Champ d’application du Data Act

Concrètement, le Data Act crée des obligations à la charge des entreprises qui génèrent des données « industrielles », au bénéfice de leurs clients utilisateurs (personnes physiques ou morales), et au bénéfice d’entreprises tierces tels que fournisseurs de services à valeur ajoutée ou accessoires aux produits connectés, prestataires de SAV, tiers mainteneurs… au sein de l’Union Européenne.

Il est important de bien comprendre les concepts clés du Data Act, dont les notions de « détenteurs de données » et « d’utilisateurs ».

On note à cet égard que la définition du détenteur de données (entendu à l’article 2 du Data Act comme une « une personne morale ou une personne physique qui, conformément au présent règlement, aux dispositions législatives applicables de l’Union ou à la législation nationale mettant en œuvre le droit de l’Union, a le droit ou l’obligation ou, dans le cas de données à caractère non personnel et par le contrôle de la conception du produit et des services liés, a la possibilité, de rendre disponibles certaines données à caractère personnel ») est circulaire puisqu’elle présente le détenteur de données comme une entité qui… a l’obligation de partager des données en vertu du Data Act lui-même.

Les explications des considérants du Data Act permettent de comprendre qu’il s’agit là des fabricants de produits connectés et les éditeurs des services liés aux produits connectés, mais il n’en reste pas moins que la définition juridique est loin d’avoir la clarté de celles utilisées dans le RGPD.

La notion d’« utilisateur » est plus claire, s’agissant d’une « personne physique ou morale qui possède ou loue un produit ou reçoit un service ». Enfin, la notion de « destinataire de données » est très opérationnelle, entendue comme « une personne physique ou morale, autre que l’utilisateur d’un produit ou d’un service lié, agissant à des fins qui sont liées à son activité commerciale, industrielle, artisanale ou libérale, à la disposition de laquelle le détenteur de données met des données, y compris un tiers lorsque l’utilisateur a adressé une demande au détenteur de données ou conformément à une obligation légale découlant du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union », c’est-à-dire une entité qui reçoit les données générées transmises par le détenteur initial pour fournir ses propres services.

Dans les faits, on brise ici le monopole des fabricants d’objets connectés sur les bases de données qu’ils constituent via leurs produits, afin de forcer la circulation plus fluide des données, sous des formats réutilisables, pour un enrichissement collectif au sein des marchés de services : les détenteurs des données ne pourront plus jouir d’un avantage compétitif interdisant l’accès à leurs marchés, et les fournisseurs de services accessoires (installateurs, réparateurs, mainteneurs) pourront améliorer leurs offres de service et l’efficacité de leurs interventions. En un mot, il s’agit de stimuler la concurrence et la complémentarité des services au sein de l’Union Européenne.

Plus précisément, le Data Act s’applique non pas spécifiquement aux données personnelles, mais plus généralement aux « données générées » qui sont produites par les « objets connectés » et les « services liés ». On entend par donnée générée « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, y compris sous forme d’enregistrement sonore, visuel ou audiovisuel » à l’exclusion des données « déduites » ou construites par le truchement de logiciels d’analyse (scoring, profilage).

Ces données représentent ici la « numérisation des actions de l’utilisateur et des évènements relatifs à son utilisation ». Elles incluent les données enregistrées intentionnellement par l’utilisateur du produit, et les traces générées automatiquement par son activité ou même son absence d’activité.

Puisque ces données sont directement liées à l’utilisation du produit connecté par son utilisateur, il est nécessaire de veiller à ce que les produits soient conçus et fabriqués, et à ce que les services liés soient fournis, de telle sorte que les données générées par leur utilisation soient toujours facilement accessibles à l’utilisateur lui-même.

Le Data Act s’adresse donc spécifiquement aux entreprises qui éditent et commercialisent au sein de l’Union Européenne des objets connectés (voitures connectées, équipements domotiques, assistants vocaux, dispositifs médicaux et sanitaires, machines industrielles ou agricoles…) entendus comme des « produits physiques qui, au moyen de leurs composants, obtiennent, génèrent ou recueillent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques accessible au public »), à l’exclusion des ordinateurs, tablettes et smartphones « conçus pour afficher, transmettre des contenus ».

Les exemples d’objets connectés générant des données abondent. On retrouve souvent l’exemple du réfrigérateur intelligent qui trace les habitudes de consommation de son propriétaire et l’avertit lorsqu’une denrée va manquer. On peut songer aux bracelets connectés qui collectent des données physiologiques dans le cadre des produits de « quantified self » et peuvent donner des informations sur les habitudes de consommation et la santé publique. On peut songer aux voitures connectées qui émettent un très grand nombre de données techniques utiles aux travaux d’accidentologie, d’assurance, d’optimisation du réseau routier, de réparation des véhicules… Les outils de domotique génèrent eux aussi un grand nombre d’informations qui peuvent être utiles dans un contexte d’économie énergétique et d’optimisation des réseaux d’approvisionnement.

Le Data Act s’adresse également aux éditeurs des « services liés » sans lesquels les objets connectés ne peuvent pas fonctionner pleinement. La notion est cependant évasive, et on peut potentiellement y inclure un grand nombre de plateformes et de services d’hébergement sur lesquels s’appuient les objets connectés pour générer les données relatives à leur fonctionnement, leur utilisation ou leur environnement.

Ces « services liés » peuvent eux-mêmes générer des données complémentaires, de valeur pour l’utilisateur indépendamment des capacités de collecte du produit matériel, et ce même si le service lié est fourni par un tiers distinct du fabricant du produit connecté. Le champ d’application du Data Act est ici potentiellement très vaste, et la complexité technique des produits connectés va poser de nombreuses questions dans l’identification de ce qu’est un « service lié » et des entreprises concernées par l’obligation de mise à disposition de leurs données.

Retour au sommaire

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Le Data Act introduit d’importantes modifications dans le droit des contrats, afin de poser les règles qui encadreront les échanges de données entre entreprises et avec l’utilisateur, en définissant notamment une liste de clauses abusives qui seront réputées non écrites si elles contredisent les principes de portabilité et de réutilisation des données (afin d’éliminer les distorsions dans les négociations entre les producteurs de données d’une part, et les TPE et PME réutilisatrices d’autre part).

Le Data Act apporte aussi une importante dérogation au droit sui generis du producteur de bases de données (régi en France par l’article L.341-1 du Code de la propriété intellectuelle) : ce monopole d’exploitation est désormais annihilé s’agissant des bases de données alimentées par l’utilisation d’un produit connecté.

Le Data Act affirme donc deux nouveaux droits : (i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et (ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.

S’agissant du droit d’accès, l’article 3 du Data Act énonce clairement que « La conception et la fabrication des produits, et la fourniture des services liés, sont telles que les données générées par leur utilisation sont, par défaut, facilement, de manière sécurisée et, lorsque cela est pertinent et approprié, directement accessibles à l’utilisateur ».

Le Data Act affirme corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ». La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des systèmes de traitement : on voir naître ici une notion d’« accessibility by design », à l’instar du « privacy by design & by default » introduit par le RGPD.

S’agissant du droit de portabilité, l’article 5 du Data Act énonce tout aussi clairement que « Lorsqu’un utilisateur ou une partie agissant au nom de ce dernier en fait la demande, le détenteur de données met à la disposition d’un tiers, dans les meilleurs délais, sans frais pour l’utilisateur et, le cas échéant, en continu et en temps réel, les données générées par l’utilisation d’un produit ou d’un service lié, à un niveau de qualité identique à celui dont lui-même bénéficie ».

Il s’agit d’un élargissement et d’un renforcement très significatifs du droit à la portabilité qui existait, pour les données personnelles, dans le RGPD. Cette nouvelle portabilité ne va pas sans poser de nombreuses questions, comme il sera examiné infra.

L’article 9 du Data Act prévoit la possibilité d’une compensation pour le fabricant de la part du tiers destinataire, et des garanties supplémentaires permettant d’assurer une utilisation proportionnée des données par ce tiers (sans toutefois que les contours de ces garanties supplémentaires soient clairement définis. Le Data Act renvoie à cet égard à la pratique contractuelle qui devra se développer, autour notamment de clauses contractuelles types qui seront édictées par les autorités européennes). Cette compensation financière devra être « équitable, non-discriminatoire et raisonnable », et ne pourra pas devenir un prix de cession des données au-delà des coûts effectifs de l’octroi technique de l’accès aux données[1], lorsque le destinataire desdites données sera une micro, petite ou moyenne entreprise.

Concrètement, ces exigences d’accessibilité et de portabilité des données générées par les objets connectés vont amener les entreprises qui les fabriquent à une réorganisation interne d’envergure, comparable à celle qu’a impliquée le RGPD. Elles vont notamment devoir :

Auditer leurs bases de données afin d’identifier toutes celles qui, liées à l’exploitation de leurs produits connectés, sont concernées par le Data Act. On retrouve ici la nécessité de cartographier les données industrielles, ce qu’imposait déjà le RGPD pour les données personnelles ;
Mettre en place une nouvelle information précontractuelle exposant les nouveaux droits d’accès et de portabilité des données, qui devra notamment indiquer (i) la nature et le volume des données susceptibles d’être générées, dont celles susceptibles d’être générées en continu et temps réel ; (ii) les modalités d’accès à ces données par l’utilisateur ; (iii) l’information selon laquelle le fabricant/fournisseur a l’intention de réutiliser les données et si oui pour quelles finalités ; (iv) l’identité (raison sociale et localisation) du détenteur de données ; (v) le moyen pour le contacter rapidement et les modalités de demande de portabilité des données vers un tiers, et enfin (vi) le droit de plainte devant l’autorité compétente.
Déployer des procédures internes afin de répondre efficacement aux demandes d’accès et de portabilité qui leur seront faites par les utilisateurs de leurs produits et services, tout en limitant le transfert aux seules données pertinentes ;
Garantir la portabilité des données ainsi que l’interopérabilité des services de traitement, en se conformant à des normes générales ou sectorielles (le Data Act se réfère à ce titre au Règlement européen 1025/2021 et aux normes que les organismes de normalisation pourront émettre à ce titre).

Les détenteurs de données devront aussi préparer des contrats à conclure avec les tiers destinataires, afin d’organiser le transfert des données, tout en veillant au respect des bases légales qui autorisent l’émetteur comme le destinataire des données à traiter les données personnelles figurant dans les bases de données générées.

En effet, en vertu du principe de liberté contractuelle, les parties doivent rester libres de négocier les conditions précises de mise à disposition de données dans leurs contrats, dans le cadre cependant des règles générales d’accès pour la mise à disposition des données posées par le Data Act. En clair, le Data Act pose l’exigence de portabilité des données, les entreprises pouvant en aménager les modalités entre elles, afin de sécuriser les transferts et de protéger, autant que faire se peut, leur secret d’affaires (cf. infra).

Ces contrats ne pourront cependant jamais exclure les exigences du Data Act, ni comporter de clauses abusives au détriment des petites et moyennes entreprises. Les effets de ces clauses abusives sont listés à l’article 13 du Data Act, qui se donne pour ambition d’éliminer les déséquilibres contractuels entre acteurs des marchés du numérique.

Les entreprises devront par ailleurs déployer des « mesures techniques appropriées de protection », y compris via des « smart contracts », afin d’empêcher l’accès aux données à d’autres tiers. Ces mesures ne devront jamais paralyser le droit à la portabilité de l’utilisateur, mais sécuriser les transferts pour que seul le destinataire désigné reçoive lesdites données.

Ces obligations doivent donc permettre le transfert des données générées, détenues par le fabriquant d’un produit connecté ou l’éditeur d’un service lié, vers un tiers destinataire. Ce dernier se voit également imposer des obligations à l’article 6 du Data Act, à commencer par l’interdiction d’utiliser les données qu’il reçoit aux fins de développer un produit concurrent du produit du fournisseur initial. A cet égard, on peut s’interroger sur les éléments de preuve à aménager pour démontrer que les données reçues n’ont pas été utilisées à cette fin, lorsque les données auront été échangées entre fournisseurs concurrents. Les risques de litiges semblent ici nombreux.

Le tiers destinataire des données ne doit pas non plus retransmettre les données à un « contrôleur d’accès » (ou « gatekeeper »), c’est-à-dire aux « très grandes plateformes » définies comme telles par le DMA (c’est-à-dire des plateformes englobant des services d’intermédiation, moteurs de recherche, réseaux sociaux, plateformes de vidéos partagées, systèmes d’exploitation, services d’hébergement cloud ou services de publicité, dont le meilleur exemple est Google), sauf dans le cas où ce fournisseur tiers s’appuie justement sur les services d’un contrôleur d’accès, en tant que sous-traitant, pour fournir son propre service.

Retour au sommaire

Adhérences avec le RGPD

Les données générées objets du Data Act peuvent se rapporter à une personne physique identifiée ou identifiable, en particulier quand l’utilisateur est une personne physique. Le RGPD s’applique bien entendu aux données personnelles incluses dans les données générées, même si elles sont inextricablement liées.

A cet égard, le Data Act ne crée pas de nouvelle base juridique pour exiger l’accès ou la portabilité des données personnelles pour une autre personne que la personne concernée, seules les bases légales prévues à l’article 6 du RGPD pouvant s’appliquer. Le Data Act ne crée pas non plus de droit nouveau pour le détenteur de données d’utiliser les données générées. En principe, ce droit d’utilisation par le détenteur de données de ces données générées doit être reconnu au sein du contrat avec l’utilisateur. Le contrat doit d’ailleurs indiquer les finalités poursuivies par le détenteur de données qui souhaite réutiliser les données générées.

La personne physique concernée conserve bien entendu son droit d’accès à ses données personnelles en vertu du RGPD, et, si elle est également l’utilisateur au sens du Data Act, elle aura dorénavant un droit d’accès aux données non personnelles générées par le produit qu’elle utilise.

En revanche, si l’utilisateur n’est pas la personne connectée (ex : une entreprise déploie une flotte de véhicules connectés géolocalisés), cet utilisateur restera considéré comme responsable des traitements de données personnelles effectués via le produit connecté ou le service lié. Donc, si cet utilisateur, personne morale, demande communication de données personnelles dans le cadre de son accès aux données générées, ce responsable de traitement doit pouvoir s’appuyer sur une base légale au sens du RGPD.

La personne concernée devra quant à elle recevoir l’information liée à l’utilisation de ses données par l’utilisateur, notamment la finalité qu’il poursuit, ce qui constitue là encore l’application normale du RGPD.

Le Data Act note qu’un utilisateur, personne morale, qui obtient les données générées dans le cadre de l’article 4 du Data Act, peut alors devenir à son tour lui-même un détenteur et être soumis en conséquence aux obligations de mise à disposition et de portabilité du Data Act.

Lorsque l’utilisateur fait valoir son droit à la portabilité des données générées en vertu de l’article 5 du Data Act, le tiers destinataire (ex : société de service après-vente, tiers mainteneur…) ne doit pouvoir traiter les données mises à sa disposition à la demande de l’utilisateur que pour les fins convenues entre l’utilisateur et ce tiers destinataire, et ne les partager avec un autre tiers que si c’est strictement nécessaire à l’exécution du service demandé par l’utilisateur.

Le Data Act précise qu’en toute hypothèse, cette réutilisation des données ne doit pas être faite par le tiers aux fins de profilage des personnes, sauf si le service qu’il fournit à l’utilisateur inclure précisément un tel profilage. On a voulu ici fermer la possibilité d’une réutilisation anarchique des données aux fins de profilage publicitaire ou de prospection commerciale notamment.

Le Data Act donne ici une nouvelle vigueur au droit à la portabilité des données personnelles prévu par l’article 20 du RGPD. Cet article prévoyait en effet le droit pour la personne concernée de demander la portabilité de ses données personnelles vers un autre responsable de traitement, uniquement lorsque ces données sont traitées par le premier fournisseur en vertu d’un contrat entre eux, ou sur la base de son consentement exprès.

Mais ce droit du RGPD était limité, en pratique, par de nombreux obstacles tels que la disparité des systèmes de traitement de données, la multiplicité des formats de données, ou encore le secret d’affaires ou le droit sui generis du producteur de bases de données, autant de limitations qui rendaient la portabilité largement théorique.

Désormais, via le Data Act, la portabilité s’étend aux données industrielles non personnelles générées par l’utilisation du produit connecté. On retrouve dans le Data Act des exigences qui existaient déjà dans le RGPD : l’exigence de pertinence des données (les données portées doivent être exactes, complètes, fiables, pertinentes et à jour, et l’exigence de minimisation des données (les données portées doivent se limiter à ce qui est nécessaire pour fournir le service, et le tiers ne doit les traiter que pour ces finalités convenues avec l’utilisateur, sans ingérence du détenteur). Une fois le service fourni, ou si les données ne sont plus nécessaires pour la finalité convenue, le tiers doit s’en défaire.

Cet élargissement de la portabilité ne va pas sans poser des questions de compatibilité avec le RGPD. En effet, la portabilité de l’article 20 du RGPD ne s’applique qu’à des données collectées par le responsable de traitement sur la base (i) d’un contrat en cours ou (ii) du consentement de la personne concernée. Or, la portabilité de l’article 5 du Data Act inclut des données générées, y compris si elles sont personnelles, collectées en vertu de toute base légale de l’article 6 du RGPD, et pas seulement l’exécution du contrat ou le consentement de la personne. En outre, cette nouvelle portabilité ne bénéficie pas qu’à la personne concernée, mais plus largement à l’utilisateur du produit connecté, dont on sait qu’il peut s’agir d’une personne morale.

Des doutes subsistent donc pour l’heure sur l’étendue exacte des données concernées par le nouveau droit à la portabilité, et notamment sur le sort des données de communications électroniques qui sont, elles, couvertes par la Directive eprivacy de 2002, laquelle n’autorise leur transfert à un tiers que sur la base du consentement. Et, comme exprimé par le Contrôleur européen des données et le CEPD dans leur avis conjoint du 4 mai 2022, des doutes existent aussi quant au risque que cette nouvelle portabilité entraîne le transfert de données personnelles sensibles à des tiers (telles que les données de santé) en dehors du strict contrôle des personnes concernées.

Quoi qu’il en soit, selon l’article 5 du Data Act, l’utilisateur (ou un tiers mandaté par ses soins) peut désormais demander au détenteur de données de partager les données avec un destinataire désigné par l’utilisateur. Cette portabilité doit être mise en œuvre (i) dans les meilleurs délais, (ii) gratuitement pour l’utilisateur (sans préjudice de la compensation équitable autorisée par le Data Act), (iii) en continu si possible, et (iv) à un niveau de qualité identique.

Comme dans le RGPD, le détenteur de données qui reçoit une telle demande doit vérifier l’identité du demandeur, puis procéder au transfert sans porter atteinte à la protection des données personnelles de tiers (ainsi, le transfert des données générées ne peut inclure que les données personnelles des personnes concernées en lien avec l’utilisateur, en vertu d’une base légale conforme au RGPD).

Comme rappelé par l’article 6 du Data Act, le destinataire qui reçoit les données ne peut les utiliser qu’aux finalités et dans les conditions convenues avec l’Utilisateur, pour lui fournir le service demandé par ce dernier, et sous réserve de disposer lui-même d’une base légale conforme au RGPD s’agissant des données personnelles contenues dans les données générées reçues.

Enfin, l’article 6 du RGPD interdit la réutilisation, par le destinataire, des données qu’il reçoit aux fins de développer un produit concurrent du produit du détenteur initial des données. Il s’agit d’une affirmation de principe, mais dans les faits, on voit encore assez mal comment deux entreprises concurrentes, qui s’échangent des données à la demande de leur client utilisateur, pourront s’abstenir d’observer comment sont utilisées les données afin de nourrir leur propre R&D. Les contrats à venir entre détenteurs et destinataires devront faire preuve d’une certaine inventivité à cet égard.

Les litiges qui pourraient survenir entre détenteurs et destinataires de données dans la mise en œuvre de la portabilité et des contrats de gré à gré qu’ils auront conclus, pourront être soumis à des organismes certifiés, afin de vérifier notamment l’effectivité des conditions équitables, raisonnables et non discriminatoires de mise à disposition des données. Ces organismes, qui seront certifiés par les états-membres, devront être indépendants, experts, rapides et économiques. Ils donneront lieu à une procédure contradictoire, puis à une décision sous 90 jours, susceptible de recours devant les juridictions compétentes de l’état-membre.

Retour au sommaire

Montée en puissance de l’exigence d’interopérabilité

La portabilité des données est une notion juridique ; l’interopérabilité des services et des systèmes est sa condition technique. On entend par « interopérabilité » la capacité d’au moins deux « espaces de données ou réseaux de communication, systèmes, produits, applications ou composants » d’échanger et d’utiliser des données afin de remplir leurs fonctions.

L’article 28 du Data Act pose les « exigences essentielles » d’interopérabilité, qui doivent conduire les entreprises détentrices de données générées à élaborer, rendre disponible et tenir à jour la description des données, leur méthode de collecte, leurs qualité, structure, format, classification et taxinomie, ainsi que les modalités techniques d’accès aux données.

L’article 29 s’attarde sur les exigences d’interopérabilité des services de traitement de données, et pose les conditions du « cloud switching », avec l’obligation pour leurs exploitants d’élaborer des spécifications d’interopérabilité ouvertes en conformité avec les normes européennes. Le texte parle d’interopérabilité syntaxique, sémantique et comportementale. En synthèse, l’interopérabilité n’est plus une option, mais une obligation.

Le Data Act annonce de futurs « actes délégués » de la Commission Européenne pour publier des référentiels techniques qui s’imposeront aux entreprises, domaine par domaine, pour compléter les annexes du Règlement 1025/2021.

Retour au sommaire

La problématique du secret d’affaires

Le Data Act ne va pas sans causer l’émoi de nombreuses entreprises qui jusqu’à présent, considèrent que les modèles conceptuels de données inhérents à leurs produits relèvent de leur secret d’affaires. En effet, les données générées par un produit connecté ou un service lié sont très souvent considérés par leurs concepteurs comme procédant d’un secret industriel auxquels le public comme leurs concurrents ne doivent pas accéder. Le choix des données, leur sens, leur contenu, est souvent lié aux fonctionnalités du produit elles-mêmes. Un développeur de produit connecté considérera donc avec une certaine inquiétude l’obligation de communiquer ces données aux utilisateurs ou, pire, à des entreprises tierces qui peuvent être ses concurrentes.

Le secret d’affaires fait lui-même l’objet d’une protection (notamment par la Directive européenne 2016/943 du 8 juin 2016). Il s’entend, selon l’article 2 de cette directive, d’informations « qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ; b) elles ont une valeur commerciale parce qu’elles sont secrètes ; c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes. »[2]

L’article 4 du Data Act dispose alors que « Les secrets d’affaires ne sont divulgués qu’à condition que toutes les mesures spécifiques nécessaires soient prises pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données et l’utilisateur peuvent convenir de mesures visant à préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers ».

L’article 5 du Data Act confirme que « Les secrets d’affaires ne sont divulgués à des tiers que dans la mesure où ils sont strictement nécessaires pour atteindre la finalité convenue entre l’utilisateur et le tiers et où le tiers prend toutes les mesures spécifiques nécessaires qu’il a arrêtées avec le détenteur de données pour préserver la confidentialité du secret d’affaires. Dans ce cas, la qualité de secret d’affaires des données et les mesures visant à préserver la confidentialité sont précisées dans l’accord conclu entre le détenteur de données et le tiers ».

On constate donc dans le Data Act une formulation selon laquelle la communication des données générées ne doit pas se faire au détriment du secret d’affaires du détenteur initial, mais qui dès lors que ces données doivent être communiquées, conduit à penser qu’elles ne peuvent plus avoir de caractère secret. Il s’agit manifestement d’une approche volontariste qui tend à soustraire les données générées du périmètre du secret d’affaires afin d’obtenir leur circulation entre acteurs des marchés européens. Mais ceux-ci vont être confrontés à une rédaction circulaire qui ne permet pas clairement de délimiter la frontière entre données générées à communiquer et secret d’affaires à préserver. Il va leur appartenir de repenser leurs produits pour éviter que les données issues de leur utilisation ne révèlent leur fonctionnement…

Toutefois, entre secret d’affaires et portabilité des données, le choix est fait. D’ailleurs, dans ses lignes directrices du 13 décembre 2026, soit dès avant le RGPD, le Groupe Art. 29 (devenu le CEPD) soulignait que le secret d’affaires ne devait pas constituer en soi un motif de refus opposé à la portabilité des données personnelles : le Data Act pose donc qu’il ne doit pas non plus être un obstacle à la portabilité des données générées, charge aux entreprises qui s’échangeront ces données d’aménager entre elles, y compris par contrat, les conditions de protection du secret d’affaires pour éviter qu’il soit divulgué au-delà du tiers destinataire.

Retour au sommaire

L’encadrement des flux transfrontaliers

Autre problématique traitée par le Data Act, et autre adhérence avec le RGPD : la protection des données dans le cadre des flux transfrontaliers. A l’instar du RGPD qui a posé des exigences pour que ne puissent être transférées des données personnelles en dehors du territoire de l’Union Européenne qu’à la condition qu’existent des garanties juridiques fortes (clauses contractuelles types, règles contraignantes d’entreprise), le Data Act rappelle que les transferts des données générées ne doit pas non plus exposer celles-ci à un risque d’accès par les autorités étrangères (qui ne seraient pas liées aux pays européens par un accord international, comme par exemple un traité d’entraide judiciaire).

Or, l’évolution récente du RGPD a montré qu’il s’agissait d’une question épineuse, depuis la décision de la CJUE du 16 juillet 2020 dite « Schrems II » qui a invalidé le privacy shield américain, et qui a fragilisé les autres modes habituels d’encadrement des flux transfrontaliers. Suite à cette décision, le CEPD avait affirmé qu’il appartenait aux entreprises qui déclenchent de tels flux, de s’assurer de la compatibilité des lois du pays d’importation avec les garanties essentielles européennes et, le cas échéant, de déployer des mesures additionnelles (techniques, organisationnelles ou contractuelles) pour renforcer leur protection et les mettre à l’abri d’une divulgation aux autorités étrangères (allusion notamment aux lois américaines relatives au renseignement).

Le Data Act s’inspire très fortement de ces recommandations pour poser qu’en cas de transfert des données générées à l’étranger, dans le cadre de leur nouvelle portabilité, l’entreprise doit vérifier que le droit du pays de destination ne contredit pas les lois européennes et les lois des états-membres, en matière non seulement de protection des données personnelles, mais également en matière de protection de la propriété intellectuelle, du secret d’affaires (encore lui), des engagements contractuels de confidentialité ou encore de protection des « données commercialement sensibles » (soit un concept particulièrement large et susceptible d’interprétation).

Cela accroît encore le champ des réglementations étrangères qui pourraient constituer un obstacle à la transférabilité des données, et alourdit considérablement le poids des vérifications juridiques à effectuer avant de procéder au transfert.

Comme préconisé par le CEPD en matière de données personnelles, l’article 27 du Data Act exige d’entreprise destinataire des données générées recevant une demande d’accès émanant d’une autorité étrangère, qu’elle éprouve cette demande afin de vérifier sa licéité et sa proportionnalité, qu’elle s’assure que la demande est spécifique (ex : la demande ne porte que sur un suspect) et que la décision est susceptible de contestation devant une juridiction du pays tiers compétente en la matière.

Cet article 27 du Data Act impose également aux entreprises de déployer « toutes les mesures techniques, juridiques et organisationnelles raisonnables, y compris les accords contractuels » pour empêcher le transfert ou l’accès des données aux gouvernements tiers, dans le cas où les législations européennes susmentionnées seraient bafouées. Si le Data Act promet de futures lignes directrices, ce point pose actuellement de nombreuses questions quant à la capacité des entreprises européennes pour vérifier la compatibilité légale des transferts de données, exactement comme dans le cadre du RGPD.

Retour au sommaire

Mise à disposition des données au bénéfice des autorités publiques

Enfin, le chapitre V du Data Act innove en posant le principe d’un accès aux données générées au bénéfice des administrations publiques de l’Union ou des états-membres européens, afin de permettre aux pouvoirs publics de prendre des mesures pour le bien commun, notamment en cas d’urgence publique (entendue comme « une situation exceptionnelle ayant une incidence négative sur la population de l’Union, d’un État membre ou d’une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, ou la détérioration substantielle d’actifs économiques dans l’Union ou les États membres concernés », et qui pourra caractériser par exemple des situations de catastrophes naturelles ou des impératifs de sécurité ou de santé publiques) entraînant un « besoin exceptionnel pour les données demandées ».

Le Data Act crée donc à la charge des détenteurs de données (exception faite des micro et petites entreprises) une obligation, en cas de besoin exceptionnel d’utiliser leurs données, de les fournir à l’institution publique qui en fait la demande. Cela impliquera pour l’institution publique de démontrer le besoin exceptionnel, ainsi que la spécificité et la proportionnalité des données demandées, et de préciser le délai dans lequel les données doivent lui être fournies.

Le détenteur de données devra alors s’exécuter (sauf à arguer de l’un des motifs de refus énumérés à l’article 18 du Data Act), en s’efforçant si possible d’en exclure les données personnelles ou de les pseudonymiser. Cette mise à disposition des données issues du secteur privé sera gratuite s’il s’agit pour l’institution publique de répondre à une urgence publique.

Retour au sommaire

Perspectives

En cas de non-respect des futures obligations du Data Act, son article 33 met à la charge des états-membres de définir les sanctions applicables, qui devront être « proportionnées et dissuasives ». Mais ce même article confie d’ores et déjà aux CNIL européennes la faculté de prononcer des amendes administratives identiques à celles du RGPD, qui peuvent donc aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Le Data Act apparaît donc bien comme un « RGPD des données industrielles » en créant de nouvelles obligations à la charge des entreprises. Le Data Act a aussi pour effet de relativiser leur secret d’affaires, et d’annihiler le monopole juridique dont les détenteurs de données générées disposaient jusqu’à présent sur celles-ci.

Ces obligations sont imposées afin de créer les conditions d’un grand marché numérique européen, au sein duquel les données industrielles pourront circuler afin de favoriser la concurrence, l’innovation et l’interopérabilité des services. Certains acteurs redoutent cependant qu’en dépit des affirmations de principe du Data Act sur le respect du secret d’affaires et l’absence de concurrence déloyale, l’accès aux données favorise des actions de reverse engineering permettant aux concurrents du détenteur de données de copier son produit, puisque les données techniques sont étroitement liées aux objets qui permettent de les générer. D’aucun s’interrogent également sur la sécurité des données personnelles, qui pourrait être mise à mal par la systématisation des transferts aux tiers dans le cadre de la portabilité du Data Act.

Si le Data Act répond à un objectif économique légitime et extrêmement ambitieux, on peut regretter, à l’unisson avec notamment le CEPD et le Contrôleur européen de la protection des données, que les interactions entre Data Act et RGPD soient parfois insuffisamment bordées. C’est notamment l’une des raisons qui plaident pour que les CNIL européennes soient désignées comme les autorités compétentes pour encadrer l’application future du Data Act, afin d’assurer sa cohérence avec le RGPD, le DGA ou le DMA.

De plus, certains concepts employés par le Data Act semblent très théoriques et, même en nourrissant la réflexion par des exemples d’objets connectés en fort déploiement à travers l’Union, on peine encore à mesurer l’ensemble des implications juridiques, techniques et économiques. De nombreuses entreprises ont donc exprimé leur inquiétude face à une complexification croissante de leurs obligations réglementaires.

Un délai de 18 mois est actuellement évoqué, à compter de la future entrée en vigueur du Data Act, pour que les entreprises s’y conforment. Ce délai est d’ores et déjà dénoncé comme trop court, compte tenu des bouleversements que ses obligations va introduire dans le fonctionnement de nombreuses entreprises. La discussion continue donc afin que l’esprit de ce texte, favorable aux entreprises européennes, n’aie pas d’effet pervers pénalisant, et reçoive une application cohérente et harmonisée avec les autres grands textes juridiques applicables à l’économique numérique dont le RGPD.

Retour au sommaire

Notes

[1] Considérant 45 : « Les coûts directs liés à la mise à disposition de données sont les frais encourus pour la reproduction, la diffusion par voie électronique et le stockage des données, mais pas pour la collecte ou la production des données ».

[2] Le droit français adopte une définition très voisine à l’article L. 151-1 du Code de commerce, évoquant une information qui « 1° n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité; 2° revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret; et 3° fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

Responsabilité d’OVH suite à l’incendie survenu dans ses datacenters : Bis repetita

Posted on avril 4, 2023avril 4, 2023 by DS_Kenya

Par jugement du 9 mars 2023, le Tribunal de commerce de Lille a, à nouveau, condamné OVH à indemniser un client – la société BLUEPAD – victime de l’incendie qui s’est déclaré en mars 2021 dans ses datacenters strasbourgeois.

Dans le droit fil de sa décision rendue le 26 janvier dernier, le Tribunal a d’abord considéré que la problématique de la localisation des serveurs du client était entrée dans le champ contractuel, de sorte qu’au regard des informations fournies par OVH, cette dernière s’était contractuellement engagée à héberger le premier serveur de la société BLUEPAD dans son datacenter SBG1 et le second serveur (contenant les sauvegardes) au dans le datacenter SBG2.

Or, il se trouve qu’en réalité, les deux serveurs étaient situés dans le même local, ce qui caractérise une faute imputable à OVH ayant provoqué la perte des données du client. Et le Tribunal de souligner que « cette situation n’aurait pu se produire si les deux serveurs étaient dans ses datacentres distincts comme l’avait indiqué la société OVH ».

Les juges lillois ont ensuite jugé qu’OVH n’est pas fondée à invoquer la clause d’exclusion de responsabilité pour cas de force majeure.

Pour écarter l’effet exonératoire de la force majeure, le jugement retient simplement que les différents préjudices subis par la société BLUEPAD sont la conséquence directe de la faute commise par OVH dans la localisation du serveur (les deux serveurs étaient localisés dans le datacenter SBG2, alors qu’ils auraient dû être localisés dans des datacenters séparés, comme l’indiquaient les documents contractuels ainsi que la console de gestion) et non de l’incident survenu sur le site OVH de Strasbourg.

Là où le premier jugement du 26 janvier 2023 s’appuyait sur les dispositions de l’article 1170 du Code civil pour déclarer non écrite la clause de force majeure, celle-ci ayant pour effet de libérer le prestataire de ses engagements, à savoir « réaliser les copies de sauvegarde et les mettre en sécurité » au moment précis où ceux-ci se révèlent nécessaires et utiles pour le client ; la présente décision écarte l’effet exonératoire de la force majeure en relevant simplement que la situation préjudiciable découle directement de la faute commise par OVH (le fait d’avoir mis les deux serveurs du client dans le même datacentres) et non de la survenance de l’incendie.

Enfin, le jugement a écarté l’effet de la clause limitative de responsabilité du contrat OVH. Reprenant le raisonnement suivi dans l’espèce ayant donné lieu au jugement du 26 janvier dernier, les juges lillois ont, par application de l’article 1171 du Code civil et après avoir qualifié le contrat d’OVH de contrat d’adhésion soustrait à toute négociation, déclaré la clause limitative de responsabilité non écrite aux motifs qu’elle revient à limiter la responsabilité du prestataire à une somme qui ne saurait dépasser 679,09€, ce qui est de nature à « transférer le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière » et à créer ainsi « un déséquilibre significatif au contrat ».

Ainsi, le Tribunal a condamné OVH à payer à la société BLUEPAD la somme totale de 144 836,69€ en réparation des différents préjudices invoqués.

Incendie dans ses datacenters strasbourgeois : la responsabilité contractuelle d’OVH est engagée

Posted on mars 6, 2023mars 6, 2023 by DS_Kenya

Par décision du 26 janvier 2023, le Tribunal de commerce de Lille a, au terme d’une analyse détaillée et circonstanciée de la documentation contractuelle et des circonstances de l’espèce, condamné la société OVH à indemniser l’un de ses clients du préjudice subi à la suite de l’incendie survenu dans la nuit du 9 au 10 mars 2021 dans ses datacenters situés à Strasbourg et ayant entrainé la perte des données de sauvegarde qu’elle s’était contractuellement engagée à préserver.

L’intérêt de ce jugement est triple.

Sur la localisation des sauvegardes et la faute commise par OVH

La décision est d’abord intéressante car elle retient la responsabilité contractuelle d’OVH « du fait de son manquement contractuel à la réalisation des sauvegardes de son serveur ».

La responsabilité d’OVH a été retenue, en l’espèce, parce qu’elle était contractuellement tenue de réaliser des sauvegardes automatiques des données hébergées sur ses serveurs dans un espace de stockage physiquement isolé du serveur principal, de sorte qu’en cas de perte de données du serveur principal, le client puisse restaurer les données depuis les sauvegardes.

Dès lors, en stockant les trois réplications de sauvegardes au même endroit que le serveur principal, OVH n’a pas respecté ses obligations contractuelles et le client est donc bien fondé à demander la réparation des préjudices résultant de ce manquement.

Le Tribunal a en revanche écarté la qualification de faute lourde à l’égard de la sécurité anti-incendie du site de Strasbourg, relevant que « s’il est surprenant et inhabituel que la SAS OVH ait choisi de construire une partie de son datacenter de Strasbourg avec des containers maritimes recyclés et que ces derniers ne comportent pas de système d’extinction automatique », il n’est pas démontré que de tels choix ont « un lien de causalité avec l’incendie » ou encore qu’ils « enfreignent (…) la loi ou règlementation ».

Au contraire, selon le Tribunal, il ressort des pièces produites par OVH que « cette dernière a pris les mesures de précaution d’usage contre l’incendie », de sorte que la qualification de faute lourde est écartée en l’espèce.

Sur la neutralisation de la clause de « Force majeure » par application de l’article 1170 du Code civil

L’intérêt de la décision réside ensuite dans le sort réservé par les juges lillois à la notion de force majeure.

En l’espèce, le contrat OVH prévoyait une liste d’événements et/ou circonstances – parmi lesquels « les incendies (…) les inondations et explosions, ainsi que les coupures d’électricité en dehors du contrôle de la Partie affectée » – pré-qualifiés comme étant constitutifs de cas de force majeure.

Or, comme le souligne le Tribunal, du fait de sa rédaction, il résulte d’une telle clause qu’« en cas de sinistre, la SAS OVH n’est (…) jamais tenue de réaliser sa mission au moment où, pourtant, celle-ci est nécessaire ».

En effet, d’un point de vue opérationnel, la réalisation des copies de sauvegarde n’a d’intérêt pour le client qu’à la survenance d’un sinistre, ce dernier pouvant se reposer, en cas de sinistre, sur les sauvegardes pour restaurer les données.

Dès lors, une clause de force majeure qui a pour effet de libérer un prestataire de ses engagements, à savoir « réaliser les copies de sauvegarde et les mettre en sécurité » au moment précis où ceux-ci se révèlent nécessaires et utiles pour le client contredit l’essence même de l’obligation.

Dit autrement, une telle clause a pour effet de vider le contrat de sa principale obligation, et doit donc, par application de l’article 1170 du Code civil, être jugée non écrite.

Tel est le raisonnement circonstancié qu’a suivi le Tribunal pour neutraliser la clause 7.7 « Force majeure » du contrat OVH, déclarant celle-ci « non écrite ».

Sur la neutralisation des effets de la clause limitative de responsabilité par application de l’article 1171 du Code civil

Enfin, le jugement revêt un intérêt lié à la clause limitative de responsabilité prévue par le contrat OVH.

A nouveau, suivant un raisonnement didactique et après une analyse fouillée de la documentation contractuelle, le Tribunal a, par application de l’article 1171 du Code civil (« toute clause non négociable, déterminée à l’avance par l’une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite »), écarté le jeu de la clause limitative de responsabilité insérée au contrat.

Les juges lillois ont en effet déclaré cette clause non écrite aux motifs que, telle que pré-rédigée par OVH, celle-ci conduit in fine à limiter sa responsabilité à une somme plafonnée à 1 800,48 euros… ce qui est de nature à créer « une véritable asymétrie entre les obligations de chacun (….), cette clause transférant le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière ».

Par ce jugement, le Tribunal rappelle que les clauses aménageant la responsabilité en cas de manquement contractuel doivent tenir compte du contexte opérationnel et de la nature particulière des prestations concernées, sous peine d’être invalidées, et ce d’autant plus lorsqu’il s’agit d’un contrat d’adhésion.

Néanmoins et comme souvent, la question se pose en des termes différents selon que l’on se place du côté du client ou de celui du prestataire.

En effet, là où le client pourrait, en cas de litige, tirer profit d’une qualification en contrat d’adhésion, par l’invalidation de clauses créant un déséquilibre significatif entre les droits et obligations des parties, il pourrait au contraire être opportun pour le fournisseur d’ouvrir des négociations plutôt que d’imposer la signature d’un contrat-type (et donc d’adhésion) dont certaines clauses, par construction non négociées, pourraient, dans le cadre d’un contentieux, se révéler inadaptées aux réalités opérationnelles et financières du projet concerné et donc être déclarées non écrites.

Responsabilité contractuelle – faute lourde (non) Contrats d’adhésion – Clause limitative de responsabilité (exclusion) – clause de force majeure (neutralisation)

Comment vérifier que votre site internet respecte bien le RGPD ?

Posted on juillet 28, 2022juillet 28, 2022 by DS_Kenya

Les points clés et conseils

Aujourd’hui, ne pas avoir de site internet pour une entreprise n’est pas concevable et les enjeux business liés aux sites internet sont colossaux : acquisition de nouveaux clients, e-commerce, réputation… Les sites internet sont les vitrines des entreprises, un socle essentiel pour le développement commercial d’une marque. Alors, quelles sont les actions de base à mettre en place pour respecter le RGPD ? Comment rassurer ses prospects grâce à la protection des données ?

S’ils sont essentiels pour l’activité, les sites internet sont l’un des principaux points de collecte et de traitement des données des utilisateurs et doivent donc faire l’objet d’une attention toute particulière au regard du RGPD. Les entreprises sont parfois tentées de collecter un maximum d’informations sur les utilisateurs et consommateurs sur leur site internet pour des besoins stratégiques (par exemple, créer un compte client et connaître leurs préférences, leur transmettre de la communication commerciale, etc…) Les sites internet sont également les points de dépôts de cookies et traceurs qui permettent ensuite de faire de la publicité en ligne, de mieux cibler les comportements des utilisateurs, de relancer des visiteurs déjà venus sur le site internet, etc.

Ne pas mettre son site en conformité au RGPD peut être passible d’une amende de 20 millions d’euros ou de 4% du chiffre d’affaires annuel si l’autorité nationale de protection des données (en France, la « CNIL ») estime, par exemple, que les droits des personnes concernées ne sont pas respectés, ou encore qu’un transfert de données hors UE est réalisé sans respecter les formalités nécessaires. Au-delà de la sanction financière, une sanction ou ne serait-ce qu’une mise en demeure rendue publique pourrait entacher l’image de marque de l’entreprise et affecter sa compétitivité. Des entreprises ont d’ailleurs déjà été sanctionnées comme ce fût le cas de l’entreprise Spartoo suite à plusieurs manquements.

Par ailleurs, l’autorité de protection pouvant contrôler les sites internet à distance, sans avertir son éditeur, le rendre conforme au RGPD est donc primordial.

Quelques principes simples permettent de vérifier que votre site internet est en conformité au RGPD.

Vérifiez que vous collectez le consentement des utilisateurs correctement

Le dépôt de cookies et de traceurs est un des points les plus importants pour la conformité RGPD de votre site et est l’un des manquements les plus sanctionnés par la CNIL ces deux dernières années. Les CMP permettent à l’utilisateur de donner son accord pour la collecte et le traitement de ses données et de savoir à qui sont transmises ses données (outil de CRM, réseaux sociaux, outils analytiques…).

Afin de collecter le consentement de vos utilisateurs, vous pouvez utiliser une solution dite de « Consent Manager Platform » (ou « CMP) qui permet d’intégrer un widget sur votre site qui va informer les utilisateurs sur les cookies et traceurs déposés, et leur permettre de consentir à leur dépôt (lorsque nécessaire). Le widget de consentement doit détailler à quoi vont servir les cookies et traceurs déposés, et permettre au visiteur de sélectionner lesquels il accepte, et lesquels il refuse. Ce widget doit être accompagné d’une « cookie policy » qui détaille les cookies déposés, et leurs propriétaires.

Les entreprises ont, d’ailleurs, bien compris l’importance de mettre en conformité leur gestion des cookies car près de 67% des entreprises interrogées dans le cadre du Baromètre RGPD 2022 de Data Legal Drive ont intégrés une Consent Management Platform à leurs sites internet.

Vérifiez votre politique de confidentialité

La politique de confidentialité de votre site est souvent considérée comme la carte d’identité de la conformité RPGD de votre entreprise et de votre site Internet.

Cette politique répond au droit à l’information des utilisateurs sur leurs données et doit être claire, tacite, transparente et accessible.

Elle est l’expression des traitements que vous réalisez, de leurs modalités (catégories de données, destinataires, durées de conservations, etc.) ainsi que des droits qu’ont les utilisateurs sur leurs données. La politique de confidentialité n’est pas un document fixe et intemporel. Il faut la publier sur son site, faire preuve de transparence et alimenter ainsi la relation de confiance avec vos prospects et vos clients.

Téléchargez le modèle de politique de confidentialité personnalisable rédigé par Data Legal Drive.

Lors d’une collecte de données, qu’elle soit directe ou indirecte, l’utilisateur doit en être informé et vous devez garantir un niveau d’informations suffisant.

En plus de leur droit à l’information, les utilisateurs de votre site ont d’autres droits associés à leurs données : droit d’accès, droit de rectification, droit à l’oubli, droit de portabilité et droit d’opposition. Pour pouvoir exercer ces droits, vous devez donner la possibilité aux utilisateurs de vous contacter via une adresse email ou par courrier ou encore via un formulaire de contact dédié.

Bien qu’il soit tentant de collecter un maximum de données pour des besoins analytiques, il est important de ne collecter que les données strictement nécessaires, Cela répond au principe de minimisation de la collecte de données qui est l’une des pierres angulaires du RGPD.

Mettre son site en conformité au RGPD est essentiel et est l’un des manquements les plus sanctionnés en volume ces dernières années.

Les sites internet des entreprises sont également un des moyens pour les autorités nationales de contrôle de vérifier les premiers éléments de votre conformité RGPD. En effet, si votre site est la vitrine de votre entreprise aux yeux de vos consommateurs, il est également un moyen fréquemment utilisé pour les autorités de vérifier votre sensibilité au RGPD. Une des pratiques les plus courantes des agents des autorités de contrôle est de tester l’intégralité d’un parcours client afin de voir si vous êtes en conformité. Il est donc essentiel de respecter ces quelques principes clés.

Hébergez vos données en Europe

Privilégiez l’hébergement des données collectées sur votre site Internet et de vos serveurs en Europe vous permet de vous assurer d’un niveau de protection plus important pour les données personnelles et vous épargne des formalités juridiques supplémentaires En effet, votre prestataire d’hébergement européen est contraint règlementairement de respecter les standards de protection européen et notamment le RGPD. Il est recommandé de réaliser une évaluation de son prestataire d’hébergement préalablement à son recours afin de vous assurer que le niveau de conformité au RGPD qu’il fournit est suffisant et vous permet, par extension, de protéger les données de vos utilisateurs.

Vérifiez la sécurité de votre site internet

La conformité au RGPD doit être associée à un niveau de sécurité web irréprochable. La sécurité d’un site Internet passe, par exemple, par la réalisation d’une analyse de vulnérabilité et de tests d’intrusion afin d’identifier les points faibles de la sécurité informatique, du point de vue réseau ou dans les systèmes d’information.

Il est également nécessaire, lorsqu’il est possible de se connecter à un compte client, que les accès soient protégés, par un identifiant et mot de passe suffisamment robuste.

RGPD et cybersécurité sont intimement liés. En effet, les sites internet peuvent être victimes de cyberattaques et celles-ci sont des sources de violations de données. Ces violations de données peuvent devoir être notifiées à la CNIL en fonction de leur ampleur et du type de données concerné et les titulaires des données faisant l’objet de la violation de données doivent dans certains cas être également avertis. Ne pas assurer un niveau de sécurité suffisant met donc en péril votre conformité au RGPD mais également la confiance que les utilisateurs ont en votre entreprise, vos produits et vos services.

Se mettre en conformité au RGPD peut sembler coûteux et contraignant mais au même titre que votre site internet est votre vitrine commerciale, il est également un gage de confiance pour les utilisateurs qui sont de plus en plus sensibilisés et attentifs à l’utilisation faite de leurs données. Assurer un niveau de conformité au RGPD satisfaisant ne doit donc pas être vu comme une contrainte mais bel et bien comme un avantage concurrentiel et un levier de confiance.

Article rédigé par les équipes de Data Legal Drive

Data Legal Drive est le Leader des logiciels de Compliance.

N°1 français des logiciels de conformité RGPD, il permet à toutes les entreprises et collectivités de protéger facilement leurs données personnelles tout en respectant les règlementations européennes.

Encadrement des flux internationaux de données – Livre Blanc

Posted on novembre 19, 2021novembre 29, 2021 by DS_Kenya

Depuis l’affaire Schrems II tranchée par la CJUE le 16 juillet 2020, et les recommandations subséquentes du Comité Européen de Protection des Données, les flux transfrontaliers de données personnelles confrontent les entreprises européennes à de graves incertitudes juridiques, et à des diligences complexes qu’il convient de discuter avec leurs partenaires et prestataires (notamment les grands cloud providers du marché).

DS Avocats vous propose un état des lieux juridique des flux internationaux des données personnelles.

Entre influence internationale et spécificité locale

Protection des données personnelles des mineurs

Exigences relatives aux transferts transfrontaliers de données personnelles

Conséquences pour les entreprises

Le RGPD et le DPDPA

Présentation du DPDPA

PDPL et RGPD

Exigences en matière de transfert transfrontalier de données

Présentation de la PDPL

Brève présentation de la protection des données personnelles en Chine

Dernières mises à jour sur la protection des données en Chine

Gestion du consentement

CBDT

Reconnaissance faciale

Audit des données personnelles

Résumé du PIPL

Détails des sanctions administratives en cas de violation de la PIPL

Le RGPD et le PDPA

Présentation du PDPA

Sommaire

Contexte et objectifs du Data Act

Champ d’application du Data Act

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Adhérences avec le RGPD

Montée en puissance de l’exigence d’interopérabilité

La problématique du secret d’affaires

L’encadrement des flux transfrontaliers

Mise à disposition des données au bénéfice des autorités publiques

Perspectives

Notes

Sur la localisation des sauvegardes et la faute commise par OVH

Sur la neutralisation de la clause de « Force majeure » par application de l’article 1170 du Code civil

Sur la neutralisation des effets de la clause limitative de responsabilité par application de l’article 1171 du Code civil

Les points clés et conseils

Vérifiez que vous collectez le consentement des utilisateurs correctement

Vérifiez votre politique de confidentialité

Hébergez vos données en Europe

Vérifiez la sécurité de votre site internet

Compétences

Secteurs

Monde

Information

Compétences

Secteurs

Monde

África

América

Asia

Europa

Information

DS Avocats dans le monde