Doutrelepont et associés : avocat droit des médias / avocat médias / avocat droits d'auteurs / avocat auteurs / avocat droit des brevets / avocat brevets / avocat droit des marques / avocat droit européen / avocat européen / journalisme, presse, medias, création, oeuvres, brevet, marque, Europe, Union européenne, Commission européenne, Parlement européen, vie privée, nouvelles technologies, droit des nouvelles technologies, droit à la vie privée, partenariat culturel, public privé, culture, fiscalité.


Vous êtes ici: www.doutrelepont.be » News

http://www.rechtsanwalt.com/kanzlei/doutrelepont-et-associes/

News


FACEBOOK CONDAMNE A NE PLUS TRACER LES DONNEES PERSONNELLES DES INTERNAUTES NON MEMBRES DE SON RESEAU SOCIAL

Le 10 Nov. 2015 |

Le Tribunal de première instance de Bruxelles, statuant en référé, a condamné hier Facebook dans le cadre d’une affaire relative à la protection des données à caractère personnel.

Dans son ordonnance du 9 novembre 2015, le Tribunal a interdit à Facebook, sous peine d’astreinte, de tracer les données personnelles des internautes qui ne sont pas inscrits sur le réseau social.

Cette décision fait suite à l’action introduite par la Commission de la protection de la vie privée qui invoquait notamment la violation de la loi relative à la protection de la vie privée du 8 décembre 1992.

En application de cette loi, il est impératif d’obtenir le consentement indubitable d’une personne préalablement à la collecte et au traitement automatique de ses données à caractère personnel, à savoir de toute donnée permettant de l’identifier (son nom, son adresse IP, sa localisation, etc.).

En l’espèce, le Tribunal a condamné Facebook pour l’utilisation du cookie «Datr ».
Ce cookie permet de stocker les données personnelles des internautes comme leur adresse IP, leur système d’exploitation, et ce, qu’ils soient ou non membre du réseau Facebook. Ainsi, lorsque les internautes consultent le site Facebook ou toute autre plateforme possédant un lien renvoyant vers le réseau social, le cookie « Datr » stocke et conserve leurs données durant deux ans.

Le Tribunal a considéré que les données ainsi collectées par Facebook via les cookies « Datr » constituent des données à caractère personnel dès lors qu’elles permettent d’identifier les internautes même lorsqu’ils ne sont pas inscrits sur Facebook. Facebook, est dès lors soumis à la loi du 8 décembre 1992 et est tenu d’obtenir le consentement indubitable des internautes avant toute collecte ou traitement de leurs données personnelles.

En l’espèce, Facebook ne pouvait se prévaloir d’un tel consentement dès lors que les données concernaient des internautes non inscrits au réseau social.

Partant, le Tribunal a considéré que Facebook viole la loi du 8 décembre 1992 et lui a interdit de tracer les données à caractère personnel des internautes qui ne sont pas membres de son réseau.

Il faut relever que ce jugement est provisoire dès lors qu’il a été rendu au terme d’une procédure en référé dans le cadre de laquelle le juge statue sur l’apparence du droit et ne tranche pas au fond. En outre, Facebook a annoncé qu’il fera appel du jugement.

Si cette décision venait à être confirmée, elle constituerait un précédent et remettrait en cause le modèle publicitaire de Facebook en Europe.

En l’état, la décision du Tribunal de première instance pourrait, par ailleurs, inspirer les autorités de contrôle de la vie privée des autres États membres compte tenu de l’harmonisation qui existe au niveau européen en la matière.



Tags: Facebook, protection de la vie privée, Cookies, Datr cookie, données à caractère personnel,




SUITES DE L'AFFAIRE SNOWDEN: LA GRANDE CHAMBRE DE LA CJUE INVALIDE LA DECISION DE LA COMMISSION EUROPEENNE SUR LES TRANSFERTS DE DONNEES A CARACTERE PERSONNEL DE L'UE VERS LES USA

Le 7 Oct. 2015 |

Dans l’affaire Maximillian Schrems / Data Protection Commissioner (C-362/14), la Cour a invalidé la décision 2000/520 de la Commission européenne considérant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées et rappelle le rôle majeur des autorités nationales de contrôle ainsi que leur indépendance absolue dans l’appréciation du caractère adéquat de la protection de ces données.

L'arrêt rendu par la Grande Chambre de la Cour confirme, en substance, l'avis exprimé précédemment par l'Avocat général Yves Bot dans ses conclusions présentées le 23 septembre 2015 (http://doutrelepont.be/news/vieuw/122).

Rétroactes

Maximillian Schrems, ressortissant autrichien abonné au réseau social Facebook, s’est plaint auprès du Commissaire irlandais à la protection des données du fait que ses données personnelles fournies à Facebook soient transférées, à partir de la filiale irlandaise de Facebook, sur des serveurs situés sur le territoire des Etats-Unis. Il faisait valoir que le droit et les pratiques des États-Unis n’offraient aucune protection réelle des données conservées sur le territoire américain.

Sa plainte s’appuie sur les révélations d’Edward Snowden de 2013 quant aux activités des services de renseignement américains et de la NSA en particulier. Il ressort de ces révélations que la NSA aurait établi un programme dénommé « PRISM » grâce auquel elle aurait obtenu un accès libre aux données de masse stockées sur des serveurs situés aux États-Unis, possédés ou contrôlés par une série de sociétés actives dans le domaine de l’Internet, telles que Facebook USA.

Le Commissaire irlandais à la protection des données a débouté M. Schrems au motif que la Commission avait constaté dans sa décision 2000/520 que les États-Unis assurent, dans le cadre du régime de la sphère de sécurité (« Safe Harbor »), un « niveau de protection adéquat » aux données à caractère personnel transférées.

Les questions préjudicielles

Saisie de l’affaire, la High Court of Ireland (Haute Cour de Justice irlandaise) a posé à la Cour les questions préjudicielles suivantes :

1. Le Commissaire à la protection des données est-il effectivement lié par la décision «d’adéquation » de la Commission dans le traitement d’une plainte qui argue un niveau de protection non adéquat ?
2. Si tel n’est pas le cas, le Commissaire doit-il mener sa propre enquête en s’instruisant de la manière dont les faits ont évolué depuis la première publication de la décision de la Commission ?

Appréciation de la Cour

La Cour réaffirme l’indépendance des autorités nationales de contrôle. Elle rappelle que la décision de la Commission européenne ne saurait avoir pour effet d'annihiler ou de réduire les pouvoirs qui leur sont expressément reconnus par l'article 8, paragraphe 3, de la Charte des droits fondamentaux de l’Union européenne ainsi que par l'article 28 de la directive 95/46/CE relative à la protection des données à caractère personnel.

La Cour, à l’instar de son Avocat général, requalifie les questions préjudicielles d’interprétation en question d’appréciation de la validité la décision 2000/520 afin de fournir une réponse complète à la Haute Cour de Justice irlandaise.

La Cour invalide la décision de la Commission en ce que, d'une part, elle ne délimite pas, avec suffisamment de précision, les dérogations possibles aux principes de la « sphère de sécurité ». L’accès généralisé des services de renseignement américains aux données transférées, telles que le contenu des communications électroniques, constitue une infraction au contenu du droit fondamental au respect de la vie privée consacré à l’article 7 de la Charte.

D'autre part, elle entraîne une violation de la protection juridictionnelle effective dès lors que le justiciable n’a pas la possibilité d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’en obtenir la rectification ou la suppression.

Enfin, la Cour juge que la Commission européenne n’avait pas compétence pour priver les autorités nationales de contrôle des pouvoirs qu’elles tirent de la directive 95/46/CE et de la Charte des droits fondamentaux.

En conséquence, la Cour invalide la décision 2000/520 de la Commission européenne.

Conclusion

L’arrêt de la Cour est d’une importance fondamentale pour la protection des données à caractère personnel.

Elle réaffirme la compétence des autorités nationales de contrôle et, en l’espèce, du Commissaire irlandais à la protection des données, pour examiner les plaintes qui leur sont soumises et, éventuellement, décider s’il convient, en vertu de la directive, de suspendre le transfert des données à caractère personnel, en l’occurrence celui des abonnés européens de Facebook, vers les Etats-Unis dès lors que ces transferts ne s’opéreraient pas dans des conditions de protection adéquate des données.

La Cour rappelle sur base d’une jurisprudence constante que toute ingérence à la protection des données à caractère personnel doit être prévue par une loi et être proportionnée à l’objectif légitime poursuivi.

La Cour invite en ce sens la Commission européenne, dans le cadre des négociations menées actuellement avec les Etats-Unis au sujet des accords commerciaux, à veiller à ce que les ingérences permises par la réglementation américaine soient mieux encadrées.

La Commission européenne devra également tenir compte des exigences imposées par les standards jurisprudentiels dans le cadre de la réforme actuelle sur le paquet « Data protection ».



Sources:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=103468



Tags: droit européen, Cour de Justice de l Union européenne, protection de la vie privée, transfert de données à caractère personnel vers les États-Unis, safe harbor, sphère de sécurité, décision 2000/520/CE,




SUITES DE L’AFFAIRE SNOWDEN : VERS UNE SUSPENSION DES TRANSFERTS DE DONNEES A CARACTERE PERSONNEL DE L’UNION EUROPEENNE VERS LES ETATS-UNIS D’AMERIQUE

Le 30 Sept. 2015 |

Conclusions de l’Avocat général Yves BOT présentées le 23 septembre 2015 dans l’affaire CJUE, Aff. C- 362/14, Maximillian Schrems / Data Protection Commissionner :

Selon les conclusions de M. l’Avocat général Yves BOT, le fait que la Commission européenne considère, dans sa décision 2000/520 du 26 juillet 2000, que les États-Unis assurent une protection adéquate des données à caractère personnel transférées depuis l’Union européenne n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant que les États-Unis n’assurent pas un niveau de protection adéquate aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données.

L’Avocat général invite également la Cour à invalider la décision 2000/520 dans la mesure où celle-ci est entachée de violations des droits fondamentaux, violations dont la gravité aurait du conduire la Commission a en suspendre l’exécution.

Ce dernier rappelle donc à la Commission l’obligation qui pèse sur elle de suspendre l’application de la décision 2000/520 compte tenu des manquements avérés des États-Unis, et ce, alors même qu’elle conduit des négociations avec ce pays tiers en vue de mettre fin à ces manquements.

Les conclusions de l’Avocat général Yves BOT constituent un message clair et retentissant à l’adresse de la Commission européenne, tant en ce qui concerne le processus de réforme du paquet « data protection » que des négociations en cours sur le volet commercial avec les États-Unis d’Amérique.

Reste encore à voir si la Cour fera preuve de la même audace que celle de son Avocat général… affaire à suivre.

Les faits à l’origine de l’affaire peuvent être résumés comme suit : M. Schrems, ressortissant autrichien, est abonné, depuis 2008, au réseau social Facebook. Il est demandé à tous les abonnés de Facebook résidant sur le territoire de l’Union de signer un contrat avec Facebook Irlande qui est une filiale de la société mère Facebook Inc., sise aux États-Unis. Les données des abonnés de Facebook Irlande sont, en tout ou partie, transférées sur des serveurs de Facebook USA, situés sur le territoire des États-Unis, où elles sont conservées.

M. Schrems a déposé plainte, le 25 juin 2013, auprès du Commissaire chargé de la protection des données à caractère personnel, en faisant valoir que le droit et les pratiques des États-Unis n’offrent aucune protection réelle des données conservées sur le territoire des États-Unis. Cette plainte trouve son fondement dans les révélations d’Edward Snowden à partir du mois de mai 2013 au sujet des activités des services de renseignement américains et de la NSA en particulier. Il résulte de ces révélations que la NSA aurait établi un programme dénommé « PRISM » dans le cadre duquel cette agence aurait obtenu un accès libre aux données de masse stockées sur des serveurs situés aux États-Unis, possédés ou contrôlés par une série de sociétés actives dans le domaine de l’Internet, telles que Facebook USA.

La plainte de M. Schrems fut rejetée par le Commissaire, notamment au motif que la décision 2000/520 de la Commission indique que les États-Unis assurent, dans le cadre du régime de la sphère de sécurité, un niveau de protection adéquat aux données à caractère personnel transférées. Dès lors, toute question relative au caractère adéquat de la protection de ces données aux Etats-Unis devrait être tranchée en conformité avec cette décision qui l’empêcherait d’examiner le problème soulevé par la plainte.

Saisie d’un recours contre la décision du Commissaire, la juridiction de renvoi, la Haute Cour de Justice, invite la Cour de Justice de l’Union européenne à préciser les pouvoirs dont disposent les autorités nationales de contrôle lorsqu’elles sont saisies d’une plainte concernant un transfert de données à caractère personnel vers une entreprise établie dans un pays tiers dès lors qu’il est allégué que ce pays tiers ne garantit pas un niveau de protection adéquat aux données transférées, alors même que la Commission européenne a, sur le fondement de l’article 25, paragraphe 6, de la Directive 95/46, adopté une décision reconnaissance le caractère adéquat du niveau de protection assuré par ledit pays tiers.

L’Avocat général Yves Bot invite, en particulier, la Cour à examiner l’article 28 de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lequel harmonise les pouvoirs des autorités nationales de contrôle, à la lumière des articles 7 et 8 de la Charte des droits fondamentaux. Pour mémoire, l’article 7 garantit le droit au respect de la vie priée, tandis que l’article 8 de celle-ci proclame expressément le droit à la protection des données à caractère personnel, ces données devant être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi, avec un droit d’accès et de rectification reconnu, le respect de ces règles étant soumis au contrôle d’une autorité de contrôle.

La position proposée par M. l’Avocat général Yves Bot est particulièrement intéressante, pas seulement parce qu’elle entre en contradiction avec celle de la Commission européenne, mais parce qu’elle rappelle, de jurisprudence constante, l’indépendance absolue des autorités nationales de contrôle et leur rôle de gardiennes des droits et des libertés fondamentaux en matière de protection des données à caractère personnel (notamment CJUE, C-288/12, EU :C :2014 :237, point 53).

M. l’Avocat général estime donc que, pour assurer une protection appropriée des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, les autorités nationales de contrôle doivent être habilités, en cas d’allégations faisant état de violations de ces droits, à mener des enquêtes. Si, à l’issue de telles investigations, ces autorités considèrent qu’il existe dans un pays tiers couvert par une décision d’adéquation des indices sérieux d’atteinte au droit des citoyens de l’Union à la protection de leurs données à caractère personnel, elles doivent pouvoir suspendre le transfert de données vers le destinataire établi dans ce pays tiers.

En conséquence, M. l’Avocat général invite donc la Cour à dire pour droit que l’article 28 de la directive 95/46, lu à la lumière des articles 7 et 8 de la Charte, doit être interprété en ce sens que l’existence d’une décision adoptée par la Commission sur le fondement de l’article 25, paragraphe 6 de cette directive n’a pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données.

L’Avocat général ne s’arrête cependant pas là dans son raisonnement.

Il constate que la plainte déposée par M. Schrems vise à mettre directement en cause la légalité de la décision 2000/520 de la Commission européenne et que la juridiction de renvoi a émis indirectement des doutes sur la validité de celle-ci après qu’elle eut observé que « la garantie offerte par l’article 7 de la Charte et par les valeurs essentielles communes aux traditions constitutionnelles des États membres serait compromise si l’on permettait aux pouvoirs publics d’avoir accès aux communications électroniques de manière aléatoire et généralisée dans devoir fournir une motivation objective fondée sur des raisons de sécurité nationale ou de prévention de la criminalité liées spécifiquement aux individus concernés et sans aucune garantie adéquate et vérifiable ».

M. l’Avocat général rappelle que, dans le cadre de l’instrument de coopération entre la Cour et les juridictions nationales institué par l’article 267 TFUE, la Cour, même exclusivement saisie à titre préjudiciel d’une question d’interprétation du droit de l’Union, peut, dans certaines circonstances particulières, être amenée à examiner la validité de dispositions de droit dérivé.

Il résulte de la jurisprudence de la Cour que les actes des institutions, des organes ou des organismes de l’Union jouissent d’une présomption de validité, ce qui implique que ceux-ci produisent des effets juridiques aussi longtemps qu’ils n’ont pas été retirés annulés, dans le cadre d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité.

L’Avocat général propose donc à la Cour d’examiner, en l’espèce, la validité de la décision 2000/520 de la Commission sous l’angle de la question de savoir si l’accès généralisé et non ciblé des services de renseignement américains aux données transférées est susceptible d’affecter la légalité de ladite décision.

Les conclusions de M. l’Avocat général sont très dures envers la Commission européenne.

Non seulement il considère que la décision 2000/520 viole les droits fondamentaux protégés par les articles 7, 8 et 47 de la Charte, mais que face à un tel constat de violation, la Commission aurait du suspendre l’exécution de sa décision.

Pour l’Avocat général, la décision 2000/520 ne prévoit pas de règles claires et précises encadrant les atteintes aux droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Force est de constater que cette décision et l’application qui en est faite comportent une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire.

En adoptant la décision 2000/520 puis en la maintenant en vigueur la Commission a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la Charte. A cela s’ajoute le constat d’une ingérence non justifiée dans le droit des citoyens de l’Union à un recours effectif protégé par l’article 47 de la Charte.



Sources :

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106fr.pdf

http://curia.europa.eu/juris/document/document.jsf?text=&docid=168421&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=739407




Tags: droit européen, Cour de Justice de l Union européenne, protection de la vie privée, transfert de données à caractère personnel vers les États-Unis, safe harbor, sphère de sécurité, décision 2000/520/CE,




Voir toutes les news


Webmaster : greenpig sprl