Bienvenue sur la Grande Bibliothèque du Droit ! Ceci est une bibliothèque contributive. Vous pouvez nous proposer des articles.


La Grande Bibliothèque du Droit est une bibliothèque juridique en ligne, en accès libre et gratuit, créée par le Barreau de Paris.

Les lecteurs et contributeurs ne doivent pas oublier de consulter les Avertissements juridiques.

Welcome to the Grand Law Library ! This is a participatory e-library. You can send us your publications


Modifications

Aller à : navigation, Rechercher
aucun résumé de modification
La Cour a indiqué qu’un moteur de recherche qui permettait de trouver des informations émises par des tiers, qui les triait, les stockait et les mettait à disposition des internautes selon un ordre de pertinence devait être qualifié de traitement de données à caractère personne dès alors que toutes ces informations contiennent des données à caractère personnel.
 
 
= Transfert des données à caractère personnel vers des pays tiers (hors de l’Union Européenne et du champ d’application du règlement RGPD) =
 
''''' ☛ <u> Arrêt Schrems, Cour réunie en Grande chambre, 6 octobre 2015 '''''</u>
 
Un étudiant autrichien en droit s’était plaint, auprès de l’autorité Irlande de protection des données, que ces dernières, récoltées par Facebook Irlande étaient envoyées à des serveurs américains de la firme. Selon lui, les lois américaines ne permettaient pas d’obtenir une protection suffisante des données (en écho aux affaires révélées par Edward SNOWDEN, quelques mois plus tôt).
 
Sa plainte est portée devant la Commission Européenne, qui la rejette au motif que le régime dit de la « sphère de sécurité » (« Safe Harbor ») mis en place par l’Europe offre un niveau suffisant de protection pour les données transférées des usagers.
 
La Cour de Justice de l’Union Européenne est finalement interrogée, par la Haute Cour d’Irlande, sur la capacité de la Commission à constater qu’un pays tiers assure un niveau de protection de données adéquat.
 
La Cour invalide finalement la décision de la Commission, et ce dans son intégralité.
Elle explique tout d’abord que la Commission devait se charger constater, de manière effective, que le pays tiers assurait un niveau de protection équivalent à celui qui était garanti dans le droit de l’Union Européenne.
 
De plus, la Cour indique que la décision de la Commission ne saurait « ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8 paragraphe 3 de la Charte » et que « les autorités nationales de contrôle, saisies par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par [la] directive ».
 
Enfin, sur le fond et sur la protection effective des données personnelles dans un espace hors de l’Union Européenne, la Cour précise que « n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données ».
 
Dans cet arrêt, la Cour de Justice de l’Union Européenne infirme donc la position de la Commission face au traitement des données personnelles outre Atlantique et fait ainsi tomber le « Safe Harbor ».
 
 
''''' ☛ <u> Avis 1/15 (Accord PNR, Union Européenne-Canada), 26 juillet 2017 '''''</u>
 
En 2014 était signé un accord entre l’Union Européenne et le Canada ayant pour objet le transfert et le traitement des données de dossiers de passagers (accord « PNR »). Le transfert des données s’avérait systématique et continu et concernait l’ensemble des passagers aériens de l’Union Européenne. Le transfert était destiné aux autorités canadiennes et éventuellement à d’autres autorités et pays tiers.
 
Dans ces données, étaient transférés le nom, les coordonnées du passager mais aussi des informations requises au moment de la réservation (dates du voyage, itinéraire, groupes de personnes englobées par le même numéro de réservation, informations sur les moyens de paiement et de facturation, bagages etc.).
 
Le projet était passé du Conseil de l’Union européenne au Parlement qui avait, lui, demandé à la Cour de Justice de vérifier si l’accord était conforme au droit de l’Union, notamment avec les exigences de respect de la vie privée et de protection des données personnelles.
 
Dans cet avis émis en 2017, la Cour a estimé que l’accord ne pouvait pas être conclu en l’état, du fait d’un certain nombre d’incompatibilité entre les dispositions et les droits fondamentaux consacrés par l’Union.
 
Tout d’abord elle relève que le transfert de ces données constitue une ingérence, à la fois à l’article 7 qui est celui prévoyant le droit au respect de la vie et familiale, qu’à l’article 8 qui consacre la protection des données à caractère personnel.
 
Elle souligne également que, si prises isolément, certaines données ne semblaient pas dévoiler des informations trop personnelles sur les individus, une fois prises ensemble, elles pouvaient notamment révéler un itinéraire de voyage, la consistance d’un groupe familial ou amical, et même les habitudes ou préférences alimentaires et de santé de certaines personnes.
 
Dès lors, bien que certaines ingérences trouvent leur justification dans la recherche d’une garantie de sécurité publique en luttant contre les infractions terroristes (objectif d’intérêt général), plusieurs dispositions dépassaient le cadre strictement nécessaire et restaient peu claires et imprécises (notamment le risque d’un traitement contraire au principe de non- discrimination qui nécessiterait alors une justification précise, solide et tirée de motifs graves).
 
La Cour a également souligné la durée excessive (5 ans) de conservation des données pour des passagers aériens pour lesquels un risque en matière de terrorisme ou de criminalité transnationale grave n’a pas été identifié à leur arrivée au Canada et jusqu’à leur départ de ce pays.
 
Enfin, la Cour rappelle qu’en matière de traitement de données, l’individu qui y est doit pouvoir s’assurer que ses données personnelles sont traitées de manière exacte et licite. Pour se faire, il doit donc disposer d’un droit d’accès à ses données traitées.
 
Ainsi, la Cour indique que dans l’accord PNR, les passagers doivent être informées du transfert et de l’utilisation dès lors que cette information ne s’oppose pas à la bonne conduite des enquêtes menées par les autorités publiques.
 
''''' ☛ <u>Arrêt Commission / Facebook Irlande / Schrems, 16 juillet 2020 '''''</u>
 
Faisant suite à la première décision rendue en sa faveur (Arrêt Schrems, Cour réunie en Grande chambre, 6 octobre 2015), Max Schrems, un étudiant autrichien, a une nouvelle fois saisi la justice irlandaise, considérant encore que ses données n’étaient pas en sécurité, malgré le Privacy Shield et les clauses contractuelles types dont il était fait usage entre les pays tiers et l’Union Européenne. Devant la juridiction, il exigeait l’interdiction du transfert de ses données personnelles, de l’UE vers les États-Unis.
A nouveau, une question préjudicielle est adressée à la Cour de justice de l’UE, qui se voit interrogée sur la validité de ces deux dispositifs.
 
La Cour indique d’abord que dès lors qu’un transfert de données personnelles a lieu dans un but commerciales, et que ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté par les autorités américaines, il y a nécessairement application du RGPD.
Or, la Cour considère que l’accès et l’utilisation des données personnelles réglementées par les autorités publiques américaines, ne répondent pas aux exigences de protection édictées par le RGPD (pas de limitation au strict nécessaire et donc non-respect du principe de proportionnalité).
 
Finalement, le Privacy Shield est invalidé en raison de son niveau de protection insuffisant.
 
S’agissant des clauses contractuelles, la Cour pose la nécessité qu’il existe des mécanismes permettant d’assurer que le niveau de protection requis par le RGPD soit bien respecté.
Si de tels mécanismes n’existent pas, les transferts de données personnelles doivent être suspendus voire même interdits.
 
Sous réserve de cette condition, la Cour de Justice confirme donc la validité des clauses contractuelles, dispositions prévues par la Commission européenne.
7 710
modifications

Menu de navigation