CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause. continuer la lecture

CJUE : le Privacy Shield européen est invalidé, et maintenant, on fait quoi ?

C’est un nouveau tremblement de terre dans le monde la protection des données. Après avoir invalidé le Safe Harbour en 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé son successeur, le Privacy Shield. Ci-dessous, une analyse de l’arrêt C-311/18, qui semble s’apparenter à une victoire à la Pyrrhus, et de ses conséquences pratiques. Rappel de la raison d’être du Privacy Shield Mécanisme de transfert de données à l’étranger En droit de la protection des données, il est illégal de transférer des données personnelles à l’étranger sans mécanisme de transfert ou dérogation. continuer la lecture

CJUE : un ayant droit ne peut réclamer l'adresse email ou IP d'un pirate à YouTube

La Cour de Justice de l’Union européenne (CJUE) a rendu aujourd’hui son arrêt dans la cause C-264/19. Il s’agissait d’un renvoi préjudiciel introduit par le Bundesgerichtshof (Cour fédérale de justice en Allemagne ; l’équivalent suisse du Tribunal fédéral) dans l’affaire opposant Constantin Film Verleih GmbH à YouTube LLC et Google Inc. Faits Constantin Film Verleih GmbH dispose en Allemagne des droits d’exploitation exclusifs notamment sur les œuvres cinématographiques “Parker” et “Scary Movie 5”. continuer la lecture

CJUE : le placement de cookies requiert le consentement actif des internautes

Après avoir tranché deux cas concernant le droit à l’oubli applicable aux moteurs de recherche (voir cet article), la Cour de justice de l’Union européenne (CJUE) vient de rendre son jugement (C-673/17) dans une affaire concernant l’obligation d’obtenir le consentement pour le placement de cookies sur les terminaux des internautes. Cadre juridique Ce jugement concerne l’application de la directive 2002/58 du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ou directive vie privée et communications électroniques), la directive 95/46 du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et, bien qu’il ne fût pas applicable à l’époque du renvoi préjudiciel, du règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données, RGPD). continuer la lecture