La CJUE rappelle les règles sur le principe de minimisation (proportionnalité)

Dans un arrêt rendu le 9 janvier 2025 dans l’affaire C-394/23, la CJUE a été amenée à trancher la question de savoir si l’indication de la civilité (“Monsieur, Madame”) peut être considérée comme nécessaire à l’exécution d’un contrat de transport ferroviaire.

Faits

La SNCF commercialise des titres de transport ferroviaire (billets, abonnements, cartes de réduction) via son site internet et ses applications, notamment SNCF Connect. Les clients sont obligés d’indiquer leur civilité (“Monsieur” ou “Madame”) lors de l’achat en ligne.

CJUE : résumé des décisions rendues en octobre 2024

La CJUE a rendu plusieurs jugements en matière de protection des données ces dernières semaines, je vous en propose les résumés et extraits ci-dessous.

Le DPO et ses multiples casquettes face aux conflits d’intérêts

Par ce très court billet, j’aimerais annoncer la publication chez Swiss Privacy Law d’un article sur le rôle de DPO et les conflits d’intérêts, suite à l’arrêt C‑453/21 du 9 février 2023 de la CJUE.

Aussi, mon guide pratique sur la protection des données en entreprise paraitra au mois de mai 2023. Il peut être commandé ici et les annexes qui l’accompagneront seront disponibles ici.

CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que

le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

continuer la lecture

CJUE : le Privacy Shield européen est invalidé, et maintenant, on fait quoi ?

C’est un nouveau tremblement de terre dans le monde la protection des données. Après avoir invalidé le Safe Harbour en 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé son successeur, le Privacy Shield. Ci-dessous, une analyse de l’arrêt C-311/18, qui semble s’apparenter à une victoire à la Pyrrhus, et de ses conséquences pratiques.

Rappel de la raison d’être du Privacy Shield

Mécanisme de transfert de données à l’étranger

En droit de la protection des données, il est illégal de transférer des données personnelles à l’étranger sans mécanisme de transfert ou dérogation. Ceci découle directement de l’art. 6 LPD et des art. 44 et suivants du RGPD. Le transfert subséquent des données du pays étranger vers un autre pays étranger est aussi visé par cette interdiction.