François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Le DPO et ses multiples casquettes face aux conflits d’intérêts

17/04/2023 1 Min. lecture Droit François Charlet

Par ce très court billet, j’aimerais annoncer la publication chez Swiss Privacy Law d’un article sur le rôle de DPO et les conflits d’intérêts, suite à l’arrêt C‑453/21 du 9 février 2023 de la CJUE.

Aussi, mon guide pratique sur la protection des données en entreprise paraitra au mois de mai 2023. Il peut être commandé ici et les annexes qui l’accompagneront seront disponibles ici.

continuer la lecture

CJUE : lors d'une demande d'accès, l'identité des destinataires des données doit être révélée

13/01/2023 5 Min. lecture Droit François Charlet

Petit coup de tonnerre cette semaine dans le monde (européen) de la protection des données. Dans l’affaire C-154/21, la CJUE a décidé que

le droit d’accès de la personne concernée aux données [personnelles] la concernant […] implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, […] auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

continuer la lecture

CJUE : le Privacy Shield européen est invalidé, et maintenant, on fait quoi ?

20/07/2020 16 Min. lecture Droit François Charlet

C’est un nouveau tremblement de terre dans le monde la protection des données. Après avoir invalidé le Safe Harbour en 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé son successeur, le Privacy Shield. Ci-dessous, une analyse de l’arrêt C-311/18, qui semble s’apparenter à une victoire à la Pyrrhus, et de ses conséquences pratiques.

Rappel de la raison d’être du Privacy Shield

Mécanisme de transfert de données à l’étranger

En droit de la protection des données, il est illégal de transférer des données personnelles à l’étranger sans mécanisme de transfert ou dérogation. Ceci découle directement de l’art. 6 LPD et des art. 44 et suivants du RGPD. Le transfert subséquent des données du pays étranger vers un autre pays étranger est aussi visé par cette interdiction.

continuer la lecture

CJUE : un ayant droit ne peut réclamer l'adresse email ou IP d'un pirate à YouTube

09/07/2020 8 Min. lecture Droit François Charlet

La Cour de Justice de l’Union européenne (CJUE) a rendu aujourd’hui son arrêt dans la cause C-264/19. Il s’agissait d’un renvoi préjudiciel introduit par le Bundesgerichtshof (Cour fédérale de justice en Allemagne ; l’équivalent suisse du Tribunal fédéral) dans l’affaire opposant Constantin Film Verleih GmbH à YouTube LLC et Google Inc.

Faits

Constantin Film Verleih GmbH dispose en Allemagne des droits d’exploitation exclusifs notamment sur les œuvres cinématographiques “Parker” et “Scary Movie 5”. En 2013 et 2014, ces œuvres ont été distribuées sans son accord sur YouTube. Lesdites œuvres y ont été visionnées plusieurs dizaines de milliers de fois.

continuer la lecture

CJUE : le placement de cookies requiert le consentement actif des internautes

01/10/2019 8 Min. lecture Droit François Charlet

Après avoir tranché deux cas concernant le droit à l’oubli applicable aux moteurs de recherche (voir cet article), la Cour de justice de l’Union européenne (CJUE) vient de rendre son jugement (C-673/17) dans une affaire concernant l’obligation d’obtenir le consentement pour le placement de cookies sur les terminaux des internautes.

Cadre juridique

Ce jugement concerne l’application de

  • la directive 2002/58 du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ou directive vie privée et communications électroniques),
  • la directive 95/46 du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,
  • et, bien qu’il ne fût pas applicable à l’époque du renvoi préjudiciel, du règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données, RGPD).

Faits

Le 24 septembre 2013, Planet49 a organisé un jeu promotionnel sur le site web www.dein-macbook.de. Les internautes souhaitant participer à ce jeu devaient communiquer leur code postal, ce qui les dirigeait vers une page web sur laquelle ils devaient inscrire leurs nom et adresse. Sous les cases à remplir pour l’adresse se trouvaient deux mentions, accompagnées de cases à cocher. La première mention, dont la case n’était pas cochée par défaut, indiquait :

continuer la lecture
Articles plus anciens