Post de Thomas Livenais

👨⚖️ Et si vous portiez plainte contre un concurrent qui ne respecte pas aussi bien que vous le RGPD, et en tire un avantage déloyal ? C'est la piste très intéressante ouverte par l'arrêt C‑21/23 (ND c. DR) rendu ce vendredi 4 octobre par la CJUE. Dans cette affaire un pharmacien allemand avait porté plainte contre un concurrent qui vendait des médicaments sur la marketplace d'Amazon, alors que le contenu du panier aurait dû - ce que la CJUE confirme également - être considéré comme constitutif de données de santé, nécessitant une protection particulière par application de l'article 9(1) du RGPD. La juridiction allemande n'était pas convaincue qu'une action en concurrence déloyale puisse ainsi prendre assise sur une violation du RGPD, alors que le chapitre VIII liste les voies de recours et ne prévoit pas une telle possibilité. ▶ Pour la Cour, les choses sont claires : l'article 77 dit explicitement que les voies de recours mentionnées le sont "sans préjudice" de toutes les autres. Or, dit la CJUE, "la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales afin de faire cesser une violation des dispositions matérielles du RGPD, prétendument commise par cette entreprise, non seulement ne porte pas atteinte [aux] objectifs [du RGPD] mais est, au contraire, de nature à renforcer l’effet utile de ces dispositions et ainsi le niveau élevé de protection des personnes concernées à l’égard du traitement de leurs données personnelles" (§62). "Au demeurant, une telle action en cessation d’un concurrent peut s’avérer, à l’instar de celle des associations de défense des intérêts des consommateurs, particulièrement efficace pour assurer une telle protection, dans la mesure où elle est susceptible de prévenir un grand nombre de violations des droits des personnes concernées" (§70). Dit autrement, quand les CNIL ne paraissent pas suffisamment diligentes pour faire respecter les règles du jeu par toute la profession, une action au civil pour demander la cessation des violations des données commises par un concurrent peut être d'une certaine efficacité, voire d'une efficacité certaine. Une limite néanmoins : il faut que le droit national de l'Etat prévoit qu'un manquement à la protection des données puisse constituer une pratique commerciale déloyale. En France, l'article L.121-1 du Code de la consommation définit ainsi les éléments constitutifs d'une pratique commerciale déloyale : “Une pratique commerciale est déloyale lorsqu'elle est contraire aux exigences de la diligence professionnelle et qu'elle altère, ou est susceptible d'altérer de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard d'un bien ou d'un service”. (mise à jour: ne manquez pas le commentaire de Jérémy Roche qui cite de la jurisprudence française allant déjà dans ce sens, merci à lui!)

Le RGPD plus favorable aux grands acteurs et cela doit changer Réglementation : Cinq ans après la mise en œuvre du RGPD, la CNIL note que les études de son impact se focalisent sur la dimension économique et coûts, mais délaissent les bénéfices, pour les individus et les entreprises, complexes à démontrer.

Le RGPD n'a pas permis d'atténuer l'omniprésence des plateformes au sein du numérique, ni leurs monopoles, et il n'a que légèrement amélioré les pratiques liées aux données personnelles, mais il a au moins servi à remplir les caisses des Etats. Six ans après sa mise en place en Europe, l’ensemble des autorités de protection de la vie privée de l’Union européenne ont infligé 6 680 amendes liées au non respect de ce texte, pour un montant cumulé de plus de 4,2 milliards d’euros. A lire dans mind Media

📢 Publication de données personnelles au registre du commerce : vers un droit à l’effacement selon le RGPD ?   La CJUE vient de rendre un arrêt majeur (CJUE 4-10-2024, aff. 200/23) sur le droit à l’effacement des données personnelles publiées dans les registres du commerce, apportant des précisions cruciales pour les sociétés en Europe.   🔍 Contexte :   Un associé d’une société bulgare demandait à l’agence de registre du commerce d’effacer certaines de ses données personnelles non obligatoires (numéro de carte d’identité, numéro d’identification), pourtant accessibles au public. L’agence a refusé, invoquant une présomption de consentement par défaut, mais la CJUE a jugé cette présomption insuffisante selon les exigences du RGPD.   📌 Les principaux enseignements de la CJUE :   ✅ Responsabilité du registre : l’agence en charge du registre est considérée comme responsable du traitement des données publiées, même si elles dépassent les exigences légales.   ✅ Droit à l’effacement : les données personnelles non requises par la loi européenne ou nationale doivent pouvoir être effacées, sans présomption de consentement implicite.   ✅ Impact en France : une telle décision pourrait s'appliquer également au registre français, lorsque les données personnelles des associés n’ont pas à être rendues publiques.   🚨 Cet arrêt réaffirme la nécessité de protéger les données personnelles au-delà des formalités de publicité légale ; un pas de plus vers une conformité stricte au RGPD dans tous les pays de l’UE.    🚨Restez informés avec Noval Avocats en vous abonnant à notre newsletter ! 👉🏻 https://lnkd.in/eDt6MFim    #DroitDesSociétés #RGPD #CJUE #ProtectionDesDonnées #Conformité

Que vous soyez dans la communication ou dans la conformité RGPD, vous n'êtes sans doute pas passé à coté de cette dernière nouvelle. Les modèles "consentir ou payer" sous l'oeil critique du Conseil Européen. Découvrez l'avis et les implications dans notre dernier article : Consultis Conseil SA #WeCreateTime

💕 Amour, Gloire... et #RGPD ? Le règlement sur la #data personnelle, c'est des coûts, mais pas seulement. Mais la CNIL constate que les études publiées à ce jour “se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes.” 💰 Les coûts de la mise en conformité, c’est peut-être ce qui est le plus simple à mesurer. Bien sûr, ils “sont réels et inévitables”, reconnaît la Cnil. Cependant, l’autorité ajoute qu’ils correspondent à un “investissement dans la conformité”. 💸 Et cet investissement “comporte des bénéfices économiques.” Ainsi, “l’une des vertus du RGPD peut être, en permettant une meilleure information et plus de rationalité dans les choix" serait "de résorber des failles de marché.” 🔬 La Cnil concède que les bénéfices de la conformité pour les entreprises sont “moins aisément observables.” Dès lors, “Il serait utile que les économistes tentent d’objectiver ces gains pour réaliser une véritable analyse coûts/bénéfices”. ⚖ Mais si l’Autorité souligne les carences des études économiques, elle en tire néanmoins des leçons. Parmi celles-ci, elle retient que le “RGPD est proportionnellement plus favorable aux gros acteurs économiques”. 👩⚖️ La Cnil estime donc nécessaire de “compenser activement cette tendance par une politique exigeante envers les grands acteurs, et plus encore avec les très grands acteurs”. Cela passe par “une dimension asymétrique de son action de régulation”. https://lnkd.in/e4JKNZFA

Les conditions générales de vente (CGV) du commerce en ligne : l’arbre qui cache la forêt de la non-conformité RGPD. Les 2 profils de commerçants que j’ai rencontrés. ⤵️ ✔︎Cas n°1 : L’entreprise qui découvre les nouvelles obligations imposées par le RGPD. Si ce n’est que le RGPD n’est pas récent. Depuis son entrée en vigueur le 25 mai 2018, tous les organismes privés et publics qui traitent des données personnelles doivent s’y conformer. Donc, les CGV, c’est très bien : obligatoires lorsque vous vendez à des particuliers et fortement recommandées lorsque vous concluez des affaires avec des professionnels, les CGV encadrent la relation contractuelle avec les clients, les informent et visent à éviter les ennuis juridiques. Néanmoins, le RGPD est un autre chantier. Ce n’est plus une question de contrat, mais une démarche globale pour que votre entreprise traite de façon respectueuse (et surtout réglementaire) les données personnelles que vous avez entre les mains. ✔︎Cas n°2 : L’entreprise qui pense qu’il suffit de mettre l’expression “politique de confidentialité" dans ses CGV pour être conforme. Il y a de l’idée, mais c’est plus complexe que cela. Donc, copier-coller la politique de confidentialité trouvée sur internet ne fait pas de vous une entreprise conforme. Pour cela, il faudrait que vous ayez entamé des actions réelles de conformité comme : ☑︎Une cartographie des données personnelles et un début de registre des traitements que vous enrichirez au fil de l’eau ; ☑︎Un audit pour comprendre où vous en êtes et savoir si vous traitez les informations de vos clients ou vos salariés de façon hallucinante ; ☑︎Un plan d’actions pour identifier les mesures prioritaires à mettre en place pour protéger les données personnelles de vos prospects, clients, salariés (et éviter aussi d’avoir un contrôle salé de la CNIL). 💡Vous souhaitez rédiger des CGV ? C’est une très bonne chose, mais profitez-en aussi pour vous pencher sur le RGPD.

Les conditions générales de vente (CGV) du commerce en ligne : l’arbre qui cache la forêt de la non-conformité RGPD. Les 2 profils de commerçants que j’ai rencontrés. ⤵️ ✔︎Cas n°1 : L’entreprise qui découvre les nouvelles obligations imposées par le RGPD. Si ce n’est que le RGPD n’est pas récent. Depuis son entrée en vigueur le 25 mai 2018, tous les organismes privés et publics qui traitent des données personnelles doivent s’y conformer. Donc, les CGV, c’est très bien : obligatoires lorsque vous vendez à des particuliers et fortement recommandées lorsque vous concluez des affaires avec des professionnels, les CGV encadrent la relation contractuelle avec les clients, les informent et visent à éviter les ennuis juridiques. Néanmoins, le RGPD est un autre chantier. Ce n’est plus une question de contrat, mais une démarche globale pour que votre entreprise traite de façon respectueuse (et surtout réglementaire) les données personnelles que vous avez entre les mains. ✔︎Cas n°2 : L’entreprise qui pense qu’il suffit de mettre l’expression “politique de confidentialité" dans ses CGV pour être conforme. Il y a de l’idée, mais c’est plus complexe que cela. Donc, copier-coller la politique de confidentialité trouvée sur internet ne fait pas de vous une entreprise conforme.   Pour cela, il faudrait que vous ayez entamé des actions réelles de conformité comme : ☑︎Une cartographie des données personnelles et un début de registre des traitements que vous enrichirez au fil de l’eau ; ☑︎Un audit pour comprendre où vous en êtes et savoir si vous traitez les informations de vos clients ou vos salariés de façon hallucinante ; ☑︎Un plan d’actions pour identifier les mesures prioritaires à mettre en place pour protéger les données personnelles de vos prospects, clients, salariés (et éviter aussi d’avoir un contrôle salé de la CNIL). 💡Vous souhaitez rédiger des CGV ? C’est une très bonne chose, mais profitez-en aussi pour vous pencher sur le RGPD.

Vous êtes encore beaucoup à ne pas avoir pris le RGPD au sérieux. Mais les lignes bougent. 3 éléments clés à connaître avant de le regretter : 𝟏) 𝐑𝐞𝐜𝐨𝐫𝐝 𝐝𝐞 𝐩𝐥𝐚𝐢𝐧𝐭𝐞𝐬 L’année 2023 c’est l’année record du nombre de plaintes. Il y en a eu 16 433. Il y a 5 ans, c’était seulement la moitié de ce chiffre. 📣 𝟐) 𝐃𝐞́𝐥𝐚𝐢𝐬 𝐝𝐞 𝐭𝐫𝐚𝐢𝐭𝐞𝐦𝐞𝐧𝐭𝐬 𝐫𝐞́𝐝𝐮𝐢𝐭𝐬 Jusqu’ici la CNIL était sous l’eau. Elle recevait plus de plaintes que ce qu’elle arrivait à traiter par année. Depuis 2022, cette tendance s’est inversée. Les délais de traitements sont raccourcis et la force de frappe augmente. 📈 𝟑) 𝐏𝐥𝐮𝐬 𝐝𝐞 𝐜𝐨𝐧𝐭𝐫𝐨̂𝐥𝐞𝐬 𝐞𝐭 𝐩𝐥𝐮𝐬 𝐯𝐢𝐭𝐞 Depuis un an, une nouvelle procédure de contrôle simplifiée a vu le jour. Ca permet à la CNIL de contrôler dans un délai court les sanctions les moins graves (mais souvent les plus fréquentes). C’est le contrôle façon radar sur l’autoroute. 🚧 ****** Tu as un 4ème élément à ajouter ? PS : 👋 Si tu me découvres avec ce post, je publie régulièrement du contenu sur le RGPD et le droit du numérique.

🔒🌐 Vers une nouvelle ère de la protection des données aux États-Unis ? La Federal Trade Commission recommande l'adoption d'une législation similaire au RGPD européen pour renforcer la protection des données personnelles aux États-Unis. Cette initiative pourrait transformer considérablement le paysage réglementaire américain, imposant de nouvelles exigences strictes en matière de traitement des données personnelles par les entreprises. 📊 Cette évolution est cruciale pour les professionnels du droit et de la conformité qui doivent se préparer à intégrer ces nouvelles normes dans leurs pratiques. La protection renforcée des données promet non seulement de renforcer la confiance des consommateurs mais aussi de créer un cadre plus uniforme pour les transactions internationales. 🔗 Pour en savoir plus sur les implications de cette recommandation, consultez cet article : https://lnkd.in/eQAx243q