GuiGui's Show

Oui à tout, oui ce n'est pas une bonne nouvelle, oui à la tyrannie par la commodité. Mais du coup : 1) à chacun de prendre ses responsabilités ; 2) on peut dénoncer ou s'opposer sans déformer ou exagérer, et ça me semble plus productif de rappeler des échappatoires, certes incommodes, plutôt que d'être une énième info anxiogène qui laisse croire à ton lectorat que tout est fini, la machine va tout engloutir, salauds de banquiers, etc., qui, généralement, ne mène à rien sauf à la tristesse et à la résignation.

L'angle qui m'a intéressé est de savoir si ça va me tomber dessus à court terme. J'ai exposé plusieurs éléments que non. Même en cas de tyrannie douce submergeant la majorité, il y aura une possibilité de repli sur la saisie du code secret. J'ai retrouvé l'ataraxie. Le reste ne m'intéresse pas. Ça fait 20 ans (DADVSI) que j'ai commencé à essayer d'informer autour de moi et de convaincre les politiciens de pas faire de connerie. 20 ans d'échecs. Désormais, j'ai compris que j'ai aucun poids dans la société même à une échelle micro-locale (famille, emploi, etc.), donc j'essaye simplement d'échapper à la merde approuvée par mes concitoyens. Si une majorité de personnes trouve que la carte bancaire biométrique, c'est génial, qu'est-ce que tu veux que j'y fasse, à part dire que je suis contre, ce que j'ai fait dans mon article.

Sur la désactivation de l'option sans contact, je fais part de mon doute sur l'effectivité de la protection des données dans l'article que je pointe. À l'époque, je n'avais pas de lecteur NFC. Depuis, j'en ai un, mais je n'ai pas pensé à revérifier, notamment parce que j'utilise très peu ma carte bancaire et que je ne l'ai pas sur moi en permanence, donc merci du retour que je recopie infra pour archivage. 🙂️

Et là où tu fais une erreur c'est que sectionner l'antenne ou avoir la carte dans une cage de Faraday sont les deux seuls moyens efficaces de se protéger. Désactiver l'option du paiement sans contact auprès de ta banque n'empêche pas de lire et collecter les données NFC stockées sur ta carte. ça fait juste que si elles sont utilisées normalement alors la banque devrait rejeter la demande, mais il y a des cas documentés de fraude où il a été possible d'exploiter les données et d'obtenir un paiement sans contact alors que c'était censé être désactivé au niveau de la banque. malheureusement je n'ai plus le lien sous la main de cette démonstration, mais de mémoire il y avait le cas où la banque ne le désactive que partiellement pour certaines transactions, et l'autre était une exploitation sophistiquée de cas particuliers spécifiques du système bancaire international, donc plutôt du niveau proof of concept que fraude à la portée de tout le monde.

par contre je peux confirmer qu'avec l'option "sans contact" désactivée au niveau de la banque on lit parfaitement les données qui sont sur la carte, c'est à dire tout sauf le CVV qui est au dos. et avec de l'équipement qui tient dans un sac à dos on peut le faire depuis l'autre coté de la rue à tous les clients à l'intérieur de la boulangerie, mais uniquement quand la carte est à proximité du TPE, ou alors à quelques dizaines de cm et là pas besoin que la carte soit proche d'un TPE et on va généralement faire la collecte en se promenant dans un lieu où la densité de population est assez élevée comme les transports en commun.

Après l'offensive sur les sites de porn de ces 5 dernières années.

Au niveau de l'Union européenne (UE) :

• Origine : DSA, donc 2022, donc pas limitée aux réseaux sociaux, mais à toute grande plateforme (VLOP, VLOSE) ;
  
  
• Lignes directrices de la Commission européenne mi-2025 ;
  
  
• Résolution du Parlement UE en novembre 2025. Majorité numérique à 16 ans, vérification d'âge, responsabilité pénale des éditeurs contrevenants, etc. ;
  
  
• Dans le cadre de la future implémentation du porte-feuille d'identité numérique européenne (règlement 2024/1183 dit eIDAS, que France Identité implémente), l'UE a pondu une application de vérification de l'âge censée servir de guide aux États. Elle contient des failles de sécu : faire sauter le code PIN (accès root) ou le nombre max d'essais, et photo pas effacée ; utilisation de dépendances logicielles obsolètes ; Je ne suis pas convaincu qu'il soit pertinent de tourner en dérision un rejet des appareils rootés via des méthodes démodées car ça va conduire à l'attestation matérielle… ; L'architecture entière est pétée, par conception même, puisqu'il est possible de lancer un service en ligne qui validera toutes les demandes, le réseau social qui devra vérifier n'a aucune certitude supplémentaire… mais il pourra se défausser ("j'ai respecté la loi, vous pouvez rien faire").

Au niveau français :

• La loi de 2023 sur la majorité numérique à 15 ans étendait déjà la vérification d'âge au-delà du porno. La France est pionnière. L’Espagne, l’Autriche, la Grèce, l’Irlande, le Danemark et les Pays‑Bas vont suivre ;
  
  
• À partir de novembre 2025 : proposition de loi visant à protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux. Le gouvernement voudrait ça pour septembre 2026. La Commission européenne a rappelé qu'il lui appartient de contrôler les grandes plateformes, pas à la France, donc j'ai du mal à voir l'articulation…

Violence policière en France sur Wikipédia (attention, des infos ne sont pas à jour, mais ça donne un inventaire, donc une idée).

• Pour Geneviève Legay, Steve Maia Caniço, et « une classe qui se tient sage », j'ai mis à jour mon ancien article ;
  
  
• Affaire Théo : les policiers coupables, mais pas criminels. Historique, matraque dans le cul, tout ça ;
  
  
• Olivio Gomes, refus d'obtempérer : 10 ans, appel en cours ;
  
  
• Éborgnement du gilet jaune Jérôme Rodrigues : renvoi devant la justice du policier en 2026. Pour rappel, la CEDH étudie un autre cas d'éborgnement ;
  
  
• Refus d’obtempérer à Stains : deux policiers condamnés à de la prison avec sursis pour avoir grièvement blessé un automobiliste : 4 ans avec sursis ;
  
  
• Quatre ans de prison dont deux ans ferme pour le policier de Reims accusé d'agression sexuelle. Appel en cours, a priori ;
  
  
• Vols et arrestation arbitraire : trois policiers de Vitry-sur-Seine condamnés. Douze et dix-huit mois de prison avec sursis ;
  
  
• « Gilet jaune » éborgné : pourquoi la justice va devoir examiner la responsabilité de l’ancien préfet de police Didier Lallement. 6 ans après les faits, les procès de contestation de l'instruction sont pliés, et un supplément d'instruction est demandé… ;
  
  
• Violences policières : 6 ans après la mort de Cédric Chouviat, toujours pas de procès en vue. Renvoi devant la justice fin 2024, mais lenteur… ;
  
  
• Deux policiers condamnés à des peines avec sursis pour des violences sur une personne placée en garde à vue à Paris. Appel en cours, a priori ;
  
  
• Un policier sera jugé pour violences, quatre ans après la parution du livre « Flic », de Valentin Gendrot. Violences sur mineur en 2019. Renvoi devant la justice en 2024. lenteur… ;
  
  
• Procès des violences contre des « gilets jaunes » dans un Burger King : de six à vingt-quatre mois de prison avec sursis pour les CRS. Trois ont fait appel. Gilets jaunes frappés dans un Burger King à Paris : une plainte pour parjure contre un commissaire ;
  
  
• Vitry-sur-Seine : deux policiers condamnés à 10 mois de sursis pour avoir falsifié un PV. Possible appel. Falsifier pour un vol à l'arraché… ;
  
  
• « Sale noir » : une policière fauche un scooter et truque l’enquête pour être blanchie. Avec demande d'effacement des caméras de la ville. Classement sans suite. Cela a été mis au jour durant une enquête sur de la tricoche : La corruption de "basse intensité", une problématique montante dans la police. Deux ans et un an ;
  
  
• La famille d’une victime de tirs policiers dépose un recours inédit devant la justice européenne. Loi Cazeneuve 2017 sur refus obtempérer. Pas de nouvelles, donc je pense que la CEDH n'a pas admis le recours ;
  
  
• Loiret : Le gendarme jugé pour la mort de Loïc Louise relaxé en appel ;
  
  
• Dans l'affaire Viry-Châtillon (lire aussi ici), on se dirige vers une fin d'instruction sans renvoi devant la justice ;
  
  
• Violences policières : un agent de la CSI 93 jugé pour faux en écriture publique et violences volontaires. Sur la CSI 93, lire aussi : Violences policières Procès de la CSI 93 : de la prison ferme prononcée contre deux agents ;
  
  
• Pas de nouvelle de l'affaire du Pont-Neuf depuis 2022. 9 balles, fusil d'assaut…

+ Blocage de TikTok en Nouvelle-Calédonie : retour sur un fiasco démocratique

Blocage suite à une prétendue ingérence étrangère de l'Azerbaïdjan (qui, si elle avait attisé les tensions en Kanaky pour ses intérêts, n'avait rien fait à ce moment-là). Puis, en fait, pour juguler la circulation de contenus qui appelaient, soi-disant, à la violence. Puis, en vrai, pour sauver la face du Haut-Commissaire local (= préfet) qui aurait décidé la mesure.

Sur mobile uniquement. Un seul opérateur local. A priori, blocage DNS (source).

Tiktok n'aurait pas contesté en justice sur accord avec le gouvernement français.

Le gouvernement a envisagé de bloquer tout l'Internet mobile (5G -> 2G).

La décision de blocage aurait été prise le 14 mai 2024, mais se constate le 16 mai au matin (source). État d'urgence déclenché le 15 mai à 20 h.

Les observateurs ont cru que la décision était basée, à tort, sur l'état d'urgence qui permet, depuis 2015, de bloquer les sites web qui appellent à la provocation d'actes terroristes ou à l'apologie du terrorisme. Le gouvernement a invoqué la théorie des circonstances exceptionnelles.

Dès l'été 2023, après les révoltes suite à la mort policière de Nahel, Macron avait souhaité pouvoir bloquer les réseaux sociaux en cas de crise. Première expérimentation réussie.

Référé rejeté pour défaut d'urgence. Classique du droit administratif.

Lors du recours au fond, le Conseil d'État a validé le cumul état d'urgence + théorie des circonstances exceptionnelles. Dit autrement : si le législateur n'a pas, peut-être à juste titre, donné les moyens que l'exécutif voudrait utiliser pour juguler une crise, ce dernier peut quand même les mettre en œuvre. Aucun acte réglementaire publié, une décision révélée par la presse, des explications emberlificotées, c'est OK. Le CE retoque uniquement sur l'absence de recherche de moyens moins attentatoires aux libertés : le gouvernement n'a formulé aucune demande de retrait de contenus à Tiktok, etc. Jolie victoire du gouvernement.

Un blocage en métropole serait plus compliqué (source) :

En effet, la Nouvelle-Calédonie (comme la Polynésie française, Saint-Pierre-et-Miquelon, les Terres australes et antarctiques françaises, Wallis-et-Futuna et Saint-Barthélemy) sont des pays et des territoires d’outre-mer (PTOM). À ce titre, ils « ne sont pas intégrés à l’Union européenne » et ne tombent donc pas sous le coup du droit de l’Union.

Or l’Union avait déjà fait savoir que « des troubles à l’ordre public dans un seul État ne peuvent fonder de blocage VLOP » (pour Very Large Online Platform), et TikTok est justement une de ces « Très grandes plateformes en ligne ».

+ Hachette et trois autres éditeurs accusent Internet Archive d’être le Napster du livre
+ Internet Archive retire plus de 500 000 livres de sa bibliothèque sous la pression des éditeurs
+ Prêt d’ebooks scannés : Internet Archive débouté en appel

Internet Archive met à disposition une copie numérique faite maison de chaque livre papier qu'elle détient. L'emprunt d'un type d'exemplaire (papier ou numérique) empêche l'emprunt de l'autre exemplaire. DRM pour garantir un emprunt temporaire. Couverture mondiale (n'importe qui, n'importe où, pouvait emprunter). Durant le Covid, une copie numérique pouvait être emprunté un nombre illimité de fois, mais ce n'est pas l'objet du procès.

Quatre éditeurs contre Internet Archive, entre 2020 et 2024. Internet Archive perd en première instance en 2023, en appel en 2024, et renonce à saisir la Cour suprême la même année. Le service d'Internet Archive ne remplit pas les critères du fair use du copyright états-unien (notamment, l'absence d'usage transformatif).

Internet Archive doit retirer sur demande les exemplaires numériques, à condition que le livre numérique soit disponible ailleurs. Car, oui, en réalité, l'enjeu de la bataille est ici :

Techdirt avait ainsi relevé qu'un livre coûtant 29,99 dollars au détail pouvait être facturé 1 306,2 dollars pour une licence de livre électronique, licence pouvant en outre comporter des restrictions, « comme l'obligation de renouveler la licence après un certain nombre de prêts, ou le fait qu'une bibliothèque ne peut acheter qu'une seule licence de livre électronique à la fois ».

À partir de 2023, Internet Archive a aussi essuyé un procès, résolu à l'amiable en 2025, pour son projet de numérisation et de mise à disposition des phonogrammes des années 1880 à 1950.

À partir de demain (24 avril 2026), une nouvelle saison inédite du jeu télévisé La Carte aux trésors est diffusée les vendredis soirs sur France 3. \o/

Source.

Nous avons participé à la consultation publique de la CNIL sur les outils de rejeu de session.

Ces outils permettent d’enregistrer et de restituer l’ensemble des interactions entre une personne et un site web ou une application mobile : mouvements de souris ou glissements tactiles, clics, saisies au clavier, défilement des pages, temps passé sur tel endroit de la page, etc. Sur mobile, cela revient à filmer l’écran (lorsque l’application est au premier plan).

Je remarque que tout les flux RSS Youtube sont en 404 :-(

C'est uniquement toutes les nuits, entre 4 h et 9 h environ. Rien de grave. Tutube doit se reposer. C'est ainsi depuis janvier 2026 a minima. J'en ai causé dans un article.

Les décisions de la CNIL de sanctionner Google et Shein sont intéressantes.

Google : délibération SAN-2025-004
Shein : délibération SAN-2025-005

Dans les deux cas, la CNIL réexplique la compétence qu'elle tire d'e-Privacy, l'absence de guichet unique RGPD (pour la création de compte Google), et l'intrication entre un établissement en Irlande et un en France (en gros, tant que l'étab FR facilite ou favorise, dans le cadre de ses activités, le déploiement en France d'un traitement, y compris par la promotion ou la vente d'espace pub avec traceurs, alors la CNIL est compétente). Google points 84-86 (Google LLC conçoit et implémente la technologie Google, a un rôle fondamental dans le processus décisionnel, y compris dans l'UE, cf. organigramme, opère dans le monde entier, et le DPO de Google Irlande témoigne de l'implication de Google USA) ; Shein point 44.

Dans Shein, sur le test A/B :

88 […] En effet, les cookies de " A/B testing " nécessitent uniquement d’identifier la cohorte (groupe A ou B) à laquelle appartient un utilisateur et cela sur une période très limitée. Ce cookie, au vu de ses caractéristiques [identifiant + durée de vie 10 ans], ne peut dès lors pas être considéré comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peut pas non plus être considéré comme strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

Dans Shein, sur le retrait effectif du consentement aux cookies et traceurs (points 145 à 149), y compris ceux déposés par des tiers : bloquer les requêtes réseaux depuis le site web de Shein vers les tiers ne suffit pas, ces tiers peuvent retrouver le visiteur sur d'autres sites, il faut informer les tiers du retrait du consentement. Début 2026, la CNIL a retenu ce manquement de sites web français dans le cadre des plaintes de l'association PURR.

#ePrivacy

Usage domestique

Le RGPD ne s'applique pas dans le cadre d'une activité strictement personnelle ou domestique. Qu'est-ce que ça n'est pas ?

Dans le recueil de la CNIL, on trouve :

• C-25/17 (Jehovan), pt 42 et suivants : notes aides-mémoire sur les visites rendues par des prédicateurs de porte-à-porte de Jéhovah contenant nom, adresse, convictions religieuse ou situation de famille. Jéhovah donne des lignes directrices et organise / coordonne l'activité de porte-à-porte. Liste d'opposition. Pour la CJUE, il s'agit d'une activité dirigée vers l'extérieur de la sphère privée des membres prédicateurs + nombre indéfini de prédicateurs à travers le temps = pas activité domestique ;
  
  
• C-212/13 (Ryneš), dispositif : des caméras filmant une maison familiale pour la protéger cesse d'être une activité domestique dès lors qu'elles filment aussi, même partiellement, l'espace public. Activitée dirigée vers l'extérieur de la sphère privée ;

On a aussi :

• C-101/01 (Bodil Lindqvist), pt 47 : quelques pages web contenant des infos sur des collègues paroissiens (identité, nom, loisirs, situation familiale, téléphone, etc.). Publication sur Internet = rendre accessible à un nombre indéfini de personnes ;
  
  
• C-73/07 (Satakunnan Markkinapörssi et Satamedia), pt 44 : journal centré sur la publication de données publiques obtenues auprès de l'administration fiscale (nom, prénom, revenus, imposition) = porter des données collectées à la connaissance d'un nombre indéfini de personnes.

Oui, ces arrêts ont été pris sous l'empire de la directive de 95, mais les déductions restent valables, cf. article 94 du RGPD et les références à ces arrêts dans des décisions plus récentes (sur la co-responsabilité de traitement, C-604/22 (infra) pointe C-25/17, par ex.).

Transparency and Consent Framework (TCF) de l'Interactive Advertising Bureau (IAB)

C-604/22. Communiqué de presse.

TC String, chaîne de caractère stockant les consentements aux cookies et autres traceurs, peut constituer une donnée à caractère personnel (DCP) lorsqu'elle peut raisonnablement être associée à un identifiant, comme l'adresse IP.

IAB Europe serait responsable conjoint de traitement en ce qu'elle a établi des règles techniques et des modalités de stockage et de diffusion d'une DCP (TC String) si elle influait, à ses fins, sur les moyens et finalités du traitement, même si elle n'a pas accès aux DCP.

Cette responsabilité ne s'étend pas automatiquement aux traitements ultérieurs effectués par les éditeurs de sites web.

Champ / étendue / périmètre de l'enquête d'une autorité de protection des données

T-70/23.

Précise mollement le considérant 141 du RGPD. Voir aussi C-768/21 infra.

49 En effet, l’article 57 du règlement 2016/679, qui porte sur l’ensemble des missions des autorités de contrôle, prévoit comme première mission, à son paragraphe 1, sous a), celle de contrôler l’application dudit règlement et de veiller au respect de celui-ci. Ainsi, contrairement à ce qu’a avancé en substance la requérante à l’audience, l’analyse des conditions dans lesquelles un traitement de données à caractère personnel est effectué et de sa conformité à ce règlement ne doit pas être limitée à ce que la réclamation d’un plaignant met en exergue.

50 Surtout, assurer pleinement les missions prévues à l’article 57, paragraphe 1, sous a) et f), du règlement 2016/679, de veiller au respect de celui-ci et de traiter les réclamations dans la mesure nécessaire, implique de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine […]

[…]

55 Au titre d’une interprétation téléologique, la requérante soutient, tout d’abord, que reconnaître au CEPD le pouvoir d’imposer à une autorité de contrôle chef de file d’élaborer un projet de décision complémentaire et d’élargir préalablement à cet effet le champ de son enquête est incompatible avec les finalités du mécanisme du « guichet unique » voulu par le législateur lorsqu’il a adopté le règlement 2016/679. L’instauration d’une autorité de contrôle unique pour les intéressés aurait notamment visé à leur éviter des coûts superflus et des désagréments excessifs, ainsi que l’indiquerait le considérant 129 de ce règlement. Rouvrir une enquête en raison d’un simple désaccord entre autorités de contrôle méconnaîtrait cet objectif, en obligeant les auteurs de réclamations et les entreprises visées à faire face à la reprise de l’enquête, avec des coûts et des désagréments, alors que cette phase devait être terminée.

56 Cependant, sans qu’il soit nécessaire de se prononcer sur les intentions du législateur, il suffit de constater qu’un guichet unique répond à un objectif de simplification de nature procédurale qui ne saurait primer sur l’objectif essentiel du règlement 2016/679 de faire respecter le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel. Le premier considérant dudit règlement rappelle à ce propos que l’article 8, paragraphe 1, de la charte des droits fondamentaux et l’article 16, paragraphe 1, TFUE disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Un élargissement d’enquête, nécessairement demandé par au moins la moitié des autorités de contrôle dans le cadre du CEPD, ne vise pas, contrairement à ce que soutient la requérante, à compliquer la tâche de la personne ayant déposé une réclamation ou celle du responsable de traitement visé par celle-ci, mais constitue une mesure pour défendre leurs droits respectifs. Au demeurant, une enquête et une analyse de l’autorité de contrôle chef de file couvrant d’emblée l’ensemble des aspects nécessaires à l’élaboration d’une décision finale complète concernant le cas en cause permettent d’éviter les inconvénients mentionnés par la requérante.

Attention à C-169/23.

La juridiction de renvoi s'interroge : les « mesures appropriées visant à protéger les intérêts légitimes d'une personne concernée » prévues par l'article 14(5)c du RGPD incluent-elles les mesures de sécurité du traitement au titre de l'article 32 ? La CJUE répond non.

Partant, l'autorité de protection des données (APD), saisie du fait qu'un responsable de traitement a invoqué à tort l'article 14(5)c du RGPD, n'avait pas à étudier le respect de l'article 32 qui est disjoint.

Donc, il se déduit que l'auteur d'une réclamation doit préciser sa réclamation à l'APD.

70 En second lieu, s’agissant de savoir si cette vérification doit porter également sur le caractère approprié, au regard de l’article 32 du RGPD, des mesures que le responsable du traitement est tenu de mettre en œuvre pour assurer la sécurité du traitement, il y a lieu de souligner que l’article 14, paragraphe 5, sous c), de ce règlement établit une exception uniquement à l’obligation d’information prévue à l’article 14, paragraphes 1, 2 et 4, dudit règlement, sans prévoir une dérogation aux obligations contenues dans d’autres dispositions du même règlement, parmi lesquelles l’article 32 de celui-ci.

71 Cet article 32 oblige le responsable du traitement et son éventuel sous‑traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des données à caractère personnel qui soit adéquat. Le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 42, 46 et 47, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 37 et 38).

72 Au vu des termes respectifs de ces deux dispositions, il convient de relever que les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l’existence ou non d’une obligation d’information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l’obligation d’information prévue à cet article 14.

73 Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l’objet des vérifications à effectuer par l’autorité de contrôle est circonscrit par le champ d’application du seul article 14 dudit règlement, le respect de l’article 32 de celui-ci ne faisant pas partie de ces vérifications.

74 Compte tenu des motifs qui précèdent, il y a lieu de répondre aux deuxième et troisième questions que l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

Compétence d'une autorité de protection des données vis-à-vis d'un parlement et d'une juridiction

C-33/22 (CP) : traitement mis en place par une commission parlementaire de contrôle de l'exécutif = soumis à l'autorité de protection des données (APD). Dans ses conclusions dans CE 494474, le rapporteur public admet, certes en creux, l'examen de la CNIL d'une réclamation visant des manquements sur le site web de l'Assemblée nationale.

C-245/20, pt 38 : données personnelles mises temporairement à dispo de la presse par une juridiction pour lui permettre de mieux rendre compte d'une procédure = fonction juridictionnelle = pas touche pour l'APD "normale". Mais une autorité de contrôle des juridictions devrait avoir compétence, en toute logique.

Droit au traitement licite des données + précisions sur dommages-intérêts

C-655/23.

En gros : le RGPD prévoit un droit d'obtenir un traitement licite des données à caractère personnel ; le RGPD ne prévoit pas qu'un juge judiciaire puisse enjoindre, à titre préventif, à un responsable de traitement (RT) de s'abstenir d'une réitération d'un traitement litigieux, mais les États-Membre peuvent prévoir cela ; Les dommages moraux englobent les sentiments négatifs éprouvés par une personne concernée suite à la transmission à un tiers de ses données à caractère personnel, tels que la crainte ou le mécontentement ou l'atteinte à la réputation (en l'espèce, une personne qui connaissait le requérant a appris, par erreur, le refus de sa prétention salariale par un recruteur), mais il faut démontrer ces sentiments ; la gravité de la faute commise par le RT n'intervient pas dans la détermination des dommages-intérêts.

Conclusions :

38 Il existe donc, en tant que contrepartie immédiate des exigences prévues à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, du RGPD, un droit de la personne concernée à ce que tout traitement de ses données à caractère personnel soit licite. À mon sens, il s’agit là de la prémisse dont il convient de partir, bien que ce droit n’apparaisse pas explicitement dans le chapitre III du RGPD.

39 En effet, si le chapitre III du RGPD, consacré aux droits de la personne concernée, ne contient pas, en tant que telle, la reconnaissance du droit à ce que le traitement des données personnelles de cette personne soit licite, cela est dû au fait qu’une telle reconnaissance expresse n’est pas nécessaire ; la lecture des articles 5 et 6 du RGPD suffit pour conclure que ce droit est présumé.

[…]

41 De surcroît, je ne suis pas certain que les droits de la personne concernée soient uniquement ceux précisés au chapitre III du RGPD. Dans ce règlement, on peut trouver d’autres droits dont l’exercice doit être facilité, en premier lieu, par le responsable du traitement (21). Par exemple, le droit de retirer le consentement est prévu à l’article 7, paragraphe 3, du RGPD, qui ne figure pas en tant que tel au chapitre III de ce règlement.

Arrêt :

29 Cette juridiction se demande, premièrement, si le RGPD confère, à une personne dont les données à caractère personnel ont fait l’objet d’un traitement illicite, le droit d’exiger que le responsable du traitement s’abstienne de réitérer ce traitement, y compris lorsque cette personne ne demande pas l’effacement de ses données. Compte tenu de la jurisprudence nationale et des débats doctrinaux à ce sujet, ladite juridiction souhaite savoir si ce droit, dont elle précise qu’il est exercé à titre purement préventif, pourrait résulter de l’article 17 de ce règlement, relatif au droit à un tel effacement, de l’article 18 de celui‑ci, relatif au droit à la limitation du traitement, de l’article 79 dudit règlement, relatif au droit à un recours juridictionnel effectif contre le responsable du traitement ou le sous‑traitant, ou de toute autre disposition du même règlement.

[…)

40 Comme M. l’avocat général l’a relevé, en substance, aux points 32, 34 et 38 de ses conclusions, l’article 8 de la Charte proclame, à son paragraphe 1, le droit à la protection des données à caractère personnel, mais aussi impose, à son paragraphe 2, que ces données soient traitées dans le respect de certaines conditions, duquel dépend la licéité du traitement considéré. De même, les obligations énoncées au chapitre II du RGPD, qui pèsent sur le responsable du traitement, ont pour pendant des droits spécifiques prévus par ce règlement, qui sont conférés aux personnes concernées. Ainsi, ces dernières bénéficient d’un droit à un traitement licite de leurs données à caractère personnel, qui est le corollaire de l’obligation générale, mise à la charge de ce responsable, de ne pas traiter de telles données d’une manière non conforme aux exigences dudit règlement.

[…]

59 En deuxième lieu, ainsi que la Commission européenne l’a relevé dans ses observations écrites, des situations, telles que celles invoquées dans le litige au principal, tenant à une « atteinte à la réputation » résultant d’une violation de données à caractère personnel ou à une « perte de contrôle » sur de telles données, figurent explicitement parmi les exemples de possibles dommages qui sont énumérés aux considérants 75 et 85 du RGPD.

[…]

62 Ainsi, bien que les sentiments mentionnés par la juridiction de renvoi, en particulier la crainte ou le mécontentement, puissent par ailleurs faire partie des risques généraux inhérents à la vie courante ainsi que cette juridiction l’observe elle‑même, de tels sentiments négatifs sont susceptibles de constituer un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, pour autant que, conformément à l’exigence d’un lien de causalité rappelée au point 56 du présent arrêt, la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, précisément en raison de la violation en cause de ce règlement, telle qu’une transmission non autorisée de ses données à caractère personnel à un tiers engendrant le risque d’un usage abusif de celles‑ci, ce qu’il incombe aux juges nationaux saisis d’apprécier.

[…]
66 À cet égard, il ressort de la jurisprudence de la Cour que, dès lors que le RGPD ne contient pas de dispositions ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union

[…]

71 Ainsi, d’une part, l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement dudit article (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 154).

Obligation d'adoption de mesures correctrices + motivation + information = droit individuel (confirmation article 83(5)b)

C-768/21.

À lire en combinaison avec T-70/23 (supra) C-26/22, l'interprétation de noyb, et l'Internal EDPB Document 02/2021 on SAs duties in relation to alleged GDPR infringements (notamment pts 59, 65, 68) : une autorité de protection des données, comme la CNIL, doit enquêter jusqu'à identifier si un manquement a été commis ou non. Si oui, elle doit remédier à la situation. À titre exceptionnel, elle peut ne pas adopter de mesure correctrice si le manquement au RGPD a cessé et que la conformité du traitement est assurée. Elle n'a le choix que des moyens d'enquête et des mesures correctrices, tant qu'elle atteint ces objectifs (identifier et remédier) et que sa démarche garantit un niveau élevé de protection des personnes.

Sur la motivation, lire aussi.

Conclusions :

55 […] l’obligation principale de cette autorité à l’égard [de l’auteur d’une réclamation] dans le cadre de la procédure de réclamation consiste *à motiver de manière suffisamment précise et détaillée sa décision d’intervenir ou non** en l’espèce, compte tenu des constatations faites dans le cadre de l’enquête menée par l’autorité.

[…]

66 Le second niveau comprend les violations des droits individuels protégés par ce règlement, tels que les droits fondamentaux, les principes de base d’un traitement, les droits à l’information des personnes concernées, les règles de transfert, etc. 

Arrêt :

37 À cet égard, il convient de relever que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112).

38 Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.

[…]

42 En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.

[…]

46 Il s’ensuit que l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, ne pas s’imposer, pourvu que la situation de violation du RGPD ait déjà été rétablie et que la conformité des traitements de données à caractère personnel à ce règlement par leur responsable soit assurée, et qu’une telle abstention de l’autorité de contrôle ne soit pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles, telle que rappelée au point 38 du présent arrêt.

#jurisprudence