AUTORITÉS DE CONTRÔLE & JURISPRUDENCE
Les autorités de contrôle européennes procèdent à des contrôles sur les DPO; la CNIL vérifie notamment si des ressources suffisantes sont allouées aux DPO.
La CJUE dans son arrêt du 4 mai C-300/21 précise l’étendue du droit à réparation (article 82§1 du RGPD):
- « La simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation »; il est nécessaire d’établir une violation du RGPD, un dommage matériel ou moral résultant de cette violation et un lien de causalité entre le dommage et la violation.
- La réparation du dommage moral ne peut pas être subordonnée « à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité« .
- Les juges nationaux, pour la fixation du montant des dommages-intérêts dus au titre du droit à réparation doivent « doivent appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que les principes d’équivalence et d’effectivité du droit de l’Union soient respectés ».
La CJUE précise l’étendue du droit d’accès (article 15 §3 du RGPD) – CJUE 04 mai 2023, Affaire C-487/21,à savoir:
- Ce droit « implique qu’il soit remis à la personne concernée une reproduction fidèle et intelligible de l’ensemble de ces données«
- Ce droit « suppose celui d’obtenir la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu’il doit être tenu compte, à cet égard, des droits et libertés d’autrui ».
- La notion d’informations « se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie »
L‘ICO (l’autorité de contrôle anglaise) explique comment rédiger une « privacy notice«
La CNIL:
- met à jour sa fiche relative aux arnaques RGPD,
- donne ses recommandations sur la fusion de la carte Vitale et de la carte d’identité
- publie son plan d’action pour l’IA.
- évalue l’impact de son plan d’action sur les cookies
- accompagne 3 entreprises du numérique
Publication des rapports annuels
- de la CNIL
- de l’autorité belge
- Le Contrôleur européen de la protection des données (CEPD/EDPS)
L’EDPB publie un recueil de décisions relatives aux articles 17 (droit à l’effacement) et 21 (droit d’opposition).
L’autorité belge a déclaré illicites, et décidé d’interdire, les transferts de données à caractère personnel des américains accidentels belges par le SPF Finances à l’administration fiscale américaine prévus dans l’accord intergouvernemental FATCA.
SANCTIONS
La CNIL sanctionne Doctissimo à hauteur de 380 000€
L’autorité irlandaise sanctionne META à hauteur de 1,2 milliard d’euros
REVUE DE PRESSE
Le Monde, 2 mai 2023 « L’Urssaf envoie par erreur des informations personnelles de cotisants aux mauvais destinataires »
Cybermalveillance alerte sur la fraude au virement et faux RIB
AUTEUR
Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel
