logo BeeLighted Avocats
MENU
Fermer
Menu
Connexion
FERMER
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre

L’Union européenne a adopté un règlement sur la gestion des données représentant une avancée majeure pour la protection des données et l’équité numérique. Cette législation audacieuse affectera tous les secteurs économiques, des objets connectés aux services en nuage (« cloud »).

Le règlement exige que les fabricants et prestataires de services permettent aux utilisateurs d’accéder et de réutiliser les données générées par leurs produits ou services, tout en autorisant le partage avec des tiers. Les propriétaires de voitures peuvent par exemple choisir de partager des données spécifiques avec leur mécanicien ou leur assureur.

Les objectifs fondamentaux de la loi sont clairs : assurer l’équité dans la distribution de la valeur des données, stimuler un marché concurrentiel des données, encourager l’innovation et rendre les données accessibles à tous. Elle souhaite également favoriser le changement de fournisseur de services de traitement de données, tout en introduisant des garanties contre le transfert illicite et en établissant des normes d’interopérabilité pour la réutilisation des données entre les secteurs.

Le règlement renforce également le droit à la portabilité des données, permettant aux particuliers et aux entreprises de contrôler plus étroitement leurs données générées par les objets connectés. Les consommateurs bénéficieront d’une plus grande facilité de passage d’un fournisseur de services en nuage à un autre, avec des garanties contre les transferts illicites et des normes d’interopérabilité.

Dans cette continuité, la norme garantit la protection des secrets d’affaires et des droits de propriété intellectuelle avec des mécanismes de règlement des différends. Elle introduit des mesures pour prévenir les abus de déséquilibres contractuels dans les contrats de partage de données, assurant une protection aux entreprises et offrant une plus grande marge de manœuvre aux PME.

Le règlement aspire enfin à faciliter la coopération entre les secteurs publics et privés dans des circonstances exceptionnelles, telles que les urgences publiques. Il marque la deuxième grande initiative législative de la stratégie européenne pour les données, témoignant de l’engagement de l’UE à jouer un rôle de premier plan dans la société fondée sur les données. Ce nouveau règlement sera très prochainement publié au JO de l’UE et entrera en application 20 jours suivant sa publication.

Consultez ici le communiqué du Conseil de l’UE : Règlement sur les données : le Conseil adopte une nouvelle loi sur l’équité de l’accès aux données et de l’utilisation des données

La Commission Nationale de l’informatique et des Libertés (CNIL) a émis une recommandation technique visant à promouvoir l’utilisation des Interfaces de Programmation Applicatives (API) dans le partage de données entre entités publiques et privées. Cette recommandation souligne le potentiel des API pour renforcer la sécurité, minimiser les données et gérer les autorisations.

La CNIL met en avant la diversité des cas d’utilisation des API, couvrant tous les types d’organisations et de partages de données, qu’ils soient ouverts ou restreints, publics ou privés. La recommandation identifie trois rôles techniques essentiels dans ce processus : le détenteur de données, le gestionnaire d’API et le réutilisateur de données.

Il est mis en avant que l’utilisation des API doit respecter des bonnes pratiques tout au long de leur cycle de vie, de la conception au déploiement. La CNIL précise que la recommandation, issue d’une consultation publique à l’automne 2022, se concentre sur les mesures techniques sans détailler le cadre juridique général du partage de données via les API.

La responsabilité juridique est abordée de manière générale et la recommandation introduit trois rôles fonctionnels, sans toutefois déterminer la responsabilité juridique spécifique de chaque organisme. Celle-ci doit être évaluée au cas par cas, en tenant compte des circonstances du partage de données. Lorsqu’une API est accessible sans restriction, les réutilisateurs sont généralement responsables de leurs propres traitements distincts du traitement d’ouverture des données par l’API.

La méthodologie proposée par la CNIL vise à promouvoir les bonnes pratiques et est complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI pour sécuriser l’ensemble du traitement. Des outils spécifiques sont également recommandés pour mettre en œuvre ces mesures, mais leur utilisation doit être évaluée au cas par cas.

Des exemples concrets illustrent la mise en œuvre pratique des recommandations, couvrant des cas tels que le partage restreint de données entre organismes, le partage de données entre réseaux sociaux et chercheurs, l’ouverture de données de l’administration, ou encore le partage fermé de données entre services d’un même organisme.

En résumé, la CNIL, par le biais de cette recommandation, cherche à encourager l’utilisation des API comme un moyen sécurisé et efficace de partager des données, illustrant l’importance de la conception et de la mise en œuvre appropriées de ces interfaces pour garantir la protection des données personnelles.

Consultez ici la recommandation de la CNIL : Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel

La cyberattaque contre l’Agence Nationale des recettes Publiques bulgare (NAP) a mis en lumière les enjeux cruciaux entourant la protection des données personnelles. Le 15 juillet 2019, une intrusion dans le système informatique de la NAP a entraîné la publication sur Internet de données à caractère personnel concernant des millions de personnes. Face à cette menace potentielle, de nombreux individus ont décidé d’agir en justice, invoquant un préjudice moral résultant de la crainte d’une utilisation abusive de leurs données.

La Cour administrative suprême bulgare a soumis des questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE), cherchant à clarifier les conditions de réparation du préjudice moral dans le contexte d’une cyberattaque.

L’arrêt rendu par la CJUE explique que la divulgation non autorisée de données à caractère personnel nécessite une évaluation concrète des mesures de protection mises en œuvre par le responsable du traitement. La simple divulgation ne suffit pas à conclure que ces mesures étaient inappropriées ni à engager la responsabilité du responsable de traitement.

Cependant, la charge de la preuve incombe au responsable du traitement. Il doit ainsi démontrer que les mesures de protection étaient adéquates pour prévenir l’accès non autorisé aux données. Autrement dit, il doit démontrer que le dommage subi par les personnes concernées victimes de cette divulgation par des tiers, ne lui est pas imputable.

Par cet arrêt la Cour confirme la légitimité de la crainte d’un usage abusif de données personnelles, qui constitue en soi un « dommage moral ». Ainsi, la simple appréhension d’une utilisation inappropriée par des tiers peut donner lieu à une réparation.

Cette décision renforce la protection des individus contre les conséquences néfastes des violations du Règlement Général sur la Protection des Données (RGPD) et plus particulièrement son article 32 relatif aux exigences de sécurité des données à caractère personnel. Elle fait ainsi ressortir la responsabilité accrue des organisations dans la mise en place de mesures robustes pour prévenir de telles atteintes.

La cybersécurité demeure un enjeu majeur, et cette jurisprudence établit un précédent important pour la protection des droits individuels face aux menaces croissantes de la cybercriminalité.

Consultez ici la décision de la CJUE : CJUE-affaire-C-340/21-

You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
DORA / Déclaration de conformité de l’ACPR aux orientations des AES
COLLECTIVES / Confirmation de jurisprudence sur le maintien des garanties de prévoyance
ASSURANCE AUTO / Application du taux majoré de TCA pour certaines garanties accessoires
SOCIAL / Renforcement des obligations de l’employeur en cas d’épisodes de chaleur intense
CSRD / Propositions d’allègement du champ d’application au niveau européen
CNIL / Recommandations sur le recours à la base légale de l’intérêt légitime dans le développement de l’IA
INTÉRÊT LÉGAL / Nouveaux taux au second semestre 2025
Accès libre
CNIL / Lancement du projet PANAME en collaboration avec l’ANSSI
IJSS / Nouveau formulaire papier obligatoire pour la prescription des arrêts de travail
Accès libre
GEL DES AVOIRS / Vers une surveillance financière accrue
1 5 6 7 8 9 265
Bureau de Tours
(cabinet principal)
2 rue du Commerce
37000 TOURS
Bureau de La Rochelle
(cabinet secondaire)
32 quai Louis Durand
17000 LA ROCHELLE
Bureau de Paris
(cabinet secondaire)
19 rue Bergère
75009 PARIS
Vous souhaitez recevoir des informations de la part du cabinet beeLighted
Contactez-nous
Pour nous joindre, un numéro unique : 02 47 66 37 13
Et une seule adresse e-mail : contact@beelighted-avocats.fr
Suivez-nous
Mentions LégalesPolitique de protection des donnéesPolitique des cookies (EU)
Top cross