Brèves d'actu


CJUE Rigas Satiksme, 4 mai 2017, aff. C-13/16

La police peut, mais selon la directive européenne relative à la protection des données, n’est pas dans l’obligation de communiquer les données d’une personne à un tiers qui souhaite agir en justice à son encontre





C’est un accident de la circulation routière en décembre 2012 dans la capitale lettone qui permet à la Cour de Justice de l’Union européenne aujourd’hui de préciser la portée de l’article 7 de la Directive 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel et à la libre circulation de ces données.
La Cour estime ainsi que la directive n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection des données. Toutefois, l’art. 7 considéré de la directive ne s’oppose pas à une telle communication sur la base du droit national.
En décembre 2012, un trolleybus de Rigas Satiksme, au moment où il passe à côté d’un taxi garé sur le bord de la route, est endommagé par l’ouverture soudaine de la portière du véhicule par son passager. Une procédure pour infraction administrative a été lancée alors, et ladite infraction constatée.
La société Rigas Satiksme a alors demandé à la police de lui communiquer toutes les informations nécessaires afin d’identifier, et ainsi de pouvoir poursuivre, le passager du taxi responsable de l’accident. La police ayant refusé de communiquer l’adresse de ce dernier, la Société a alors introduit un recours devant le tribunal administratif letton, qui a ordonné à la police de faire suite à la demande.
Suite au pourvoi en cassation de la police nationale, la juridiction suprême lettone (Cour suprême, département affaires administratives), après avoir entendu l’avis de l’autorité nationale de protection des données, a saisi la CJUE de questions préjudicielles.
Celles-ci visent pour l’essentiel à déterminer si la directive 95/46/CE (art. 7 f) fait obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par personne concernée par la protection de ses données.
S’ajoute la question de savoir si le fait que cette personne soit mineure a une incidence sur l’interprétation de cette disposition.
Il est évident tout d’abord que la police nationale est ici le responsable du traitement des données au sens de la directive. La Cour estime ensuite qu’il ressort de la directive (art. 7 f) qu’elle ne « prescrit pas en soi une obligation mais exprime une faculté d’effectuer le traitement de données tel que la communication à un tiers de données nécessaires à la réalisation d’un intérêt légitime poursuivi par celui-ci » (§ 26 de l’arrêt).
La Cour estime au total (après avoir notamment examiné la question de la condition de la stricte nécessité s’agissant des restrictions au principe de la protection des données, ainsi que celle d’une pondération des droits et intérêts opposés en cause), que la directive doit être interprétée en ce sens qu’elle « n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national ». 




                                              *



L’accord général  - « umbrella agreement »  - sur les transferts de données UE/Etats-Unis dans le cadre de leur coopération en matière de lutte contre le terrorisme et la criminalité approuvé par la commission LIBE du Parlement européen (24 novembre 2016)






Cet accord, signé par le Conseil en juin dernier, n’a pas vocation à se substituer aux accords sectoriels existants et ne donnera pas une base juridique à d’éventuels transferts de données entre l’UE et les Etats-Unis. Il s’agit simplement de fixer un cadre général, posant un certain nombre de principes, afin de garantir un niveau de protection des données satisfaisant aux exigences européennes en la matière pour les données transférées.
« C’est un grand pas en avant pour la protection transatlantique des données » a déclaré l’eurodéputé Jan-Philipp Albrecht (Verts, DE), après l’approbation par la commission des libertés civiles ce jeudi, par 41 voix contre 4 et 6 abstentions.
L’adoption par les Etats-Unis du « Judicial redressa Act » en février dernier, accordant aux citoyens européens la possibilité de former des recours juridictionnels devant les tribunaux américains, a été le déclencheur de l’adoption du texte, qui offre par ailleurs des garanties élevées s’agissant des données échangées entre police et services répressifs, telles que le droit à l’information et à la correction des données inexactes.
Le texte doit être désormais adopté en plénière par le Parlement européen jeudi 1ier décembre, ce qui permettra alors son entrée en vigueur.




 *
PNR : l’accord UE/Canada ne respecte pas la Charte des droits fondamentaux de l’Union européenne (Cour de Justice de l’Union européenne, conclusions de l’Avocat général dans la demande d’avis 1/15, 8 septembre 2016)

L’accord permettant le transfert des données des dossiers des passagers aériens à destination du Canada a été conclu en 2014 et soumis alors à l’approbation du Parlement européen. La Cour de justice a été saisie en novembre 2014 par ce dernier pour avis et ce sont les conclusions de l’Avocat général – qui ne lient pas la Cour – qui jugent aujourd’hui l’accord pour partie contraire à la Charte des droits fondamentaux de l’UE. Sont mises à l’index notamment les dispositions qui prévoient le traitement de données « sensibles » (celles qui révèlent les opinions politiques, les convictions religieuses ou philosophiques ou l’orientation sexuelle par exemple) ou celles qui prévoient le transfert de données PNR à une autorité publique étrangère sans contrôle préalable par une autorité indépendante. L’Avocat général a surtout souligné, dans la logique des arrêts de la Cour de justice Digital Rights Ireland (8 avril 2014, annulation de la directive « rétention des données de communication électronique) et Schrems (6 octobre 2015, invalidation du « Safe Harbor »), qu’  « il est nécessaire, au moment où les technologies modernes permettent aux autorités publiques, au nom de la lutte contre le terrorisme et la criminalité transnationale grave, de développer des méthodes extrêmement sophistiquées de surveillance de la vie privée des individus et d’analyse de leurs données à caractère personnel, la Cour s’assure que les mesures projetées (…) reflètent une pondération équilibrée entre le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres données » (Communiqué de presse, Cour de Justice de l’UE, n° 89/16, Luxembourg, 8 septembre 2016) Analyse complète à suivre....

*

Google et Privacy Shield (30 août 2016)

Google a annoncé avoir déposé sa candidature pour le « Privacy Shield » auprès du département américain du Commerce. Ce système, qui succède au « Safe Harbor » qui avait été invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015 dans le célèbre arrêt « Max Schrems », règlemente les échanges de données entre l’Europe et les Etats-Unis, afin de satisfaire aux normes européennes de protection des données.
Le Safe Harbor avait été notamment invalidé pour des raisons tenant à la surveillance opérée par les services de renseignement américains (la NSA) sur les données des Européens fournies par les grandes sociétés de l’Internet (Facebook, Google, Apple etc.). Le nouvel accord qui lui succède, le Privacy Shield,  suscite toutefois de nombreuses critiques, tant de la part du Parlement européen que du G29, l’organe européen de protection des données personnelles, qui regroupe les représentants des autorités nationales de contrôle en la matière. Ce dernier déplore en particulier la complexité des mécanismes de recours offerts désormais aux individus, tandis que le Parlement européen souligne la persistance de la possibilité d’accès des autorités américaines (NSA) aux données transférées, sans que soient respectés les critères de « nécessité » et de « proportionnalité » exigés par la Charte des droits fondamentaux de l’Union européenne.

*

WhatsApp sur la sellette : partage de données avec Facebook

La célèbre application de messagerie instantanée WhatsApp, rachetée par Facebook en 2014 pour 22 millions de dollars est sur la sellette….En effet, L’ICO, équivalent britannique de la CNIL, enquête sur les nouvelles conditions d’utilisation de WhatsApp, qui ouvre le partage de données avec Facebook, notamment le numéro de téléphone des utilisateurs, et devrait permettre à des entreprises d’envoyer des messages à ces derniers (suggestions commerciales, ou d’amis, ou de connexions). Le G29, organe de l’Union européenne qui regroupe les autorités de protection des données personnelles des Etats membres, a publié le 29 août un communiqué de presse, soulignant la « vigilance » avec laquelle « les changements de politiques de vie privée » sont suivis par l’institution européenne. Même si WhatsApp assure que le chiffrement généralisé sur l’application empêche quiconque (y compris Facebook) d’avoir accès au contenu des messages des utilisateurs, il s’agit de s’assurer que WhatsApp reste dans les limites de la loi en matière de respect du droit à la vie privée et à la protection des données à caractère personnel. 

Pour protéger vos données, voir vidéo sur :  Le Monde 28 août 2016






Aucun commentaire:

Enregistrer un commentaire