Feb. 8, 2025

MAFR TV : MAFR TV - Overhang

🎬Qui est en charge de rendre effectif le dispositif de Compliance ? Plutôt l'entreprise ou plutôt l'Autorité publique ? Exemple des données : CE, 27 janvier 2025, B. c/ CNIL

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR. Regulation, Compliance, Law

🌐s'abonner à la Newsletter Surplomb, par MAFR

____

► Référence complète : M.-A. Frison-Roche, "Qui est en charge de rendre effectif le dispositif de Compliance ? Plutôt l'entreprise ou plutôt l'Autorité publique ? Exemple des données : CE, 27 janvier 2025, B. c/ CNIL", in série de vidéos Surplomb, 8 févroer 2025

____

🌐visionner sur LinkedIn cette vidéo de la série Surplomb

____

🌐visionner sur LinkedIn cette vidéo de la série Surplomb, publiée dans la Newsletter Surplomb, par MAFR

____

🚧lire le document de travail bilingue sur la base duquel cette vidéo a été élaborée

____

► Résumé de ce Surplomb : Dans sa décision du 27 janvier 2025, le Conseil d'État eut à apporter une solution à un cas que les règles de Compliance applicable en matière de données n'avaient pas expressément prévu. Une personne qui estime qu'une autre a méconnu ses obligations imposées par le RGPD peut-elle saisir la CNIL et non pas le responsable de traitement ?

Le Conseil d'Etat estime que la question est claire, qu'il n'est pas utile de poser une question préjudicielle à la CJUE. En effet, les textes imposent à celui qui allègue la méconnaissance de son droit de se tourner d'abord vers le responsable du traitement pour que l'information soit effacée avant de saisir dans un second temps la CNIL. En outre, il s'agissait en l'espèce d'informations personnelles insérées par des médecins dans un rapport d'expertise versé dans une instance judiciaire. Le Conseil d'Etat approuve la CNIL d'avoir estimé qu'elle n'a pas à contrôler et à apprécier les éléments de preuve, ce qui relève de l'office du juge judiciaire.

L'on mesure ici que, si par ailleurs sur la base du droit d'alerte la saisine d'autorités administratives peut être directe, ici le spécifique l'emporte sur le général, l'esprit de la loi confiant la préservation directe des droits au responsable du traitement, la CNIL ne devant venir dans son office de supervision et de hashtag#sanction que dans un second stade. Cela illustre ce qu'est le Droit de la Compliance d'une façon plus générale, qui repose en premier lieu sur les opérateurs eux-mêmes. En outre, creuset de droits subjectifs divers, ici droit à l'hashtag#effacement mais aussi droit de verser des preuves aux débats, le Conseil d'Etat souligne que c'est ici l'office du juge judiciaire de veiller à la loyauté des débats.

____

🎬visionner ci-dessous cette vidéo de la série Surplomb⤵️

____

Surplomb, par mafr

la série de vidéos dédiée à la Régulation, la Compliance et la Vigilance

                            

Feb. 5, 2025

Publications

🚧Dans le silence des textes, vers qui se tourner en cas de manquement à une disposition du Droit de la Compliance ?

🌐follow Marie-Anne Frison-Roche sur LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law 

🌐subscribe to the Video Newsletter MAFR Surplomb

____

 Full ReferenceM.-A. Frison-RocheWho is responsible for making the Compliance provision effective? Is it the company or the public authority? Example of data: CE, 27 January 2025, B. c/ CNIL, Working Paper, February 2025.

 

____

🎤 This Working Paper was developed as a basis for the Overhang👁 video  on 8 February 2025 : click HERE (in French)

____

🎬🎬🎬In the collection of the Overhangs👁 It falls into the News category.

Watch the complete collection of the Overhangs👁 : click HERE

____

 Summary of this Working Paper: In its decision of 27 January 2025, B. v CNIL, the French Administrative Supreme Court (Conseil d'État ) had to provide a solution to a case that the Compliance rules applicable to data had not expressly provided for. Can a person who believes that another person has failed to fulfill their obligations under the GDPR refer the matter to the French Data Protection Regulator (CNIL) and not the data controller?

The Conseil d'État considers that the question is clear and that there is no point in referring a preliminary question to the ECJ. Indeed, the texts require the person alleging that his or her right has been infringed to first contact the data controller to have the information deleted before subsequently referring the matter to the CNIL. Furthermore, this case involved personal information inserted by doctors in an expert report submitted to a court. The Conseil d'Etat agreed with the CNIL that it was not required to review and assess the evidence, which is the role of the court.

This shows that, while the right to alert can be used to refer cases directly to the administrative authorities, here the specific takes precedence over the general, with the spirit of the Law entrusting the direct preservation of rights to the data controller, with the CNIL's supervisory and sanctioning role coming only at a later stage. This illustrates the more general nature of Compliance Law, which relies primarily on the operators themselves. Furthermore, as a melting pot of various subjective rights, in this case the right to erasure but also the right to contribute to the debates, the Conseil d'Etat stresses that it is the role of the judicial judge to ensure the fairness of the debates.

____

🔓read the developments below⤵️

© mafr 2014-2023 Marie-Anne Frison-Roche -
Legals