🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR. Regulation, Compliance, Law

🌐s'abonner à la Newsletter Surplomb, par MAFR

____

► Référence complète : M.-A. Frison-Roche, "Qui est en charge de rendre effectif le dispositif de Compliance ? Plutôt l'entreprise ou plutôt l'Autorité publique ? Exemple des données : CE, 27 janvier 2025, B. c/ CNIL", in série de vidéos Surplomb, 8 févroer 2025

____

🌐visionner sur LinkedIn cette vidéo de la série Surplomb

____

🌐visionner sur LinkedIn cette vidéo de la série Surplomb, publiée dans la Newsletter Surplomb, par MAFR

____

🚧lire le document de travail bilingue sur la base duquel cette vidéo a été élaborée

____

► Résumé de ce Surplomb : Dans sa décision du 27 janvier 2025, le Conseil d'État eut à apporter une solution à un cas que les règles de Compliance applicable en matière de données n'avaient pas expressément prévu. Une personne qui estime qu'une autre a méconnu ses obligations imposées par le RGPD peut-elle saisir la CNIL et non pas le responsable de traitement ?

Le Conseil d'Etat estime que la question est claire, qu'il n'est pas utile de poser une question préjudicielle à la CJUE. En effet, les textes imposent à celui qui allègue la méconnaissance de son droit de se tourner d'abord vers le responsable du traitement pour que l'information soit effacée avant de saisir dans un second temps la CNIL. En outre, il s'agissait en l'espèce d'informations personnelles insérées par des médecins dans un rapport d'expertise versé dans une instance judiciaire. Le Conseil d'Etat approuve la CNIL d'avoir estimé qu'elle n'a pas à contrôler et à apprécier les éléments de preuve, ce qui relève de l'office du juge judiciaire.

L'on mesure ici que, si par ailleurs sur la base du droit d'alerte la saisine d'autorités administratives peut être directe, ici le spécifique l'emporte sur le général, l'esprit de la loi confiant la préservation directe des droits au responsable du traitement, la CNIL ne devant venir dans son office de supervision et de hashtag#sanction que dans un second stade. Cela illustre ce qu'est le Droit de la Compliance d'une façon plus générale, qui repose en premier lieu sur les opérateurs eux-mêmes. En outre, creuset de droits subjectifs divers, ici droit à l'hashtag#effacement mais aussi droit de verser des preuves aux débats, le Conseil d'Etat souligne que c'est ici l'office du juge judiciaire de veiller à la loyauté des débats.

____

🎬visionner ci-dessous cette vidéo de la série Surplomb⤵️

____

Surplomb, par mafr

la série de vidéos dédiée à la Régulation, la Compliance et la Vigilance

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

🌐s'abonner à la Newsletter en vidéo MAFR Surplomb/Overhang

____

► Référence complète : M.-A. Frison-Roche, 🚧Qui est en charge de rendre effectif le disposition de Compliance ?  Plutôt l'entreprise ou plutôt l'Autorité publique ? Exemple des données : CE, 27 janvier 2025, B. c/ CNIL, document de travail, février 2025.

____

🎤 Ce document de travail a été élaboré pour servir de base tout d'abord :

à la vidéo Surplomb👁 du 8 février 2025  : cliquer ICI

____

🎬🎬🎬Dans la collection des Surplomb👁 Il s'insère dans la catégorie des  Actualités.

►Voir la collection complète des Surplombs👁 : cliquer ICI

____

► Résumé du document de travail : Dans sa décision du 27 janvier 2025, le Conseil d'Etat a dans sa décision du 27 janvier 2025, B. c/ CNIL, eut à apporter une solution à un cas que les règles de Compliance applicable en matière de données n'avaient pas expressément prévu. Une personne qui estime qu'une autre a méconnu ses obligations imposées par le RGPD peut-elle saisir la CNIL et non pas le responsable de traitement ? 

Le Conseil d'Etat estime que la question est claire, qu'il n'est pas utile de poser une question préjudicielle à la CJUE. En effet, les textes imposent à celui qui allègue la méconnaissance de son droit de se tourner d'abord vers le responsable du traitement pour que l'information soit effacée avant de saisir dans un second temps la CNIL. En outre, il s'agissait en l'espèce d'informations personnelles insérées par des médecins dans un rapport d'expertise versé dans une instance judiciaire. Le Conseil d'Etat approuve la CNIL d'avoir estimé qu'elle n'a pas à contrôler et à apprécier les éléments de preuve, ce qui relève de l'office du juge judiciaire.

L'on mesure ici que, si par ailleurs sur la base du droit d'alerte la saine d'autorités administratives peut être directe, ici le spécifique l'emporte sur le général, l'esprit de la loi confiant la préservation directe des droits au responsable du traitement, la CNIL ne devant venir dans son office de supervision et de sanction que dans un second stade. Cela illustre ce qu'est le Droit de la Compliance d'une façon plus générale, qui repose en premier lieu sur les opérateurs eux-mêmes. En outre, creuset de droits subjectifs divers, ici droit à l'effacement mais aussi droit de verser aux débats, le Conseil d'Etat souligne que c'est ici l'office du juge judiciaire de veiller à la loyauté des débats.

____

🔓lire les développements ci-dessous⤵️

► Référence complète : CJUE, Première chambre, 9 janvier 2025, aff. C‑394/23, Mousse c/ CNIL et SNCF Connect

____

🏛️lire la décision

________

♾️suivre Marie-Anne Frison-Roche sur LinkedIn

♾️s'abonner à la Newsletter MAFR Regulation, Compliance, Law

____

► Référence complète : M.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et Volonté ; enjeu de responsabilité personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.

____

📧Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

____

🧱L'obligation légale de Compliance doit être exécutée grâce à des contrats, mais l'on ne peut s'en décharger par des contrats : CNIL, 15 juin 2023, Criteo 

____

📧lire l'article ⤵️

► Référence complète : I. Gavanon, "Data Protection Law in the Digital Economy Confronted to Monumental Goals", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) et Bruylant, 2023, p. 137-146.

____

📘consulter une présentation générale de l'ouvrage, Compliance Monumental Goals, dans lequel cet article est publié.

____

► Résumé de l'article : 

________

► Référence complète : A. Linden, "Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance", in M.-A. Frison-Roche (dir.), La juridictionnalisation de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2023, p. 235-239. 

____

📕consulter une présentation générale de l'ouvrage, La juridictionnalisation de la Compliance, dans lequel l'article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : En cas de manquement aux règles en matière de protection des données à caractère personnel, la formation restreinte de la CNIL prononce des amendes, des injonctions de "mise en conformité" ou des rappels à l'ordre. Elle peut ordonner la publication de ces mesures, qui peuvent être contestées devant le Conseil d'État.

Il est essentiel que ces décisions soient motivées, non seulement pour respect ce principe de droit mais encore concrètement pour que le public concerné, étant très hétérogène, les comprenne, le rôle pédagogique de la CNIL trouvant aussi à s'appliquer. 

Le principe de publicité est manié avec nuance, les responsables de traitement demandant souvent le huit-clos et très peu de public assistant à l'audience. A l'inverse la publicité des décisions est en elle-même une sanction. La publication peut d'ailleurs n'être pas totale ou peut n'avoir qu'un temps, l'anonymisation permettant souvent l'équilibre entre pédagogie nécessaire et préservation des intérêts, la CNIL prenant grande attention aux modalités mêmes de la publication, même si elle ne peut pas maîtriser la circulation et l'usage médiatique qui en est ensuite fait.

_________

Référence complète : Equinet : Pour une IA européenne protectrice et garante du principe de non-discrimination, Avis établissant des recommandations et des principes essentiels pour la future législation européenne portant sur l'intelligence artificielle, 21 juin 2022.

____

Lire l'avis. 

► Référence complète : A. Linden, "Motivation and publicity of the decisions of the Restricted formation of the French Data Protection Authority (Commission nationale de l'informatique et des libertés – CNIL) in a compliance perspective", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) et Bruylant, coll. "Compliance & Regulation", à paraître. 

____

📘consulter une présentation générale de l'ouvrage, Compliance Jurisdictionalisation, dans lequel cet article est publié

____

► Summary of the article (done by the Journal of Regulation and Compliance): In the event of a breach of the personal data protection rules, the restricted formation of the French personal data protection Commission (CNIL) pronounces fines, injunctions of "compliance" or calls to order. It can order the publication of these measures, which can be contested before the French High Administrative supreme court (Conseil d'État).

It is essential that these decisions be justified, not only in order to respect this principle of law but also concretely to obtain the public concerned, being very heterogeneous, understand them, the educational role of the CNIL also being applicable.

The principle of publicity is handled with nuance, the data controllers often requesting a closed door and, in fact, very few public attending the hearing. The publicity of decisions is in itself a sanction. The publication may moreover not be total or may only have a time, anonymization often allowing the balance between necessary pedagogy and preservation of interests, the CNIL taking great attention to the very modalities of publication, even if it cannot control the circulation and the media use which is then made of it.

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

_________

Référence complète des lignes directrices: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Référence complète de la recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Lire les lignes directrices

Lire la recommendation

Lire la présentation de cette recommendation et de ces lignes directrices par la CNIL

Regarder le film de 5 minutes sur le contenu, le sens et la portée de l'arrêt rendu par la première chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google.

Cet arrêt casse l'arrêt de la Cour d'appel de Paris qui valide le non-déférencement, après que la CNIL a demandé l'interprétation des textes, notamment du RGPD, parce que le droit à l'oubli doit limiter l'exception ici invoquée, à savoir le droit à l'information, même s'il s'agit d'une décision pénale concernant un commissaire-aux-comptes, car il s'agit d'une affaire privée et non pas ce qui concerne l'exercice de sa profession réglementée coeur du système financier. 

Lire la décision de la Première Chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google. 

🌐 suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence générale : M.-A. Frison-Roche, L'apport du Droit de la Compliance dans la Gouvernance d'Internet, rapport demandé par le Gouvernement, (remis en avril 2019), publié le 15 juillet 2019, 139 p.

_____

 📓 Lire le rapport

____

📝 Lire le résumé du rapport en 3 pages.

📝 Lire le résumé du rapport en 6 pages. 

____

►  Résumé du Rapport. "Gouverner Internet » ? Le Droit de la Compliance peut y aider.

Il consiste pour le Politique à viser des buts globaux dont il exige qu’ils soient atteints par des entreprises en position de le faire. Dans l’espace numérique construit sur le seul principe de Liberté, le Politique doit insérer un second principe : la Personne. Le respect de celle-ci, en équilibre avec la Liberté, peut être exigée par le Politique via le Droit de la Compliance qui internalise cette construction dans les entreprises numériques. Libéralisme et Humanisme deviennent les deux piliers de la Gouvernance d’Internet.

L’humanisme de la Compliance européenne vient alors enrichir le droit américain de la Compliance. Les opérateurs numériques cruciaux ainsi contraints, comme Facebook, YouTube, Google, etc., ne doivent alors n’exercer des pouvoirs que pour  mieux atteindre ces buts de protection des personnes (contre la haine, l’exploitation inadéquate des données, le terrorisme, etc.). Ils doivent garantir les droits des personnes, notamment les droits de propriété intellectuelle. Pour ce faire, il faut leur reconnaître le statut de « régulateurs de second niveau », supervisés par les autorités publiques.

Cette gouvernance de l’Internet par le Droit de la Compliance est en cours. Par l’Union bancaire. Par la finance verte. Par le RGDP. Il faut forcer le trait et donner une unité et une simplicité qui manquent encore, en insufflant une prétention politique à la Compliance : la Personne. La Cour de Justice l’a toujours fait. La Commission européenne à travers sa DG Connect y est prête.

►  Plan du Rapport (4 chapitres) : un état des lieux sur la digitalisation du monde (1), l'enjeu de civilisation qu'il constitue (2), les rapports de compliance tel qu'il convient de les concevoir entre l'Europe et les États-Unis, sans oublier que le monde ne se limite pas à eux, avec les solutions concrètes qui en découlent (3) et les solutions concrètes concrètes pour mieux organiser une gouvernance effective du numérique, en s'inspirant de ce qui est fait, notamment en matière bancaire, et en poursuivant ce qu'a déjà fait l'Europe en matière numérique, ce que l'a rendu déjà exemplaire et ce qu'elle doit poursuivre, la France pouvant être force de proposition par l'exemple (4).

____

📝 Voir la présentation écrite du rapport par Monsieur le Ministre Cédric O.

 🏛 Ecouter la présentation orale du rapport par Monsieur le Ministre Cédric O à l'occasion des discussions parlementaires de la loi contre les contenus haineux sur Internet. 

____

💬  Lire l'interview paru le 18 juillet 2019 : "Gouvernance d'Internet : un enjeu de civilisation". 

📝  Lire l'article rendant compte du rapport dans la Revue européenne du droit des médias et du numérique, automne 2019.

📻 Ecouter l'émission de France Culture du 21 juillet 2019 au cours de laquelle ses conséquences sont appliquées à la cryptomonnaie "Libra". 

 🏛 Présentation du Rapport au Collègue du Conseil Supérieur  de l'Audiovisuel (CSA) le 5 septembre 2019, suivie d'une discussion avec ses membres. 

💬  Lire l'interview paru le 20 décembre 2019 : "Le droit de la compliance pour réguler l'Internet".

____

Lire ci-dessous les 54 propositions qui concluent le Rapport.