05
septembre
2023
Nouvelle décision d’adéquation concernant le transfert de données entre l’Union européenne et les États-Unis
Author:
TAoMA
La Commission européenne a adopté une nouvelle décision d’adéquation le 10 juillet 2023 relative au transfert de données personnelles entre l’Union Européenne et les Etats-Unis1.
Contexte
Cette décision intervient dans un contexte particulier aux termes duquel la Cour de Justice de l’Union européenne a invalidé par deux fois les accords passés entre les Etats-Unis et l’Union européenne relatifs à la protection des données personnelles (SAFE HARBOR2 et PRIVACY SHIELD3).
En réponse à ces invalidations, les Etats-Unis ont adopté en octobre dernier une nouvelle législation qui a été soumise à la Commission européenne pour validation.
Dans sa décision du 10 juillet 2023, cette dernière valide le Cadre de protection des données (ou « Data Privacy Framework ») mis en place par les Etats-Unis en considérant qu’il apporte un niveau de protection de données équivalent à celui de l’Union européenne4.
Les entreprises soumises au Règlement Général sur la Protection des Données (RGPD) pourront désormais plus facilement transférer des données personnelles vers des entreprises américaines.
Les conditions posées par le Cadre de protection des données
Pour bénéficier des avantages offerts par le Data Privacy Framework, les entreprises américaines devront respecter plusieurs obligations, telles que par exemple :
la suppression des données lorsqu’elles ne sont plus nécessaires pour la finalité recherchée ;
l’établissement d’un droit d’accès aux données personnelles au profit des personnes concernées leur permettant de s’assurer de leur exactitude, de les corriger, sinon d’exiger leur effacement si elles sont fausses ou ont été collectées en violation des principes de collecte.
La nouvelle législation prévoit en outre un système d’auto-certification par lequel les entreprises américaines s’engagent à respecter les principes posés par le cadre de protection des données et à renouveler annuellement et publiquement leur certification.
L’Agence pour le commerce international, relevant du Ministère américain du commerce, tient à jour une liste d’entreprises se conformant à ce nouveau cadre légal. Plusieurs informations y sont répertoriées pour faciliter les requêtes des consommateurs directement auprès des responsables des traitements.
Les nouvelles garanties apportées aux résidents européens par cette nouvelle législation
Le Cadre de protection des données apporte un niveau de protection plus important au bénéfice des personnes dont les données personnelles sont transférées.
En effet, les citoyens de l’Union européenne bénéficieront désormais de voies de recours contre les entreprises américaines pour s’assurer du respect de leurs droits, grâce à des “mécanismes indépendants de règlement des litiges et d’un panel spécial d’arbitrage”.
Il est également prévu que les services de renseignement américain ne pourront accéder aux données personnelles que si cela est nécessaire et proportionné.
Le transfert de données auprès de sociétés américaines facilité – ce que cette décision change
Dans ce cadre, les entreprises européennes souhaitant transférer des données personnelles vers les entreprises américaines certifiées n’ont désormais plus à prévoir de garanties appropriées exigées par l’article 46 du RGPD, telles que le recours à des clauses, contractuelles types.
Ainsi, avant tout transfert de données aux Etats-Unis, les entreprises européennes devront s’assurer que les sociétés américaines à qui elles transfèrent des données personnelles disposent d’une certification.
Si tel n’est pas le cas, il faudra alors mettre en place des garanties appropriées et notamment avoir recours à des clauses contractuelles types de transfert de données, élaborées par la Commission européenne.
Un accord sous haute surveillance
La Commission européenne surveillera le respect de ce “Privacy Shield 2.0” par les entreprises américaines, tandis que la Commission fédérale du commerce des États-Unis supervisera le cadre de protection.
À peine adopté, des acteurs de l’Union européenne, soucieux de la protection des données à caractère personnel, ont déjà fait part de leur volonté de contester en justice ce nouveau cadre légal, à l’instar de Noyb, organisation à but non lucratif cofondée par l’avocat autrichien Max Schrems5.
Reste à savoir quel sera le sort réservé à ce troisième cadre régissant le transfert des données entre les Etats-Unis et l’Union européenne.
Arthur Burger
Stagiaire juriste
Margaux Maarek
Juriste
(1) https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721 et https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
(2 CJUE, 6 octobre 2015, C-362/14, Maximillian Schrems contre Data Protection Commissioner
(3) https://www.cnil.fr/fr/definition/privacy-shield et CJUE, 16 juillet 2020 C-311/18 Facebook Ireland et Schrems
(4) https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
(5) https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu
24
janvier
2023
Digital Market Act et Digital Service Act : à quoi correspondent ces Règlements européens visant à réguler internet ?
Author:
TAoMA
Définitivement votés par le parlement européen en juillet 2022, le Règlement sur les marchés numériques (Digital Markets Act ou DMA) et le Règlement sur les services numériques (Digital Services Act ou DSA) ont été publiés respectivement les 12 et 27 octobre 2022.
En apparence différents, ces deux règlements visent à assainir le marché numérique de manière durable, avec deux objectifs distincts, celui de lutter contre les pratiques anticoncurrentielles des géants de l’Internet et celui de lutter contre les contenus illicites en ligne.
Mais que vont-ils concrètement changer ? Quels sont les acteurs concernés ? Pour quelles activités ? Quelles sont les sanctions en cas de non-respect ?
I. Le règlement sur les marchés numériques
Le DMA affiche un objectif clair et limpide : lutter contre les pratiques anticoncurrentielles des géants de l’Internet (notamment les GAFAM) et corriger les déséquilibres causés par leur domination.
Toutes les entreprises ne sont pas concernées par le DMA. Celui-ci ne cible que les « Gatekeepers », autrement dit, les contrôleurs d’accès à l’entrée d’Internet, les PME étant épargnées par cette qualification. Sont qualifiées de Gatekeepers les plateformes qui :
Ont un chiffre d’affaires ou une valorisation boursière très élevée (plus de 7,5 milliards d’euros de chiffre d’affaires annuel en Europe dans les 3 dernières années ou une valorisation en bourse d’au moins 75 milliards d’euros durant la dernière année)
Enregistrent un grand nombre d’utilisateurs dans l’UE (plus de 45 millions d’utilisateurs mensuels actifs et plus de 10 000 professionnels par an pendant les trois dernières années)
Fournissent un ou plusieurs services de plateforme essentiels dans au moins trois pays européens
Le DMA concerne donc les services de plateformes jugés essentiels tels que les services de messagerie, les réseaux sociaux, les moteurs de recherches ou encore les marketplaces.
Pour ce faire, des outils de régulation ex-ante sont mis en place afin de créer une concurrence loyale entres les acteurs, de stimuler l’innovation, la croissance et la compétitivité sur le marché numérique et, enfin, de renforcer la liberté de choix des consommateurs européens.
Parmi ces outils figurent une vingtaine d’obligations (désinstallation facile d’applications préinstallées ; désabonnement à un service de plateforme essentiel aussi simple que l’abonnement, etc.) ou d’interdictions (réutilisation de données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite ; fait d’imposer des logiciels importants comme un moteur de recherche par défaut à l’installation du système d’exploitation, etc.) que les responsables de traitement devront respecter sous peine d’amende. Toute personne qui s’estime lésée pourra, sur la base de ces obligations ou interdictions, demander, devant les juges nationaux, des dommages et intérêts.
De même, en cas de non-respect du DMA, la Commission Européenne pourra prononcer, à l’égard du Gatekeepers des amendes proportionnelles à son chiffre d’affaires (jusqu’à 10% du chiffre d’affaires mondial ou 20% en cas de récidive). Des mesures correctives additionnelles sont prévues en cas de violation systématique (notamment, une cession de parties de l’activité du contrôleur d’accès).
II. Le règlement sur les services numériques
La volonté des législateurs européens, au travers de ce règlement, est de mettre en place un système selon lequel tout ce qui est illégal hors ligne l’est également en ligne.
Le DSA s’applique à toutes les plateformes en ligne qui offrent des biens, contenus ou services sur le marché européen. Cela signifie que même les sociétés étrangères opérant en Europe sont concernées. Parmi ces plateformes, sont notamment visés les fournisseurs d’accès à internet (FAI), les services de cloud, les marketplaces, les réseaux sociaux, les plateformes de partage de contenus, etc.
Dans cette perspective, le règlement fixe un ensemble de mesures, graduées selon les acteurs en ligne et leur rôle, qui viennent lutter contre les contenus illicites en ligne et incitent les plateformes à se responsabiliser.
Les mesures prévues par ce règlement peuvent être classées selon trois catégories, la lutte contre les contenus illicites, la transparence en ligne et, l’atténuation des risques et réponse aux crises.
D’abord, concernant la première catégorie, un système permettant aux internautes de signaler facilement les contenus illicites devra être mis en place. En ce sens, les plateformes devront coopérer avec des signaleurs de confiance dont les signalements seront traités en priorité. Une fois le contenu illicite signalé, les plateformes devront retirer ou bloquer rapidement le contenu.
Par ailleurs, les marketplaces devront mieux tracer les vendeurs proposant des produits et services ainsi que mieux informer les consommateurs.
Ensuite, concernant la transparence en ligne, les plateformes auront l’obligation d’avoir un système de traitement interne des réclamations. Elles devront également expliquer le fonctionnement des algorithmes qu’elles utilisent pour recommander des contenus publicitaires fondés sur le profil des utilisateurs et, pour les plus grandes plateformes, l’obligation de proposer un système de recommandation de contenus non-fondé sur le profilage.
Enfin, le troisième volet d’obligations concerne les très grandes plateformes et les très grands moteurs de recherche dont la liste sera fixée par la Commission européenne. Ils devront entre autres, analyser tous les ans les risques systémiques qu’ils génèrent et effectuer des audits indépendants de réductions des risques sous le contrôle de la Commission. Ils devront également fournir une analyse des risques que posent leurs interfaces lorsqu’une crise émerge (santé publique ou sécurité publique), la Commission pouvant même leur imposer durant un temps limité des mesures d’urgence.
Les sanctions notables semblent pouvoir pousser les entreprises à se plier au respect du règlement. Dans le cas contraire la Commission peut prononcer des amendes allant jusqu’à 6% du chiffre d’affaires annuel mondial des entreprises, voire, en cas de violations graves et répétées, leur interdire d’exercer leur activité sur le marché européen.
Alors que le DMA cible certains acteurs, le DSA à un spectre beaucoup plus large, s’adressant à tous les intermédiaires qui offrent leurs services sur le marché européen (FAI, places de marché, réseaux sociaux…etc). Des règles spécifiques s’appliqueront aux plateformes ayant une audience importante au sein de l’Union européenne (plateforme de plus de 45 millions d’utilisateurs actifs par mois). Inversement, les plus petites plateformes seront quant à elles exemptées de certaines obligations (PME).
Pour ce qui est de leur entrée en vigueur respective, le Règlement DMA serait applicable dès mai 2023, le temps, pour la Commission, de prendre les actes nécessaires à la mise en œuvre des nouvelles règles. Concernant le Règlement DSA, il est entré en vigueur en novembre 2022 avec une applicabilité en février 2024, exception faite pour les très grandes plateformes en ligne et les très grands moteurs de recherche pour qui le règlement serait applicable dès 2023 (4 mois après que la Commission européenne en aura établi la liste).
Les équipes de TAoMA sont à votre disposition pour toute question que vous pourriez avoir sur le sujet ou pour échanger avec vous de ces réformes importantes et impactantes aussi bien pour les sociétés concernées que pour les consommateurs.
Nathan Audinet
Stagiaire Pôle Avocats
Jean-Charles Nicollet
Conseil en Propriété Industrielle
25
janvier
2021
Cidre de Perche: 22 ans pour obtenir l’AOC!
Author:
teamtaomanews
Les producteurs de cidre de Perche peuvent se réjouir d’avoir obtenu la consécration pour leurs produits : le sceau de l’Appellation d’Origine Contrôlée, de son petit nom AOC.
Nous pourrions être mauvaises langues et nous dire qu’il s’agit d’une AOC de plus, mais il s’agirait d’un commentaire réducteur. La procédure pour obtenir une AOC est longue et compliquée. Dans le cadre du cidre de Perche, il aura fallu près de 22 ans aux producteurs pour obtenir le graal !
En effet, l’AOC signifie que le produit bénéficie de caractéristiques, notamment gustatives, qui résultent aussi bien de la qualité du terroir et des produits locaux que du savoir-faire des producteurs de la région. Toutes les étapes de production doivent être réalisées dans l’aire géographique que l’AOC couvrira.
Il revient donc aux producteurs, qui souhaitent obtenir une AOC, d’apporter la preuve que les caractéristiques de leurs produits ne peuvent être obtenues que dans leur aire géographique. Seul moyen, faire conduire de nombreuses études par des experts sur la topographie, les qualités particulières de la terre locale par rapport à d’autres zones, les méthodes de production, etc.
Toutes ces études prennent du temps et surtout, représentent un investissement financier important. La quête du sceau sacré implique ainsi une démarche réfléchie des producteurs qui croient en leurs produits.
Car le chemin ne s’arrête pas une fois l’AOC obtenue. Le dossier est ensuite transmis à la Commission européenne. Cette dernière en fera une étude minutieuse, pourra demander des compléments d’expertises, etc. Enfin, elle décidera soit de valider l’AOC, qui cèdera alors sa place à l’AOP (Appellation d’Origine Protégée) et sera inscrite au registre européen, soit de refuser l’AOC, entrainant sa disparition.
Dans le cadre de l’AOC cidre de Perche, la Commission européenne pourrait rendre sa décision d’ici la fin de l’année 2021. Les producteurs ne sont donc pas encore au bout de leurs peines, une AOC, ça se mérite !
Jean-Charles Nicollet
Conseil en Propriété Industrielle
Responsable du Pôle juridique CPI