Archives des Données gouvernance des données - Philippe Schmitt Avocats

La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données

Philippe Schmitt — Wed, 11 Feb 2026 14:25:54 +0000

La décision du 10 février 2026 de la Cour de justice présente un grand intérêt pour les entreprises visées par des procédures RGPD devant les autorités nationales comme la CNIL.

L'arrêt du 10 février 2026 ouvre la voie (ou confirme nettement l'accès) à un recours direct devant le juge de l'Union contre certaines décisions du CEPD, en plus du contentieux national contre la décision finale de l'autorité chef de file / de l'autorité nationale.

Les faits et décisions essentiels

L'autorité irlandaise de contrôle (DPC) ouvre une enquête sur WhatsApp, notamment au regard des obligations de transparence (RGPD).
Des désaccords surviennent entre autorités dans le mécanisme de cohérence (art. 63 RGPD), conduisant à l'activation du règlement des litiges par le CEPD (art. 65 RGPD).
Le CEPD adopte une décision (ici, décision 1/2021 du 28 juillet 2021) que l'arrêt indique contraignante.
L'autorité irlandaise adopte ensuite une décision finale (20 août 2021) conforme aux éléments tranchés par le CEPD. Le montant de l'amende initiale qui était de l'ordre de 30 à 50 millions atteint finalement 225 millions d'euros.
WhatsApp attaque directement la décision du CEPD devant le Tribunal de l'UE.
Le 7 décembre 2022, le Tribunal juge le recours irrecevable en qualifiant, en substance, la décision du CEPD d'acte intermédiaire ou d'acte préparatoire. Cet arrêt est commenté ici et aussi en juillet 2023 au Journal de droit européen.
Recours de WhatsApp.
La CJUE annule l'ordonnance du Tribunal, déclare le recours recevable et renvoie l'affaire au Tribunal pour juger le fond.

Les deux verrous contentieux sont levés

La décision du CEPD est un acte attaquable (art. 263 TFUE), car il a des effets juridiques contraignants pour l'autorité irlandaise.

L'entreprise est directement concernée puisque la décision du CEPD va modifier la situation de WhatsApp.

Conséquence immédiate pour les entreprises

Si une partie de la décision de l'autorité nationale qui vous est opposée découle nécessairement d'une décision contraignante du CEPD (art. 65), vous auriez un recours devant la juridiction de l'Union.

Mais il y a un bémol

Avec la décision du Tribunal du 7 décembre 2022, votre calendrier des actions contentieuses se fixait pour l'essentiel sur la décision de l'autorité nationale cheffe de file, y compris pour contester la position du CEPD.

Avec la position très claire de la Cour de justice, ne seriez-vous pas forclos ou prescrit dans vos actions contre les éléments contraignants en cas de décision du CEPD déjà intervenue ?

L’article La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données est apparu en premier sur Philippe Schmitt Avocats.

Comment agir face à l’addiction aux réseaux sociaux comme Tik Tok ?

Philippe Schmitt — Mon, 01 Apr 2024 13:31:33 +0000

Aux USA, et dans l’Union, deux réponses très différentes.

L’interdiction aux USA de l’« adversaire étranger »

Aux États-Unis, la Chambre des Représentants, le 13 mars, a voté leur interdiction sur le territoire dans les 180 jours quand il s’agit de TIK TOK ou qu’ils sont contrôles par des « adversaires étrangers ».

Ce texte qui doit encore être soumis au Sénat, ne se limite pas aux réseaux sociaux, il vise plus généralement les services associés aux places de marché et aux services d’hébergement sur Internet. Le texte transmis au Sénat.

Pour l’Union européenne, le respect des droits fondamentaux

Dans l’Union européenne, de nombreuses législations sont susceptibles de s’appliquer, en particulier le Règlement européen sur la protection des données, et ceux de l’Espace commun des données avec en particulier, le règlement 2022/2065 du 19 octobre 2022 relatif à un marché unique des services (DSA (Digital Services Act) et le règlement 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (DMA (Digital Market Act), totalement applicables depuis le 6 mars 2024.

Dix « services de plateforme essentiels » sont visés au DMA comme les rappelle la Commission.

services d’intermédiation (comme les places de marché, les boutiques d’applications) ;
moteurs de recherche ;
réseaux sociaux ;
plateformes de partage de vidéos ;
messageries en ligne ;
systèmes d’exploitation (dont les télévisions connectées) ;
services en nuage (cloud) ;
services publicitaires (tels les réseaux ou les échanges publicitaires) ;
navigateurs web ;
assistants virtuels.

Deux entreprises ont déjà fait l’objet de demandes formelles de la Commission.

X ex Twitter, en décembre 2023, à propos :

Des « systèmes de recommandation, les systèmes publicitaires ou la manipulation intentionnelle du service, ……. ainsi que l’amplification et la diffusion potentiellement rapide et large de contenus illégaux et d’informations incompatibles avec leurs conditions d’utilisation » ou encore à propos des mesures de modération des contenus, et des règles de publicités. C’est là

En février 2024. Des différents griefs adressés à TIK TOK, sont à citer :

« le respect des obligations qu’impose le règlement sur les services numériques en matière d’évaluation et d’atténuation des risques systémiques, en ce qui concerne les effets négatifs réels ou prévisibles découlant de la conception du système de Tiktok, y compris ses systèmes algorithmiques, susceptibles de stimuler les dépendances comportementales et/ou de créer des effets de «spirales infernales».

Une telle évaluation est requise pour contrer les risques potentiels pesant sur l’exercice du droit fondamental des individus au bien-être physique et mental, le respect des droits des enfants ainsi que l’impact sur les processus de radicalisation. En outre, les mesures d’atténuation mises en place à cet égard, notamment les outils de vérification de l’âge utilisés par TikTok pour empêcher les mineurs d’accéder à des contenus inappropriés, pourraient ne pas être raisonnables, proportionnées et efficaces ;.. » . C’est aussi là

L’article Comment agir face à l’addiction aux réseaux sociaux comme Tik Tok ? est apparu en premier sur Philippe Schmitt Avocats.

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Philippe Schmitt — Thu, 08 Dec 2022 15:01:18 +0000

Différentes autorités ont à connaitre des manquements au RGPD et aux règles applicables aux données personnelles. Quand une sanction intervient, quelle décision est à contester ? La décision du 7 décembre 2022 du Tribunal de l’Union montre que cette interrogation n’est pas dépourvue d’intérêt.

La décision du 7 décembre 2022

Très brièvement les deux événements centraux

À compter de décembre 2018, l’autorité de contrôle irlandais a entamé d’office une enquête à caractère général sur le respect par WhatsApp, – société irlandaise -, des obligations de transparence et d’information à l’égard des particuliers (articles 12, 13 et 14 du règlement 2016/679, le Règlement Général sur la Protection des Données).

Le 20 août 2021, l’autorité de contrôle irlandaise a adressé à WhatsApp un rappel à l’ordre d’un certain nombre d’actions à mettre en œuvre ainsi que différentes amendes administratives d’un montant cumulé de 225 millions d’euros.

Mais entre ces deux date, cette autorité irlandaise, – l’autorité de contrôle chef de file – à échanger avec d’autres autorités de contrôle nationales (Allemagne, Hongrie, Pays-Bas, Pologne, France, Italie et Portugal), sans que puisse être établi entre ces différentes autorités un consensus sur les mesures à prendre .

L’autorité irlandaise a alors saisi le Comité Européen de la Protection des Données, selon la procédure prévue au RGPD ( articles 64 et 64), dont la décision intervient le 28 juillet 2021.

Quelle décision WhatsApp devait contester celle d’août 2021 de l’autorité irlandaise chef de file ou celle de juillet 2021 du CEPD ?

La réponse est donnée par l’ordonnance du 7 décembre 2022 du Tribunal de l’union qui examine le recours de WhatsApp contre la décision du ….. CEPD.

Reprenant la jurisprudence de la Cour sur les procédures conduisant à l’élaboration d’actes en plusieurs phases, l’ordonnance rappelle « ..en principe ne constituent pas des actes attaquables les mesures intermédiaires dont l’objectif est de préparer la décision finale ».
De plus à la décision du 2 juillet 2021 ne sont parties que les autorités de contrôle nationales et non WhatsApp !
Comme WhatsApp bénéficie d’une voie de recours prévue par le RGPD devant le juge national de l’autorité chef de file, c’est-à-dire que WhatsApp bénéficie d’une protection juridictionnelle effective.

Le recours de WhatsApp est jugé irrecevable.

Toutefois, si WhatsApp a déjà déposé un recours contre la décision de l’autorité irlandaise, le contentieux européen n’est pas terminé, l’ordonnance précisant :

« il appartiendra le cas échéant à la juridiction irlandaise saisie, seule compétente à cet égard, de contrôler la légalité de la décision finale opposable à WhatsApp en posant une question préjudicielle en appréciation de validité à la Cour de justice de l’Union européenne en ce qui concerne la décision attaquée si elle l’estime nécessaire pour statuer sur le litige opposant WhatsApp à l’autorité de contrôle irlandaise. La juridiction irlandaise saisie pourrait, à cet égard, régler le litige qui lui est soumis soit en écartant l’exception d’illégalité qui pourrait être soulevée à l’encontre de la décision attaquée sans s’adresser à la Cour, si elle n’éprouve pas de doutes sur la validité de cette décision, soit au contraire saisir la Cour si elle éprouve de tels doutes, soit encore régler le litige indépendamment de la question de la validité de la décision attaquée compte tenu des moyens soulevés devant elle. »

L’article Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ? est apparu en premier sur Philippe Schmitt Avocats.

Gouvernance des données dans l’espace numérique européen

Philippe Schmitt — Fri, 17 Dec 2021 17:26:54 +0000

Gouvernance des Données dans l'Espace Numérique Européen

Premières indications sur le cadre réglementaire et ses applications

L'écosystème numérique européen en pleine transformation

Dans la construction d'un espace numérique européen compétitif et harmonisé, trois piliers réglementaires majeurs sont actuellement en développement (quatre si l'on inclut le règlement sur l'IA de confiance) :

Digital Services Act (DSA)

Protection des citoyens et régulation des plateformes

Digital Market Act (DMA)

Contrôle du marché numérique et lutte contre les abus de position dominante

Data Governance Act (DGA)

Création d'un cadre harmonisé pour la gouvernance des données

Parmi ces initiatives, le Data Governance Act joue un rôle fondamental en établissant les règles qui garantiront une concurrence équitable dans le marché intérieur numérique européen.

Pourquoi une gouvernance européenne des données est-elle essentielle ?

"Les technologies numériques ont profondément transformé l'économie et la société, impactant tous les secteurs d'activité et notre quotidien. Les données sont au cœur de cette révolution."

Face à cette réalité, l'Europe cherche à éviter deux écueils majeurs :

Le risque d'une législation fragmentée entre États membres, qui compromettrait l'unité du marché unique
Le besoin pressant d'un environnement législatif harmonisé et cohérent à l'échelle européenne

L'espace européen commun des données : une vision stratégique

Qu'est-ce que l'espace européen commun des données ?

L'objectif central du DGA est la création d'un espace européen commun des données – un véritable marché unique où les données peuvent être utilisées indépendamment de leur lieu de stockage physique dans l'Union.

Ce grand espace sera complété par des espaces européens communs spécifiques organisés selon deux logiques :

1. Par domaine d'application

Santé
Mobilité
Industrie manufacturière
Services financiers
Énergie
Agriculture

2. Par thématique transversale

Pacte vert européen
Administration publique
Compétences

Les trois principes fondamentaux du Data Governance Act

Dans cette architecture ambitieuse, le DGA s'articule autour de trois principes directeurs :

Disponibilité accrue des données

Pour une utilisation plus large et plus efficace

Renforcement de la confiance

Envers les intermédiaires de données

Amélioration des mécanismes de partage

À l'échelle européenne

Pour concrétiser ces principes, le règlement introduit deux concepts novateurs :

Une séparation claire entre fourniture, intermédiation et utilisation des données
La neutralité obligatoire des prestataires de services de partage de données entre détenteurs et utilisateurs

Réutilisation des données publiques : un gisement stratégique à exploiter

Le DGA s'intéresse particulièrement aux données détenues par les organismes du secteur public soumises à des droits de tiers, complétant ainsi la directive sur les données ouvertes de 2019.

Le rôle stratégique du secteur public dans l'économie des données

Le règlement reconnaît trois atouts majeurs du secteur public :

Sa position privilégiée dans la détention de vastes ensembles de données critiques (santé, transport, mobilité...)
Sa responsabilité dans l'élaboration des règles techniques et administratives appliquées à ces données
Le principe fondamental que les données produites avec l'argent public doivent bénéficier à la société

Quelles données publiques sont concernées par le DGA ?

Données couvertes par le règlement

Les données publiques protégées pour des motifs de :

Confidentialité des informations commerciales
Confidentialité des données statistiques
Protection des droits de propriété intellectuelle de tiers
Protection des données personnelles

Données exclues du règlement

Données détenues par des entreprises publiques
Données des radiodiffuseurs de service public et leurs filiales
Données des établissements culturels et d'enseignement
Données protégées pour des raisons de sécurité nationale
Données relevant d'activités hors mission de service public

Les règles d'or pour une réutilisation légale des données publiques

Le DGA établit un cadre strict pour la réutilisation des données publiques :

Règle	Description	Référence
1	Interdiction stricte des accords d'exclusivité	Article 4
2	Conditions de réutilisation "non discriminatoires, proportionnées et objectivement justifiées"	Article 5
3	Application des mêmes principes aux éventuelles redevances	Article 6

Les prestataires de services de partage de données : les nouveaux gardiens du temple numérique

Pour garantir la neutralité des échanges, le DGA crée une nouvelle catégorie d'acteurs : les prestataires de services de partage de données, dont la mission est de "renforcer la capacité d'action individuelle et le contrôle des personnes sur leurs propres données".

Trois types de services proposés par ces nouveaux intermédiaires

1. Services d'intermédiation

Entre organisations détentrices de données et utilisateurs potentiels

2. Services de mise en relation

Entre individus souhaitant partager leurs données personnelles et utilisateurs potentiels

3. Coopératives de données

Structures respectant des conditions strictes de consentement et d'intérêt pour les personnes concernées

Ces prestataires seront soumis à une notification préalable auprès d'une autorité compétente désignée par chaque État membre.

L'altruisme des données : quand le partage sert l'intérêt général

Le DGA innove en créant le concept d'organisations altruistes en matière de données – des structures permettant l'utilisation volontaire de données à des fins d'intérêt général.

Des finalités multiples au service du bien commun

Améliorer les soins de santé
Lutter contre le changement climatique
Faciliter l'établissement de statistiques officielles
Soutenir la recherche scientifique
Développement technologique

Un cadre de confiance pour l'altruisme des données

Un aspect particulièrement innovant : la constitution de "réserves de données" d'une taille suffisante pour permettre l'analyse et l'apprentissage automatique, y compris au-delà des frontières de l'UE.

Exigences pour les organisations altruistes :

S'enregistrer dans un "registre d'organisations altruistes reconnues"
Respecter des conditions strictes de transparence
Fournir des informations claires sur l'utilisation des données
Garantir le consentement des personnes concernées
Assurer la protection des données personnelles

Gouvernance et contrôle : garantir l'intégrité du système

Les autorités de contrôle : gardiennes des nouvelles règles

Chaque État membre désignera des autorités chargées de superviser :

Les prestataires de services de partage de données
Le registre des organisations altruistes

Ces autorités devront agir de manière "impartiale, transparente, cohérente, fiable et rapide" et maintenir une indépendance vis-à-vis des marchés concernés.

Le Comité européen de l'innovation dans le domaine des données

Ce nouvel organe, présidé par la Commission européenne, coordonnera les efforts entre les différentes autorités nationales et fournira conseils et assistance sur les questions de gouvernance des données.

Protection des données européennes face aux ingérences étrangères

Le DGA établit un dispositif de blocage pour protéger les données européennes contre les demandes de juridictions ou d'autorités administratives de pays tiers.

Conditions strictes pour l'exécution de décisions étrangères

Une décision étrangère concernant des données européennes ne pourra être exécutée qu'en présence de :

Un accord international ou un traité d'entraide avec le pays tiers concerné
Le respect par l'autorité étrangère de certains impératifs
Un avis favorable d'une autorité compétente européenne

En cas de demande légitime, seul "le volume minimal de données admissible" pourra être fourni, et le détenteur des données devra être informé (sauf exceptions en matière répressive).

Conclusion : Vers un nouveau paradigme européen de la donnée

Le Data Governance Act représente une étape décisive dans la construction d'un espace numérique européen souverain et compétitif. En établissant des règles claires pour la gouvernance des données, l'Europe affirme sa vision :

Des données plus accessibles et mieux partagées

Une confiance renforcée dans l'écosystème numérique

Une protection efficace contre les ingérences extérieures

Un équilibre entre innovation, protection des droits et intérêt général

Pour les entreprises et organisations publiques, l'adaptation à ce nouveau cadre devient un impératif stratégique. Pour les citoyens, c'est la promesse d'un contrôle accru sur leurs données personnelles et d'une utilisation plus éthique de celles-ci.

L’article Gouvernance des données dans l’espace numérique européen est apparu en premier sur Philippe Schmitt Avocats.