Archives des consentement - Philippe Schmitt Avocats

Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative

Philippe Schmitt — Tue, 12 Aug 2025 14:15:17 +0000

Consentement ou Intérêt Légitime : IA et Protection des Données Personnelles selon le RGPD

Consentement ou Intérêt Légitime

La Surprise sur le Visage : Données Traitées par IA et RGPD

Les modèles d'IA génératifs surprennent, nous amusent-ils toujours ?

La réponse appartient aux utilisateurs de réseaux sociaux qui trop rapidement ont coché favorablement les utilisations des plateformes.

L'article publié le 1er août revient sur les évènements qui depuis fin mai 2025 interpellent les utilisateurs des réseaux sociaux, et illustre la distinction posée au RGPD entre le consentement requis et le seul intérêt de la plateforme.

« Votre visage ou vos traits sur une image générée par une IA »

Tout le monde ne supporte pas son image mise en scène dans des situations non acceptées. Cet été sera-t-il le début du cauchemar pour de nombreux utilisateurs des plates-formes des réseaux sociaux ? - Des personnalités publiques, notamment des politiciens et des célébrités, ont exprimé leur préoccupation face à l'utilisation non autorisée de leur image dans des contenus générés par IA.

Cadre Juridique Français

Article 9 du Code civil : "Chacun a droit au respect de sa vie privée"

Article 226-8 du Code pénal : Protection contre la publication de l'image d'une personne sans son consentement

Jurisprudence Cour de cassation (2007) : Renforcement de la protection du droit à l'image en droit français

Chronologie : L'Évolution du Cadre Légal (2024-2025)

Mars 2024

Meta soumet une demande à l'autorité irlandaise de protection des données pour modifier sa base juridique de traitement des données utilisateurs en Europe.

Décembre 2024

Publication de l'Avis 28/2024 du Comité européen de protection des données (CEPD) sur l'IA et la protection des données personnelles.

Mai 2025

Feu vert de l'autorité irlandaise : Meta peut désormais s'appuyer sur l'intérêt légitime (article 6.1.f du RGPD) pour entraîner ses systèmes d'IA sur les contenus publics des utilisateurs européens.

Fin mai 2025

Modification des conditions d'utilisation de Meta (Facebook, Instagram, WhatsApp) permettant l'entraînement IA sur contenus publics.

Été 2025

Multiplication des recours judiciaires, notamment en Allemagne, et opposition persistante de la société civile et d'autorités nationales.

Base Juridique : Intérêt Légitime vs Consentement

Fragilité de l'Accord

L'utilisation de l'intérêt légitime comme base juridique pour l'entraînement d'IA générative reste hautement contestée. Les actions judiciaires se multiplient, remettant en question la validité de ce fondement juridique.

L'Article 6.1.f du RGPD : Intérêt Légitime

Cet article permet le traitement des données personnelles lorsque :

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Ces intérêts ne sont pas supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée

Le Test en Trois Étapes du CEPD

1. Identification de l'Intérêt

Le responsable du traitement doit clairement identifier l'intérêt légitime poursuivi.

2. Nécessité du Traitement

Le traitement doit être strictement nécessaire pour atteindre cet intérêt légitime.

3. Mise en Balance

L'intérêt légitime doit être mis en balance avec les droits et libertés fondamentaux de la personne concernée.

Conséquences sur l'Exigence du Consentement Explicite

La distinction entre consentement et intérêt légitime soulève des questions fondamentales sur la protection des données personnelles dans l'ère de l'IA générative.

Validité et Facilité du Consentement

Le RGPD exige que le consentement soit :

Compréhensible : formulé en termes clairs et simples
Accessible : facilement identifiable dans l'interface utilisateur
Révocable : possibilité réelle de retrait du consentement ("opt-out")
Granulaire : consentement spécifique pour chaque finalité

Insuffisances de l'Anonymisation

Les premiers retours d'utilisateurs montrent que l'anonymisation actuellement pratiquée ne suffit pas : des utilisateurs reconnaissent leurs images dans des contenus générés par IA sans leur accord explicite.

Conformité UX des Plateformes

Les processus de consentement et d'opt-out proposés par Meta soulèvent des interrogations sur leur conformité au RGPD, notamment concernant la réelle facilité de retrait du consentement et la clarté des informations fournies aux utilisateurs.

Risques Juridiques et Jurisprudence

Protection Renforcée en Droit Français

La forte protection du droit à l'image et à la vie privée en droit français (articles 9 du Code civil, 226-8 du Code pénal, jurisprudence de 2007) crée un environnement juridique particulièrement strict pour l'utilisation d'images personnelles par l'IA.

Actions Judiciaires en Cours

Recours multiples en Allemagne contestant la validité de l'intérêt légitime
Opposition des autorités nationales de protection des données
Mobilisation de la société civile européenne
Remise en question de l'accord Meta-Irlande par d'autres États membres

Situation Juridique Incertaine

L'incertitude persiste quant à la base légale valable pour l'entraînement d'IA sur des données personnelles. Cette situation impose une vigilance accrue à tous les développeurs de modèles IA pour respecter scrupuleusement les exigences combinées du RGPD.

Références et Sources

Textes Légaux

Documents Officiels

Articles de Presse Référencés

Recommandations pour les Organisations

Évaluation Préalable

Analyser la base juridique appropriée (consentement vs intérêt légitime)
Effectuer le test en trois étapes du CEPD pour l'intérêt légitime
Documenter l'analyse de proportionnalité

Mise en Conformité

Garantir un consentement libre, éclairé et révocable
Implémenter des mécanismes d'opt-out effectifs
Assurer la transparence sur l'utilisation des données

Accompagnement Juridique Spécialisé

Face à la complexité croissante du cadre réglementaire et aux incertitudes juridiques actuelles, l'accompagnement par des professionnels spécialisés en droit des nouvelles technologies et protection des données devient essentiel.

Notre cabinet d'avocats vous accompagne dans l'analyse de vos obligations RGPD et la mise en conformité de vos traitements de données personnelles dans le contexte de l'intelligence artificielle.

L’article Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : cocher une case est-ce suffisant ?

Philippe Schmitt — Wed, 10 Mar 2021 07:59:06 +0000

Parmi les dispositifs utilisés pour établir le consentement de la personne pour l’utilisation et la conservation de données personnelles la concernant, la case à cocher. Dans une affaire où un opérateur de téléphonie contestait la décision de l’autorité de régulation qui l’a condamné à une amende pour avoir collecté et conservé des copies de titres d’identité de ses clients sans leur consentement valable et lui a imposé de détruire ces copies, la Cour de justice, le 11 novembre 2020, examine des pratiques qui ne remplissent pas les exigences attendues.

« L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens qu’il appartient au responsable du traitement des données de démontrer que la personne concernée a, par un comportement actif, manifesté son consentement au traitement de ses données à caractère personnel et qu’elle a obtenu, préalablement, une information au regard de toutes les circonstances entourant ce traitement, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, lui permettant de déterminer facilement les conséquences de ce consentement, de sorte qu’il soit garanti que celui-ci soit donné en pleine connaissance de cause. Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque

– la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque

– les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque

– le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus« .

L’article Données personnelles : cocher une case est-ce suffisant ? est apparu en premier sur Philippe Schmitt Avocats.

RGPD : les modalités pratiques du consentement seront-elles définies par ordonnance ou par la CNIL ?

Philippe Schmitt — Thu, 15 Feb 2018 15:40:24 +0000

Le 13 février 2018, l’Assemblée Nationale a voté le projet de loi sur la protection des données personnelles. Le Sénat l’examinera prochainement. Parmi les bases du RGPD, le consentement, le 7 février, les députés en ont débattu.

Avant l’article 14 A

Mme la présidente. Je suis saisie de quatre amendements, n^os86, 91, 92 et 184, pouvant être soumis à une discussion commune.

La parole est à M. Erwan Balanant, pour soutenir l’amendement n^o86.

Erwan Balanant. Cet amendement vise à intégrer la définition du consentement donnée par la CNIL et le groupe de travail de l’article 29 sur la protection des données – G29. Il vise à définir les qualités essentielles que doit revêtir le consentement au traitement des données personnelles : la loyauté, le caractère volontaire, libre, spécifique et informé. Le consentement doit être délivré de manière libre et spécifique, comme le réaffirme la CNIL dans l’article 6 de la norme simplifiée NS-48. Cet amendement vise également à renforcer l’information donnée aux consommateurs, en reprenant cette norme simplifiée. Pour cela, l’accent doit notamment être mis sur l’utilisation que le site internet fera des données personnelles, plus particulièrement lorsque le site a pour ambition de vendre les données récoltées. Il s’agit de mettre en place une information claire, compréhensible et visible pour l’utilisateur, grâce à laquelle il aura connaissance de la finalité du traitement. Par conséquent, ce message informatif devra être communiqué autrement que par des conditions générales ou un règlement. Nous savons que le Gouvernement procédera, par ordonnance, à la mise en conformité de la législation relative à la protection des données personnelles, mais nous pensons que le consentement au traitement des données nécessite une attention particulière. Le sujet est suffisamment important pour qu’un dispositif de protection soit introduit dans le présent projet de loi.
Enfin, bien que le Conseil d’État considère que l’utilisateur d’un service ne peut se prévaloir d’un droit de propriété sur les données personnelles transférées via un site internet, nous estimons que celui-ci doit être pleinement informé de ce à quoi il consent s’agissant de la finalité du traitement de ses données.

Mme la présidente. Les amendements n^os91 et 92 peuvent faire l’objet d’une présentation groupée.

La parole est à M. Bruno Bonnell, pour les soutenir.

Bruno Bonnell. L’auteure de ces deux amendements est Mme Brocard. Chers collègues, savez-vous combien de fois, chaque jour, vos données personnelles, votre géolocalisation, votre adresse IP, vos goûts, vos opinions, votre situation familiale sont traités, malaxés, enrichis, extraits, pour vous délivrer une publicité, vous cibler ou vous envoyer un courriel ? C’est fait en toute légalité, car, vous ne le savez pas, mais vous avez donné votre consentement. Avez-vous compté le nombre de messages non désirés, de spams, qui envahissent votre boîte de réception ? Vous ne le savez pas, mais vous avez donné votre consentement. En effet, pour obtenir discrètement votre consentement, les opérateurs usent d’artifices toujours plus élaborés. On vous demande de cliquer sur de gros boutons – « valider », « je m’inscris », « j’achète » –, suivis de petites lignes illisibles et alambiquées indiquant : « en m’inscrivant, j’accepte… ». Beaucoup plus bas, sur la même page, figure une phrase encore plus illisible, qui vous propose de refuser le traitement de vos données. Mais vous ne la voyez jamais, puisqu’elle a disparu quand vous avez cliqué sur le gros bouton.
Par cet amendement, nous proposons que l’action permettant de recueillir le consentement volontaire prévue par le RGPD n’ait aucune autre finalité. Ce consentement ne doit pas être dilué dans d’autres considérations. Il doit être possible de lire le formulaire jusqu’au bout avant de passer à une autre page. Le consentement ne doit pas être extorqué par un artifice.

Au titre du RGPD, le consentement est donné par un acte positif clair. Nous souhaitons que celui-ci ne génère aucune autre action, et qu’une case cochée puisse être décochée avant de passer à autre chose.

J’en viens à l’amendement n^o92. Le RGPD définit ainsi les bases d’obtention du consentement : « toute manifestation de volonté libre spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». En 2004, la loi pour la confiance dans l’économie numérique donnait déjà une définition similaire : on entend par consentement « toute manifestation de volonté libre, spécifique et informée ».

Ces formulations ne sont que des bases de travail, tant pour les opérateurs que pour la CNIL. Il me semble nécessaire de préciser ce qu’il est possible de faire et ce qu’il convient de ne pas faire pour être en accord avec ces principes, afin de protéger non seulement les personnes concernées, puisque les opérateurs, comme c’est le cas depuis la loi pour la confiance dans l’économie numérique, n’ont de cesse de trouver des artifices pour contourner ces principes et obtenir les consentements, mais également les opérateurs eux-mêmes, qui ont besoin d’avoir la certitude que leur méthode de recueil de consentements ne sera pas sanctionnée, le RGPD les obligeant à conserver des traces de cette méthode pour un contrôle éventuel.

Nous proposons donc que la CNIL, en s’appuyant sur son travail au sein du G29 ainsi que sur l’observation des plaintes et sur l’expérience de ses nouveaux pouvoirs de contrôle et de sanction, établisse une norme qui définisse clairement les principes d’obtention du consentement, et que cette norme soit révisée afin de tenir compte de la jurisprudence, des nouvelles pratiques et des nouvelles technologies.

Mme la présidente. La parole est à Mme la rapporteure, pour soutenir l’amendement n^o184 de la commission et donner l’avis de la commission sur les autres amendements en discussion commune.

Mme Paula Forteza, rapporteure. Cet amendement propose d’inscrire dans la loi de 1978 un renvoi à la définition du consentement figurant dans le RGPD. Le consentement est la préoccupation de tous, parce qu’il est la clé de voûte du texte. Tant que l’ordonnance n’est pas prise, il convient, pour tous les acteurs, de se référer à la loi de 1978. De manière exceptionnelle, nous nous sommes donc permis, du fait que nous n’avons pas pu nous pencher sur tous les grands dispositifs du texte, d’inscrire ce renvoi en attendant l’ordonnance qui sera prise par le Gouvernement.

En conséquence, avis défavorable à tous les autres amendements en discussion commune.

Mme la présidente. Quel est l’avis du Gouvernement ?

Mme Nicole Belloubet, garde des sceaux. Le Gouvernement émet un avis favorable à l’amendement n^o184. En effet, par rapport à la directive de 1995, le RGPD apporte des éclaircissements et des précisions sur les exigences relatives à l’obtention et à la démonstration de l’existence d’un consentement valide, notion que nous avons déjà abordée en commission. L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce consentement, au sein du règlement, est du reste une des six bases légales pour considérer qu’un traitement est licite. Il constitue une des clés de voûte de la protection des données à caractère personnel. La notion de consentement est également précisée à l’article 7 du RGPD, qui porte sur les conditions applicables au consentement, ainsi que dans plusieurs considérants, notamment les considérants 32 et 33.

Comme vous le savez, le droit des États membres ne peut pas se borner – je l’ai déjà souligné – à recopier les dispositions directement applicables issues des règlements de l’Union. Toutefois, afin de répondre à une attente légitime de clarification exprimée par plusieurs d’entre vous, il est possible que la loi renvoie à la définition de l’article 4 et aux conditions de l’article 7 applicables au consentement. Je suis donc favorable à l’amendement de la rapporteure ; c’est d’ailleurs ainsi que le Gouvernement procédera dans le cadre de l’ordonnance pour rappeler des droits contenus dans le règlement.

En conséquence, j’émets un avis défavorable aux autres amendements en discussion commune.

Erwan Balanant. Quelle tristesse !

Mme la présidente. La parole est à M. Bruno Bonnell.

Bruno Bonnell. N’étant pas un expert en ordonnances, je n’irai pas sur ce terrain. L’objectif de ces amendements est de bon sens. Pour avoir été moi-même spécialiste de ce domaine et pour savoir écrire en code HTML, je peux vous assurer qu’on peut, avec la meilleure bonne foi du monde, essayer de garantir la logique d’un consentement, l’apparition ou la disparition d’un bouton étant programmable de manière aléatoire. Il conviendra donc de trouver et d’inscrire dans la loi des systèmes de vérification technologiques permettant d’informer la personne. Les abus sont nombreux en la matière : il ne faudrait pas qu’on nous reproche plus tard de nous être contentés d’une directive technique sans être entrés dans la technologie elle-même. Mes chers collègues, avant de voter, demandez-vous si nous protégeons efficacement des concitoyens qui ne sont pas nécessairement informés en les renvoyant à une loi qui est très éloignée de leur quotidien.

Mme la présidente. La parole est à Mme la rapporteure.

Mme Paula Forteza, rapporteure. La CNIL apportera des précisions sur l’application technique de la définition du consentement via des codes de bonne pratique, des référentiels et des outils de droit souple. En revanche, du fait que la technologie évolue rapidement, la loi doit rester technologiquement neutre, ce qui permet de donner plus de flexibilité aux acteurs et à l’autorité de régulation.

(Les amendements n^os86, 91 et 92, successivement mis aux voix, ne sont pas adoptés.)

(L’amendement n^o184 est adopté.)

Pour information le texte de l’amendement n° 184

AMENDEMENT N°184

présenté par

Mme Forteza, rapporteure au nom de la commission des lois

———-

ARTICLE ADDITIONNEL

AVANT L’ARTICLE 14 A, insérer l’article suivant:

Au premier alinéa de l’article 7 de la loi n° 78‑17 du 6 janvier 1978 précitée, après le mot :

« concernée »,

sont insérés les mots :

« , dans les conditions mentionnées au 11 de l’article 4 et à l’article 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, »

EXPOSÉ SOMMAIRE

L’article 7 de la loi du 6 janvier 1978 prévoit que, sous réserve de certaines exceptions, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée.

De manière à préciser le sens de cette obligation, le présent amendement propose de renvoyer explicitement aux dispositions du règlement européen précisant les conditions dans lesquelles le consentement doit être recueilli.

L’article RGPD : les modalités pratiques du consentement seront-elles définies par ordonnance ou par la CNIL ? est apparu en premier sur Philippe Schmitt Avocats.

Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ?

Philippe Schmitt — Thu, 30 Nov 2017 13:42:38 +0000

Le Consentement RGPD vs Directive 95/46 : Évolution et Continuité

Le Consentement sous la Directive 95/46 et le RGPD

Une analyse comparative des exigences et des changements

Pour les PME-TPE, l'annonce de l'entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n'est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n'ont pas des ressources internes suffisantes.

En bien des points le RGPD reprend des dispositions de la directive 95/46, mais son enseignement sera-t-il conservé après mai 2018 ?

Le RGPD organise de subtils équilibres entre les modalités du consentement de la personne concernée à l'accès aux données personnelles la concernant, la finalité de cet accès et la nature des données concernées. Des solutions existaient avec la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Mais ces solutions seront-elles encore applicables à partir de mai 2018 ?

Données à caractère particulier : ce qui change

Pour certaines données, le RGPD prévoit un régime d'interdiction sauf certaines exceptions expressément prévues. Parmi ces exceptions - c'est-à-dire la finalité du traitement - figure l'action en justice.

Article 9 du RGPD - Traitement portant sur des catégories particulières de données

L'article 9.1 du RGPD interdit le traitement des données à caractère personnel qui révèle :

L'origine raciale ou ethnique
Les opinions politiques
Les convictions religieuses ou philosophiques
L'appartenance syndicale
Les données génétiques
Les données biométriques aux fins d'identifier une personne de manière unique
Les données concernant la santé
Les données concernant la vie sexuelle ou l'orientation sexuelle

Ces interdictions peuvent être levées dans des cas précis énumérés à l'article 9.2, notamment :

"f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;"

Parallèle avec l'article 8 de la directive 95/46

De telles données étaient déjà placées sous un régime d'interdiction d'accès à l'article 8 de la directive 95/46 du 24 octobre 1995, avec le tempérament de l'action en justice au point e :

Directive 95/46 (Article 8.2.e)	RGPD (Article 9.2.f)
Le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.	Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

Principes relatifs à la légitimation des traitements : Article 7 de la directive 95/46

Pour les données non particulières, qu'en est-il ? Leur accès est-il limité au consentement de la personne concernée même quand un tiers veut engager une action en justice et qui pour cette action a besoin de cette donnée personnelle ?

L'article 7 de la directive 95/46 disposait :

"Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
[...]
f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1."

Jurisprudence clé : Arrêt de la Cour de justice du 4 mai 2017

Les faits

Un simple accident matériel de la circulation en Lettonie : le passage d'un taxi en ouvrant sa portière heurte un tramway. La compagnie de tramway, s'étant vue refuser toute indemnisation par l'assurance du taxi, souhaite engager une procédure civile contre le passager.

La compagnie de tramway obtient de la police les nom et prénom du passager du taxi, mais un refus lui est opposé concernant son adresse et son numéro d'identification. La compagnie dépose un recours contre ce refus, recours accepté qui fait l'objet d'un pourvoi en cassation par la police.

L'interprétation de la Cour

La Cour de justice rappelle trois conditions cumulatives pour qu'un traitement de données à caractère personnel soit licite selon l'article 7, sous f), de la directive 95/46 :

La poursuite d'un intérêt légitime par le responsable du traitement ou par le tiers auquel les données sont communiquées
La nécessité du traitement des données pour la réalisation de l'intérêt légitime poursuivi
La condition que les droits et libertés fondamentaux de la personne concernée ne prévalent pas

La Cour conclut que :

"L'article 7, sous f), de la directive 95/46/CE [...] doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile [...]. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national."

Implications pour le consentement après le RGPD

Si la directive n'obligeait pas cette communication de données personnelles à un tiers pour qu'il engage une action en justice, l'accord de la personne concernée était requis sauf si une loi nationale en avait disposé autrement.

Comme le RGPD s'applique sans loi de transposition et qu'il souhaite une application uniforme dans l'ensemble de l'Union, l'accès à ces données personnelles nécessaires à une action en justice devrait être toujours conditionné à l'accord de la personne concernée si effectivement l'enseignement de la jurisprudence antérieure est maintenu après mai 2018.

Considérations pour les PME et TPE

Pour les entreprises, en particulier les PME et TPE qui disposent de ressources limitées, il est essentiel de comprendre ces subtilités. Le RGPD reprend en grande partie les principes de la directive 95/46, mais avec des nuances importantes concernant le consentement et l'accès aux données personnelles.

La mise en conformité nécessite une analyse approfondie des processus de traitement des données et une vérification des bases juridiques invoquées pour chaque traitement.

L’article Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? est apparu en premier sur Philippe Schmitt Avocats.