<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Archives des Facebook - Philippe Schmitt Avocats</title>
	<atom:link href="https://www.schmitt-avocats.fr/tag/facebook/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.schmitt-avocats.fr/tag/facebook/</link>
	<description>Marques, modèles, brevets, données personnelles et industrielles.</description>
	<lastBuildDate>Mon, 13 Oct 2025 17:10:17 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.schmitt-avocats.fr/wp-content/uploads/2024/08/cropped-LOGO-PSA-32x32.jpg</url>
	<title>Archives des Facebook - Philippe Schmitt Avocats</title>
	<link>https://www.schmitt-avocats.fr/tag/facebook/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>RGPD : la Cour de justice annule la décision de la Commission sur le bouclier de protection des données avec les Etats-Unis</title>
		<link>https://www.schmitt-avocats.fr/rgpd-cour-de-justice-annule-commission-bouclier-usa/</link>
		
		<dc:creator><![CDATA[Philippe Schmitt]]></dc:creator>
		<pubDate>Mon, 03 Aug 2020 15:43:46 +0000</pubDate>
				<category><![CDATA[Données personnelles]]></category>
		<category><![CDATA[16 juillet 2020]]></category>
		<category><![CDATA[annulation]]></category>
		<category><![CDATA[Bouclier de protection des données Etats - Unis]]></category>
		<category><![CDATA[Cour de jutsice]]></category>
		<category><![CDATA[données peronnelles]]></category>
		<category><![CDATA[Europe]]></category>
		<category><![CDATA[Facebook]]></category>
		<guid isPermaLink="false">http://www.schmitt-avocats.fr/?page_id=5425</guid>

					<description><![CDATA[<p>Le 16 juillet 2020, la Cour de Justice annule  la décision de la Commission du 12 juillet 2016, relative au bouclier de protection des données UE-États-Unis. Ci-dessous la décision BPD. L&#8217;arrêt du 16 juillet 2020. Avec le RGPD, le transfert des données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si</p>
<p class="more-link"><a href="https://www.schmitt-avocats.fr/rgpd-cour-de-justice-annule-commission-bouclier-usa/" class="themebutton2">READ MORE</a></p>
<p>L’article <a href="https://www.schmitt-avocats.fr/rgpd-cour-de-justice-annule-commission-bouclier-usa/">RGPD : la Cour de justice annule la décision de la Commission sur le bouclier de protection des données avec les Etats-Unis</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p style="text-align: justify;"><span style="font-size: 14pt;">Le 16 juillet 2020, la Cour de Justice annule  la décision de la Commission du 12 juillet 2016, relative au bouclier de protection des données UE-États-Unis. Ci-dessous la décision BPD. <a href="http://curia.europa.eu/juris/document/document.jsf?text=ad%25C3%25A9quation&amp;docid=228677&amp;pageIndex=0&amp;doclang=FR&amp;mode=req&amp;dir=&amp;occ=first&amp;part=1&amp;cid=12305049#ctx1">L&rsquo;arrêt du 16 juillet 2020</a>.<br />
</span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">Avec le RGPD, le transfert des données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si le pays </span><span style="font-size: 14pt;">tiers en question assure un niveau de protection adéquat à ces données. Le RGPD prévoit que la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. En l’absence d’une telle décision, <strong>une décision d&rsquo;adéquation,</strong> l’exportateur des données à caractère personnel, doit établir qu&rsquo;il existe dans le pays tiers des <strong>garanties appropriées,</strong> « clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives » . En l&rsquo;absence de décision d&rsquo;adéquation et de garanties appropriées,  le RGPD prévoit les conditions de ce transfert de données. </span></p>
<p><span style="font-size: 14pt;">Pour mémoire, la Cour de justice dans son arrêt du 5 octobre 2015 avait annulé le précédent accord Etats-Unis Europe sur le transfert des données personnelles des européens en direction du territoire nord-américain. <a href="http://curia.europa.eu/juris/document/document_print.jsf?docid=169195&amp;text=&amp;dir=&amp;doclang=FR&amp;part=1&amp;occ=first&amp;mode=DOC&amp;pageIndex=0&amp;cid=12304387">L&rsquo;arrêt du 5 octobre 2015</a></span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">Ni la décision relative aux Causes types ( décision du 5 février 2010 modifiée le 16 décembre 2016) ni le bouclier de protection des données ( décision du 12 juillet 2016),   ne résistent à ces différents points. </span></p>
<ul style="text-align: justify;">
<li><span style="font-size: 14pt;"><strong>Le RGPD s’applique même à des données traitées à des fins de sécurité publique et de sureté de l’Etat </strong></span></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">84      En ce qui concerne la question de savoir si une telle opération peut être considérée comme étant exclue du champ d’application du RGPD en vertu de l’article 2, paragraphe 2, de celui-ci, il convient de rappeler que cette disposition prévoit des exceptions au champ d’application de ce règlement, tel que défini à son article 2, paragraphe 1, et que <strong>ces exceptions doivent recevoir une interprétation stricte</strong> (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 37 et jurisprudence citée).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">85      En l’occurrence, le transfert de données à caractère personnel en cause au principal étant effectué par Facebook Ireland vers Facebook Inc., à savoir entre deux personnes morales, ce transfert ne relève pas de l’article 2, paragraphe 2, sous c), du RGPD, qui vise le traitement de données effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Ledit transfert ne relève pas non plus des exceptions figurant à l’article 2, paragraphe 2, sous a), b) et d), de ce règlement, dès lors que les activités qui y sont mentionnées à titre d’exemples sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 38 et jurisprudence citée).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">86      Or, <strong>la possibilité que les données à caractère personnel transférées entre deux opérateurs économiques à des fins commerciales subissent, au cours ou à la suite du transfert, un traitement à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné ne saurait exclure ledit transfert du champ d’application du RGPD.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">87      D’ailleurs, en faisant explicitement obligation à la Commission, lorsqu’elle évalue le caractère adéquat du niveau de protection offert par un pays tiers, de tenir compte, notamment, de <strong>« la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation », l</strong>e libellé même de l’article 45, paragraphe 2, sous a), de ce règlement met en évidence le fait que le traitement éventuel, par un pays tiers, des données concernées à des fins de sécurité publique, de défense et de sûreté de l’État ne remet pas en cause l’applicabilité dudit règlement au transfert en cause.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">88      Il s’ensuit qu’un <strong>tel transfert ne saurait échapper au champ d’application du RGPD au motif que les données en cause sont susceptibles d’être traitées, au cours ou à la suite de ce transfert, par les autorités du pays tiers concerné, à des fins de sécurité publique, de défense et de sûreté de l’État.</strong></span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><span style="font-size: 14pt;"><strong>La décision d&rsquo;adéquation doit accordée une garantie des droits analogue à celle au sein de l’Union qui sont prévus par la Charte<br />
</strong></span></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">95      Dans ce contexte, le considérant 107 du RGPD énonce que, lorsqu’« un pays tiers, un territoire ou un secteur déterminé dans un pays tiers [&#8230;], n’assure plus un niveau adéquat de protection des données [&#8230;], le transfert de données à caractère personnel vers ce pays tiers [&#8230;] devrait être interdit, à moins que les exigences [de ce règlement] relatives aux transferts faisant l’objet de garanties appropriées [&#8230;] soient respectées ». À cet effet, <strong>le considérant 108 dudit règlement précise que, en l’absence de décision d’adéquation, les garanties appropriées qu’il appartient au responsable du traitement ou au sous-traitant de prendre conformément à l’article 46, paragraphe 1, du même règlement doivent « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ».</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">96      Il en résulte, comme M. l’avocat général l’a relevé au point 115 de ses conclusions, que ces garanties appropriées doivent être de nature à assurer que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient, comme dans le cadre d’un transfert fondé sur une décision d’adéquation, <strong>d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">&#8230;.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">105    Partant, il y a lieu de répondre aux deuxième, troisième et sixième questions que l’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par c<strong>es dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte</strong>. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, n<strong>otamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées,</strong> les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">La possibilité de suspendre le transfert de données vers un Etat où  les droits ne sont pas garantis, devoir de chaque autorité de contrôle<br />
</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">109    En outre, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 63).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">110    L’article 78, paragraphes 1 et 2, du RGPD reconnaît<strong> à toute personne le droit de former un recours juridictionnel effectif, notamment, lorsque l’autorité de contrôle omet de traiter sa réclamation</strong>. Le considérant 141 de ce règlement fait également référence à ce « droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte » dans le cas où cette autorité de contrôle « n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée ».</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">111    Aux fins de traiter les réclamations introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité estime, à l’issue de son enquête, que la personne concernée dont les données à caractère personnel ont été transférées vers un pays tiers ne bénéficie pas dans celui-ci d’un niveau de protection adéquat, <strong>elle est tenue, en application du droit de l’Union, de réagir de manière appropriée afin de remédier à l’insuffisance constatée, et ce indépendamment de l’origine ou de la nature de cette insuffisance</strong>. À cet effet, l’article 58, paragraphe 2, de ce règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">112    Bien que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle et que celle-ci doive opérer ce choix en prenant en considération toutes les circonstances du transfert de données à caractère personnel en cause, cette autorité n’en est pas moins tenue de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">113    À cet égard et ainsi que M. l’avocat général l’a également relevé au point 148 de ses conclusions, ladite autorité est tenue, en vertu de l’article 58, paragraphe 2, sous f) et j), de ce règlement, <strong>de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci</strong></span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">Une décision de la Commission ne peut priver les autorités de contrôle de leur pouvoir de contrôle</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">116    Il importe toutefois de préciser que <strong>les pouvoirs de l’autorité de contrôle compétente sont soumis au plein respect de la décision par laquelle la Commission constate</strong>, le cas échéant, en application de l’article 45, paragraphe 1, première phrase, du RGPD, qu’un pays tiers déterminé assure un niveau de protection adéquat. En effet, dans une telle hypothèse, il ressort de l’article 45, paragraphe 1, seconde phrase, de ce règlement, lu en combinaison avec le considérant 103 de celui-ci, que les transferts de données à caractère personnel vers le pays tiers concerné peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation spécifique.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">117    En vertu de l’article 288, quatrième alinéa, TFUE, <strong>une décision d’adéquation de la Commission a, dans tous ses éléments, un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes</strong>, en ce qu’elle constate que le pays tiers concerné garantit un niveau de protection adéquat et qu’elle a pour effet d’autoriser ces transferts de données (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 51 et jurisprudence citée).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">118    <strong>Ainsi, aussi longtemps que la décision d’adéquation n’a pas été déclarée invalide par la Cour, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient adopter des mesures contraires à cette décision</strong>, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat &#8230;. et, en conséquence, à suspendre ou interdire des transferts de données à caractère personnel vers ce pays tiers.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">119    Toutefois, <strong>une décision d’adéquation de la Commission</strong> adoptée au titre de l’article 45, paragraphe 3, du RGPD <strong>ne saurait empêcher les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers de saisir</strong>, en application de l’article 77, paragraphe 1, du RGPD, l’autorité nationale de contrôle compétente d’une réclamation relative à la protection de leurs droits et de leurs libertés à l’égard du traitement de ces données. <strong>De même, une décision de cette nature ne saurait ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle</strong> par l’article 8, paragraphe 3, de la Charte ainsi que par l’article 51, paragraphe 1, et par l’article 57, paragraphe 1, sous a), dudit règlement (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, et l’article 28 de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 53).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">120    Ainsi, même en présence d’une décision d’adéquation de la Commission, l<strong>’autorité nationale de contrôle compétente,</strong> saisie par une personne d’une réclamation relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant, <strong>doit pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences</strong> posées par le RGPD et, le cas échéant, introduire un recours devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation, à un renvoi préjudiciel aux fins de l’examen de cette validité&#8230;..</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">Une obligation de contrôle même en cas de décision  de la Commission relative aux clauses types</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">130    En revanche, s<strong>’agissant d’une décision de la Commission adoptant des clauses types de protection des données, telle que la décision CPT,</strong> dans la mesure où une telle décision ne vise pas un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans celui-ci, il ne saurait être inféré de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD que la Commission serait tenue de procéder, avant l’adoption d’une telle décision, à une évaluation du caractère adéquat du niveau de protection assuré par les pays tiers vers lesquels des données à caractère personnel pourraient être transférées sur le fondement de telles clauses.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">133    I<strong>l apparaît ainsi que les clauses types de protection des données adoptées par la Commission au titre de l’article 46, paragraphe 2, sous c), du même règlement visent uniquement à fournir aux responsables du traitement ou à leurs sous-traitants établis dans l’Union des garanties contractuelles s’appliquant de manière uniforme dans tous les pays tiers et, dès lors, indépendamment du niveau de protection garanti dans chacun d’entre eux.</strong> Dans la mesure où ces clauses types de protection des données ne peuvent, eu égard à leur nature, fournir des garanties allant au-delà d’une obligation contractuelle de veiller à ce que le niveau de protection requis par le droit de l’Union soit respecté, elles peuvent nécessiter, en fonction de la situation prévalant dans tel ou tel pays tiers, l’adoption de mesures supplémentaires par le responsable du traitement afin d’assurer le respect de ce niveau de protection.</span></em></p>
<p>&#8230;..</p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">134    À cet égard, ainsi que M. l’avocat général l’a relevé au point 126 de ses conclusions, le mécanisme contractuel prévu à l’article 46, paragraphe 2, sous c), du RGPD repose sur la responsabilisation du responsable du traitement ou de son sous-traitant établis dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente. <strong>Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses.</strong></span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">La mise en place du dispositif de contrôle en préalable au traitement</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">142    Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel s<strong>ont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union</strong>. Le destinataire de ce transfert est, le cas échéant, dans l’obligation, en vertu de la même clause 5, sous b), d’informer le responsable du traitement de son éventuelle incapacité de se conformer à ces clauses, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">A propos de la décision sur le bouclier de protection des données UE-États-Unis qui s’impose aux autorités nationales de contrôle</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">154    En particulier, l<strong>’existence des effets contraignants qui s’attachent à la constatation par la décision BPD d’un niveau de protection adéquat aux États-Unis est pertinente aux fins de l’appréciation tant des obligations,</strong> rappelées aux points 141 et 142 du présent arrêt, qui incombent au responsable du traitement et au destinataire d’un transfert de données à caractère personnel vers un pays tiers effectué sur le fondement des clauses types de protection des données figurant à l’annexe de la décision CPT que des obligations qui pèsent, le cas échéant, sur l’autorité de contrôle de suspendre ou d’interdire un tel transfert.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">155    S’agissant, en effet, des effets contraignants de la décision BPD, l’article 1<sup>er</sup>, paragraphe 1, de cette décision dispose que, aux fins de l’article 45, paragraphe 1, du RGPD, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données [Union européenne]-États-Unis ». Conformément à l’article 1<sup>er</sup>, paragraphe 3, de ladite décision, les données à caractère personnel sont considérées comme étant transférées dans le cadre de ce bouclier lorsqu’elles le sont depuis l’Union vers des organisations établies aux États-Unis qui figurent sur la liste des organisations adhérant audit bouclier, tenue à jour et publiée par le ministère américain du Commerce, conformément aux sections I et III des principes énoncés à l’annexe II de la même décision.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">156    Ainsi qu’il résulte de la jurisprudence rappelée aux points 117 et 118 du présent arrêt, l<strong>a décision BPD a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne-États-Unis.</strong> Dès lors, <strong>aussi longtemps que cette décision n’a pas été déclarée invalide par la Cour</strong>, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce bouclier au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission dans ladite décision, que la législation des États-Unis régissant l’accès aux données à caractère personnel transférées dans le cadre dudit bouclier et l’utilisation de ces données par les autorités publiques de ce pays tiers à des fins de sécurité nationale, de respect de la loi ou d’intérêt public n’assure pas un niveau de protection adéquat.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><span style="font-size: 14pt;">Mais une réclamation s’analyse comme une contestation de la validité de la décision  de la Commission</span></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">157    Il n’en demeure pas moins que, conformément à la jurisprudence rappelée aux points 119 et 120 du présent arrêt, lorsqu’elle est saisie par une personne d’une réclamation, <strong>l’autorité de contrôle compétente doit examiner, en toute indépendance, si le transfert de données à caractère personnel en cause respecte les exigences posées par le RGPD</strong> et, dans l’hypothèse où elle estime fondés les griefs avancés par cette personne aux fins de mettre en cause la validité d’une décision d’adéquation, <strong>introduire un recours devant les juridictions nationales afin que ces dernières saisissent la Cour d’un renvoi préjudiciel en appréciation de la validité de cette décision.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">&#8230;..<br />
</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">160    Ainsi que M. l’avocat général l’a relevé au point 175 de ses conclusions, <strong>ces questions préjudicielles doivent ainsi être comprises comme mettant, en substance, en cause le constat de la Commission, figurant dans la décision BPD, selon lequel les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers ce pays tiers et, partant, la validité de cette décision</strong>.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><span style="font-size: 14pt;">La critique de la décision de la commission</span></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">177    À cet effet, l’article 45, paragraphe 2, sous a), du RGPD précise que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tient compte, notamment, « [d]es droits effectifs et opposables dont bénéficient les personnes concernées » dont les données à caractère personnel sont transférées.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">178    En l’occurrence, la constatation opérée par la Commission dans la décision BPD selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière des articles 7 et 8 de la Charte, a été remise en cause au motif, notamment, que les ingérences résultant des programmes de surveillance fondés sur l’article 702 du FISA et sur l’E.O. 12333 ne seraient pas soumises à des exigences assurant, dans l<strong>e respect du principe de proportionnalité,</strong> un niveau de protection substantiellement équivalent à celui garanti par l’article 52, paragraphe 1, seconde phrase, de la Charte. Il y a donc lieu d’examiner si ces programmes de surveillance sont mis en œuvre dans le respect de telles exigences, sans qu’il soit nécessaire de vérifier au préalable le respect par ce pays tiers de <strong>conditions substantiellement équivalentes</strong> à celles prévues à l’article 52, paragraphe 1, première phrase, de la Charte.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">179    À cet égard, en ce qui concerne les programmes de surveillance fondés sur l’article 702 du FISA, la Commission a constaté, au considérant 109 de la décision BPD, que, selon ledit article, « le FISC n’autorise pas de mesures de surveillance individuelle, mais plutôt des programmes de surveillance (comme PRISM ou UPSTREAM) s<strong>ur la base de certifications annuelles préparées par le procureur général et le directeur du renseignement national (DNI)</strong> ». Ainsi qu’il ressort de ce considérant, le contrôle exercé par le FISC vise à vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur, mais ne porte pas sur le point de savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">180    Il apparaît ainsi que l’article 702 du FISA <strong>ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur</strong>, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, et ainsi que M. l’avocat général l’a relevé, en substance, aux points 291, 292 et 297 de ses conclusions, cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, telle qu’interprétée par la jurisprudence rappelée aux points 175 et 176 du présent arrêt, selon laquelle une base légale qui permet des ingérences dans les droits fondamentaux doit, pour satisfaire au principe de proportionnalité, <strong>définir elle-même la portée de la limitation de l’exercice du droit concerné et prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">181    Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la PPD-28. Toutefois, si la Commission a souligné, aux considérants 69 et 77 de la décision BPD, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que l<strong>a PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux</strong>. Dès lors, <strong>elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte,</strong> contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">182    S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que <strong>ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">183    Il convient d’ajouter que la PPD-28, qui doit être respectée dans le cadre de l’application des programmes visés aux deux points précédents, permet de procéder à une « collecte “en vrac” [&#8230;] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique [&#8230;] pour orienter la collecte », ainsi qu’il est précisé dans une lettre du 21 juin 2016 du bureau du directeur du renseignement national (Office of the Director of National Intelligence) au ministère américain du Commerce ainsi qu’à l’administration du commerce international, figurant à l’annexe VI de la décision BPD. Or, <strong>cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">184    Il apparaît, dès lors, que ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, <strong>ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité,</strong> si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">L’absence de recours effectif au juge</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">186    S’agissant, en second lieu, de l’article 47 de la Charte, qui participe également du niveau de protection requis au sein de l’Union et dont la Commission doit constater le respect avant que celle-ci adopte une décision d’adéquation au titre de l’article 45, paragraphe 1, du RGPD, il convient de rappeler que le premier alinéa de cet article 47 exige que toute personne dont les droits et les libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. Aux termes du deuxième alinéa dudit article, toute personne a droit à ce que sa cause soit entendue par un tribunal indépendant et impartial.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">187    Selon une jurisprudence constante, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit. Ainsi, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte (arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 95 et jurisprudence citée).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">188    À cet effet, l’article 45, paragraphe 2, sous a), du RGPD exige que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tienne compte, notamment, « [d]es recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ». Le considérant 104 du RGPD souligne, à cet égard, que le pays tiers « devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres » et précise que « les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel ».</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">189    L’existence de telles possibilités effectives de recours dans le pays tiers concerné revêt une importance particulière dans le contexte d’un transfert de données à caractère personnel vers ce pays tiers, dans la mesure où, ainsi qu’il ressort du considérant 116 du RGPD, les personnes concernées peuvent être confrontées à l’insuffisance des pouvoirs et des moyens des autorités administratives et judiciaires des États membres pour donner une suite utile à leurs réclamations fondées sur un traitement prétendument illégal, dans ce pays tiers, de leurs données ainsi transférées, ce qui est de nature à les contraindre à s’adresser aux autorités et aux juridictions nationales de ce même pays tiers.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">190    En l’occurrence, la constatation opérée par la Commission dans la décision BPD, selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte, a été remise en cause au motif, notamment, que l<strong>’instauration du médiateur du bouclier de protection des données ne saurait pallier les lacunes constatées par la Commission elle-même en ce qui concerne la protection juridictionnelle des personnes dont les données à caractère personnel sont transférées vers ce pays tiers.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">191    À cet égard, la Commission a relevé, au considérant 115 de la décision BPD, que, si « les personnes physiques, notamment les personnes concernées de l’[Union], disposent [&#8230;] d’un certain nombre de voies de recours lorsqu’elles ont fait l’objet d’une surveillance (électronique) illégale à des fins de sécurité nationale,<strong> il est également clair qu’au moins quelques bases juridiques pouvant être utilisées par les services de renseignement américains (comme l’E.O. 12333) ne sont pas couvertes</strong> ». Ainsi, s’agissant de l’E.O. 12333, elle a mis l’accent, audit considérant 115, <strong>sur l’absence de toute voie de recours.</strong> Or, selon la jurisprudence rappelée au point 187 du présent arrêt, une telle lacune dans la protection juridictionnelle à l’égard des ingérences liées aux programmes de renseignement fondés sur ce décret présidentiel fait obstacle à ce qu’il soit conclu, comme l’a fait la Commission dans la décision BPD, que le droit des États-Unis assure un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte.</span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><strong><span style="font-size: 14pt;">Le médiateur n’est pas indépendant du pouvoir exécutif nord-américain</span></strong></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">195    Or, dans la lettre évoquée au point 193 du présent arrêt, le médiateur du bouclier de protection des données, quoique décrit comme étant « indépendant des services de renseignement », a été présenté comme « <strong>[rendant] compte directement au secrétaire d’État qui veillera à ce que le médiateur remplisse sa mission en toute objectivité et à l’abri de toute influence inappropriée susceptible d’affecter la réponse qu’il devra donner </strong>». Par ailleurs, outre le fait que, ainsi que la Commission l’a constaté au considérant 116 de cette décision, l<strong>e médiateur est désigné par le secrétaire d’État et fait partie intégrante du département d’État des États-Unis,</strong> il n’existe, dans ladite décision, comme M. l’avocat général l’a relevé au point 337 de ses conclusions, aucune indication selon laquelle la révocation du médiateur ou l’annulation de sa nomination seraient assorties de garanties particulières, ce qui est de nature à mettre en cause l’indépendance du médiateur par rapport au pouvoir exécutif (voir, en ce sens, arrêt du 21 janvier 2020, Banco de Santander, C‑274/14, EU:C:2020:17, points 60 et 63 ainsi que jurisprudence citée).</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">196    De même, ainsi que M. l’avocat général l’a souligné, au point 338 de ses conclusions, si le considérant 120 de la décision BPD fait état d’un engagement du gouvernement américain à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur du bouclier de protection des données, <strong>ladite décision ne comporte aucune indication selon laquelle ce médiateur serait habilité à prendre des décisions contraignantes à l’égard de ces services</strong> et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées.</span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">197    Dès lors, <strong>le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre aux personnes dont les données sont transférées vers les États-Unis des garanties substantiellement équivalentes à celles requises à l’article 47 de la Charte.</strong></span></em></p>
</blockquote>
<ul>
<li style="text-align: justify;"><span style="font-size: 14pt;">L’annulation de la décision de la Commission sur le bouclier</span></li>
</ul>
<blockquote>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">98    Partant, en constatant, à l’article 1<sup>er</sup>, paragraphe 1, de la décision BPD, que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays tiers dans le cadre du bouclier de protection des données Union européenne-États-Unis, <strong>la Commission a méconnu les exigences résultant de l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte.</strong></span></em></p>
<p style="text-align: justify;"><em><span style="font-size: 14pt;">199    <strong>Il s’ensuit que l’article 1<sup>er </sup>de la décision BPD est incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte, et qu’il est de ce fait invalide.</strong></span></em></p>
<p style="text-align: justify;"><strong><em><span style="font-size: 14pt;">200    L’article 1<sup>er </sup>de la décision BPD étant indissociable des articles 2 à 6 ainsi que des annexes de celle-ci, son invalidité a pour effet d’affecter la validité de cette décision dans son ensemble.</span></em></strong></p>
<p style="text-align: justify;"><strong><em><span style="font-size: 14pt;">201    Eu égard à l’ensemble des considérations qui précèdent, il convient de conclure que la décision BPD est invalide.</span></em></strong></p>
</blockquote>
<p style="text-align: justify;"><span style="font-size: 14pt;">Le droit dit par la Grande Chambre de la Cour de justice</span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">1)      <strong>L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.</strong></span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">2)      <strong>L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.</strong></span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">3)      <strong>L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.</strong></span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">4)      <strong>L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.</strong></span></p>
<p style="text-align: justify;"><span style="font-size: 14pt;">5)      <strong>La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.</strong></span></p>
<p style="text-align: justify;">
<p>L’article <a href="https://www.schmitt-avocats.fr/rgpd-cour-de-justice-annule-commission-bouclier-usa/">RGPD : la Cour de justice annule la décision de la Commission sur le bouclier de protection des données avec les Etats-Unis</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Qui est responsable du traitement des données personnelles ?</title>
		<link>https://www.schmitt-avocats.fr/rgpd-protection-donnees-apres-13-fevrier-2018/qui-est-responsable-du-traitement-des-donnees-personnelles/</link>
		
		<dc:creator><![CDATA[Philippe Schmitt]]></dc:creator>
		<pubDate>Tue, 12 Jun 2018 08:24:38 +0000</pubDate>
				<category><![CDATA[Données personnelles]]></category>
		<category><![CDATA[RGPD]]></category>
		<category><![CDATA[5 juin 2018]]></category>
		<category><![CDATA[autorités de contrôle]]></category>
		<category><![CDATA[C-210/16]]></category>
		<category><![CDATA[centre de formation]]></category>
		<category><![CDATA[Cour de justice]]></category>
		<category><![CDATA[directive]]></category>
		<category><![CDATA[Facebook]]></category>
		<category><![CDATA[page fan]]></category>
		<category><![CDATA[responsable du traitement]]></category>
		<guid isPermaLink="false">http://www.schmitt-avocats.fr/?page_id=4773</guid>

					<description><![CDATA[<p>Le règlement sur la protection des données,  on le sait, à augmenter la responsabilité des différents acteurs professionnels qui utilisent des données personnelles. Au cœur du dispositif, le responsable du traitement. Encore que l’arrêt de la Cour de justice du 5 juin 2018 ne soit pas intervenu en application de ce règlement mais de la</p>
<p class="more-link"><a href="https://www.schmitt-avocats.fr/rgpd-protection-donnees-apres-13-fevrier-2018/qui-est-responsable-du-traitement-des-donnees-personnelles/" class="themebutton2">READ MORE</a></p>
<p>L’article <a href="https://www.schmitt-avocats.fr/rgpd-protection-donnees-apres-13-fevrier-2018/qui-est-responsable-du-traitement-des-donnees-personnelles/">Qui est responsable du traitement des données personnelles ?</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p style="text-align: justify;">Le règlement sur la protection des données,  on le sait, à augmenter la responsabilité des différents acteurs professionnels qui utilisent des données personnelles. Au cœur du dispositif, le responsable du traitement. Encore que l’arrêt de la Cour de justice du 5 juin 2018 ne soit pas intervenu en application de ce règlement mais de la directive 95/46 relative à la protection des personnes physiques, cette décision peut néanmoins nous apporter un éclairage sur la situation nouvelle après le 25 mai 2018.</p>
<p style="text-align: justify;">L’importance de cet arrêt doit également être soulignée car rendu par la grande chambre de la Cour de justice de l’Union européenne</p>
<p style="text-align: justify;">Cet arrêt intervient sur une question préjudicielle posée par l’autorité allemande de la protection des données du Land du Schleswig-Holstein dans un litige relatif aux données personnelles présentes sur la page Facebook d’un service de formation destinée aux particuliers aux entreprises. L’autorité allemande avait ordonné à l’organisme de formation de désactiver l<strong>a page fan</strong> de son profil <strong>Facebook</strong> au motif que ni ce centre de formation ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.</p>
<p style="text-align: justify;">Ce centre de formation introduit une réclamation contre cette décision devant cette autorité allemande de protection des données qui la rejette en considérant que ce centre de formation est responsable en tant que fournisseur de services au regard des dispositions de la loi allemande elle-même prise en application de la directive.</p>
<p style="text-align: justify;">Le 9 octobre 2013, le tribunal administratif allemand annule la décision attaquée en considérant que <strong>l’administrateur d’une page fan sur Facebook n’est pas un organisme responsable </strong>au sens des dispositions légales.</p>
<p style="text-align: justify;">En appel, le tribunal administratif supérieur allemand rejette le recours introduit par l’autorité allemande de la protection des données en retenant que le dispositif allemand prévoit un processus progressif, dont la première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées lors du traitement de données. <strong>La mesure d’interdiction n’est envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la suspension de cette procédure permet d’y remédier ce qui n’est pas le cas puisque Facebook aurait eu la possibilité de faire cesser les infractions alléguées</strong>.</p>
<p style="text-align: justify;"> La cour administrative supérieure saisie d’un pourvoi demande à la Cour de justice  de déterminer le responsable de traitement selon différentes hypothèses.</p>
<p>3 enseignements de cet arrêt sont à souligner.</p>
<h3 style="text-align: justify;">A) L’administrateur d’une page fan hébergé sur un réseau social est aussi responsable du traitement même s&rsquo;il ne reçoit de Facebook des informations anonymisées</h3>
<p style="text-align: justify;">31      Cela étant, et afin de répondre aux questions posées, il y a lieu d’examiner si et dans quelle mesure l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, contribue, dans le cadre de cette page fan, à déterminer, conjointement avec Facebook Ireland et Facebook Inc., les finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut donc, lui aussi, être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46.</p>
<p style="text-align: justify;">32      À cet égard, il apparaît que toute personne souhaitant créer une page fan sur Facebook conclut avec Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative, ce qu’il appartient à la juridiction nationale de vérifier.</p>
<p style="text-align: justify;">33      Ainsi qu’il ressort du dossier soumis à la Cour, les traitements de données en cause au principal sont essentiellement effectués moyennant le placement, <strong>par Facebook, sur l’ordinateur ou sur tout autre appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés</strong>. Il en ressort également que, en pratique, Facebook reçoit, enregistre et traite les informations stockées dans les cookies notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services Facebook ». En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».</p>
<p style="text-align: justify;">34      <strong>Ces traitements de données à caractère personnel visent notamment à permettre, d’une part, à Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et, d’autre part, à l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page</strong>, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.</p>
<p style="text-align: justify;">35      Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau,<strong> il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook.</strong></p>
<p style="text-align: justify;">36      Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook. <strong>Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page.</strong></p>
<p style="text-align: justify;">37      En particulier, <strong>l’administrateur de la page fan</strong> peut demander à obtenir – et donc que soient traitées – des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.</p>
<p style="text-align: justify;">38      S’il est vrai que l<strong>es statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée</strong>, <strong>il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook</strong> sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.</p>
<p style="text-align: justify;">39      Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.</p>
<p style="text-align: justify;">40      En effet, l<strong>e fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.</strong></p>
<p style="text-align: justify;">41      Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d’un compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l’administrateur de la page fan à l’égard du traitement des données à caractère personnel de ces personnes apparaît encore plus importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le traitement de leurs données à caractère personnel.</p>
<p style="text-align: justify;">42      Dans ces conditions, la reconnaissance d’une <strong>responsabilité conjointe</strong> de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46.</p>
<p style="text-align: justify;">43      Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.</p>
<p style="text-align: justify;">44      Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social</p>
<h3 style="text-align: justify;"><strong>B) Le responsable du traitement établi sur le territoire de plusieurs états membres doit assurer le respect pour chacun de ses établissements des obligations prévues par le droit national applicable</strong></h3>
<p style="text-align: justify;">51      La question de savoir quel droit national s’applique au traitement des données à caractère personnel est régie par l’article 4 de la directive 95/46. Aux termes du paragraphe 1, sous a), de cet article, chaque État membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre.<strong> Cette disposition précise que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable.</strong></p>
<p style="text-align: justify;">52      Il découle ainsi d’une lecture combinée de cette disposition et de l’article 28, paragraphes 1 et 3, de la directive 95/46 que, lorsque le droit national de l’État membre dont relève l’autorité de contrôle est applicable en vertu de l’article 4, paragraphe 1, sous a), de celle-ci, en raison du fait que le traitement en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le responsable du traitement dispose d’établissements également dans d’autres États membres.</p>
<p style="text-align: justify;">53      Ainsi, afin de déterminer si une autorité de contrôle est fondée, dans des circonstances telles que celles au principal, à exercer à l’égard d’un établissement situé sur le territoire de l’État membre dont elle relève les pouvoirs qui lui sont conférés par le droit national, il y a lieu de vérifier si les deux conditions posées par l’article 4, paragraphe 1, sous a), de la directive 96/46 sont réunies, à savoir, d’une part, s’il s’agit d’un « établissement du responsable du traitement », au sens de cette disposition, et, d’autre part, si ledit traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la même disposition.</p>
<p style="text-align: justify;">54      S’agissant, en premier lieu, de la condition selon laquelle le responsable du traitement de données à caractère personnel doit disposer d’un établissement sur le territoire de l’État membre dont relève l’autorité de contrôle concernée, il importe de rappeler que, selon le considérant 19 de la directive 95/46, l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable et que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante (arrêt du 1<sup>er</sup> octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 28 et jurisprudence citée).</p>
<p style="text-align: justify;">55      En l’occurrence, i<strong>l est constant que Facebook Inc., en tant que responsable du traitement de données à caractère personnel, conjointement avec Facebook Ireland, dispose d’un établissement stable en Allemagne, à savoir Facebook Germany, situé à Hambourg, et que cette dernière société exerce réellement et effectivement des activités dans ledit État membre.</strong> De ce fait, elle constitue un établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.</p>
<p style="text-align: justify;">56      S’agissant, en second lieu, de la condition selon laquelle le traitement de données à caractère personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, il y a lieu de rappeler, tout d’abord, que, au vu de l’objectif poursuivi par la directive 95/46, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, l’expression « dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation restrictive (arrêt du 1<sup>er</sup> octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 25 et jurisprudence citée).</p>
<p style="text-align: justify;">57      Ensuite, il importe de souligner que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non pas qu’un tel traitement soit effectué « par » l’établissement concerné lui‑même, mais uniquement qu’il le soit « dans le cadre des activités » de celui‑ci (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 52).</p>
<p style="text-align: justify;">58      En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites déposées par Facebook Ireland que Facebook Germany est chargée de la promotion et de la vente d’espaces publicitaires et se livre à des activités destinées aux personnes résidant en Allemagne.</p>
<p style="text-align: justify;">59      Ainsi qu’il a été rappelé aux points 33 et 34 du présent arrêt, le traitement de données à caractère personnel en cause au principal, effectué par Facebook Inc. conjointement avec Facebook Ireland et qui consiste en la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs ou sur tout autre appareil des visiteurs des pages fan hébergées sur Facebook, a notamment pour objectif de permettre à ce réseau social d’améliorer son système de publicité afin de mieux cibler les communications qu’il diffuse.</p>
<p style="text-align: justify;">60      Or, comme l’a relevé M. l’avocat général au point 94 de ses conclusions, étant donné, d’une part, qu’un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent et, d’autre part, que l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par Facebook, les activités de cet établissement doivent être considérées comme étant indissociablement liées au traitement de données à caractère personnel en cause au principal, dont Facebook Inc. est le responsable conjointement avec Facebook Ireland. Partant, un tel traitement doit être regardé comme étant effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 55 et 56).</p>
<p style="text-align: justify;">61      Il s’ensuit que, le droit allemand étant, en vertu de l’article 4, paragraphe 1, sous a), de la directive 95/46, applicable au traitement des données à caractère personnel en cause au principal, l<strong>’autorité de contrôle allemande était compétente</strong>, conformément à l’article 28, paragraphe 1, de cette directive, pour appliquer ce droit audit traitement.</p>
<p style="text-align: justify;">62      Par conséquent, cette autorité de contrôle était compétente, aux fins d’assurer le respect, sur le territoire allemand, des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant l’article 28, paragraphe 3, de la directive 95/46.</p>
<p style="text-align: justify;">63      Il convient encore de préciser que la circonstance, mise en exergue par la juridiction de renvoi dans sa troisième question, selon laquelle les stratégies décisionnelles quant à la collecte et au traitement de données personnelles relatives à des personnes résidant sur le territoire de l’Union sont prises par une société mère établie dans un pays tiers, telle que, en l’occurrence, Facebook Inc., n’est pas de nature à remettre en cause la compétence de l’autorité de contrôle relevant du droit d’un État membre à l’égard d’un établissement, situé sur le territoire de ce même État, du responsable du traitement desdites données.</p>
<p style="text-align: justify;">64      Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre.</p>
<h3 style="text-align: justify;">C) Les autorités de contrôle nationale ne sont pas tenues d’appliquer les mêmes solutions que celles des autres autorités de contrôle d’autres états membres dans la même situation.</h3>
<p style="text-align: justify;">9      En outre, si, en vertu de l’article 28, paragraphe 6, second alinéa, de la directive 95/46, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile, cette même directive ne prévoit aucun critère de priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres ni ne prescrit l’obligation pour une autorité de contrôle d’un État membre de se conformer à la position exprimée, le cas échéant, par l’autorité de contrôle d’un autre État membre.</p>
<p style="text-align: justify;">70      Ainsi, r<strong>ien n’oblige une autorité de contrôle dont la compétence est reconnue en vertu de son droit national à faire sienne la solution retenue par une autre autorité de contrôle dans une situation analogue</strong>.</p>
<p style="text-align: justify;">71      À cet égard, il importe de rappeler que, les autorités nationales de contrôle étant, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux et à l’article 28 de la directive 95/46, chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, chacune d’entre elles est donc investie de la compétence de vérifier si un traitement de données à caractère personnel sur le territoire de l’État membre dont elle relève respecte les exigences posées par la directive 95/46 (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 47).</p>
<p style="text-align: justify;">72      L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner, en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 57).</p>
<p style="text-align: justify;">73      Il s’ensuit que, en l’occurrence,<strong> en vertu du système établi par la directive 95/46, l’ULD était habilitée à apprécier, de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle irlandaise, la légalité du traitement de données en cause au principal.</strong></p>
<p style="text-align: justify;">74      Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.</p>
<p style="text-align: justify;"><strong>Le droit dit par la Cour de justice sur ces différentes questions</strong></p>
<p style="text-align: justify;"><strong>1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.</strong></p>
<p style="text-align: justify;"><strong>2)      Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.</strong></p>
<p style="text-align: justify;"><strong>3)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.</strong></p>
<p>L’article <a href="https://www.schmitt-avocats.fr/rgpd-protection-donnees-apres-13-fevrier-2018/qui-est-responsable-du-traitement-des-donnees-personnelles/">Qui est responsable du traitement des données personnelles ?</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Le responsable du traitement au RGPD</title>
		<link>https://www.schmitt-avocats.fr/responsable-traitement-rgpd/</link>
		
		<dc:creator><![CDATA[Philippe Schmitt]]></dc:creator>
		<pubDate>Tue, 31 Oct 2017 16:48:09 +0000</pubDate>
				<category><![CDATA[Données personnelles]]></category>
		<category><![CDATA[25 mai 2018]]></category>
		<category><![CDATA[conclusions]]></category>
		<category><![CDATA[définition]]></category>
		<category><![CDATA[donnéespersonneles]]></category>
		<category><![CDATA[Facebook]]></category>
		<category><![CDATA[responsable de traitement]]></category>
		<category><![CDATA[RGPD]]></category>
		<category><![CDATA[webtraffic]]></category>
		<guid isPermaLink="false">http://www.schmitt-avocats.fr/?p=4457</guid>

					<description><![CDATA[<p>&#160; &#160; RGPD et les PME/TPE Qui exerce les fonctions de responsable du traitement ? &#160; Introduction au concept de responsable du traitement Au cœur du RGPD se trouve la notion de responsable du traitement. Tout n&#8217;est pas nouveau dans le règlement 2016/679 relatif à la protection des personnes physiques à l&#8217;égard du traitement des</p>
<p class="more-link"><a href="https://www.schmitt-avocats.fr/responsable-traitement-rgpd/" class="themebutton2">READ MORE</a></p>
<p>L’article <a href="https://www.schmitt-avocats.fr/responsable-traitement-rgpd/">Le responsable du traitement au RGPD</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></description>
										<content:encoded><![CDATA[		<div data-elementor-type="wp-post" data-elementor-id="4457" class="elementor elementor-4457">
						<section class="elementor-section elementor-top-section elementor-element elementor-element-afeedb8 elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="afeedb8" data-element_type="section" data-e-type="section">
						<div class="elementor-container elementor-column-gap-default">
					<div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-e83d7b1" data-id="e83d7b1" data-element_type="column" data-e-type="column">
			<div class="elementor-widget-wrap elementor-element-populated">
							</div>
		</div>
					</div>
		</section>
				<section class="elementor-section elementor-top-section elementor-element elementor-element-a5a471c elementor-section-boxed elementor-section-height-default elementor-section-height-default" data-id="a5a471c" data-element_type="section" data-e-type="section">
						<div class="elementor-container elementor-column-gap-default">
					<div class="elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-19763b2" data-id="19763b2" data-element_type="column" data-e-type="column">
			<div class="elementor-widget-wrap elementor-element-populated">
						<div class="elementor-element elementor-element-93e3780 elementor-widget elementor-widget-html" data-id="93e3780" data-element_type="widget" data-e-type="widget" data-widget_type="html.default">
				<div class="elementor-widget-container">
					<html lang="fr">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta name="description" content="Analyse détaillée du rôle de responsable du traitement selon le RGPD dans les PME/TPE : jurisprudence, critères déterminants et implications pratiques">
    <meta name="keywords" content="RGPD, responsable du traitement, PME, TPE, protection des données, CNIL, CJUE, Facebook Insights, co-responsabilité">
    <title>RGPD et les PME/TPE : Qui exerce les fonctions de responsable du traitement ?</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/tailwindcss@2.2.19/dist/tailwind.min.css">
    <style>
        body {
            font-family: Arial, sans-serif;
            font-size: 14px;
            line-height: 1.6;
            color: #333;
            background-color: #f9fafb;
        }
        h1, h2, h3, h4 {
            color: #1e40af;
        }
        .container {
            max-width: 1200px;
        }
        .main-header {
            background-color: #2563eb;
            color: white;
        }
        .card {
            border-radius: 8px;
            box-shadow: 0 4px 6px rgba(0, 0, 0, 0.1);
            transition: all 0.3s ease;
        }
        .card:hover {
            transform: translateY(-5px);
            box-shadow: 0 10px 15px rgba(0, 0, 0, 0.1);
        }
        blockquote {
            border-left: 4px solid #2563eb;
            padding-left: 1rem;
            font-style: italic;
            color: #4b5563;
        }
        .divider {
            border-bottom: 1px solid #e5e7eb;
            margin: 2rem 0;
        }
        .highlight-box {
            background-color: #f3f4f6;
            border-left: 4px solid #2563eb;
            padding: 1rem;
        }
        footer {
            background-color: #1e40af;
            color: white;
        }
        @media (max-width: 768px) {
            .container {
                padding: 0 1rem;
            }
        }
    </style>
</head>
<body>
    <header class="main-header py-12 mb-8">
        <div class="container mx-auto px-4">
            <h1 class="text-3xl font-bold">RGPD et les PME/TPE</h1>
            <p class="text-xl mt-2">Qui exerce les fonctions de responsable du traitement ?</p>
        </div>
    </header>

    <main class="container mx-auto px-4 pb-12">
        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">Introduction au concept de responsable du traitement</h2>
            <p class="mb-4">
                Au cœur du RGPD se trouve la notion de responsable du traitement. Tout n'est pas nouveau dans le règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Certes, le RGPD a prévu l'abrogation de la directive 95/46/CE, mais ses définitions et la jurisprudence obtenue sur celle-ci restent très utiles à partir du 25 mai 2018 comme le montrent les conclusions de l'Avocat Général qui seront suivies par la Cour de Justice le 29 juillet 2019.
            </p>
            <p class="mb-4">
                En parallèle, il est important de noter la position de la CNIL particulièrement étayée dans sa décision du 26 juillet 2021.
            </p>
            <div class="highlight-box my-6">
                <p class="font-bold">Point essentiel :</p>
                <p>La qualification de responsable de traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et s'appuie donc sur une analyse factuelle plutôt que formelle.</p>
            </div>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">La démonstration de l'Avocat Général en octobre 2017</h2>
            <p class="mb-4">
                Dans l'affaire C-210/16, <em>Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH</em>, l'Avocat Général près de la Cour de justice a fourni une analyse fondamentale de la notion de responsable de traitement.
            </p>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">Résumé des faits</h3>
            <p class="mb-4">
                L'affaire porte sur un profil Facebook créé par la Wirtschaftsakademie, une structure de formation. Sa page Facebook permettait, via l'outil « Facebook Insights », d'obtenir des statistiques d'audience pour mieux cibler sa communication. Ces statistiques étaient établies à partir de cookies comportant un numéro ID unique, sauvegardé par Facebook sur le disque dur des visiteurs de la page.
            </p>
            <p class="mb-4">
                L'ULD (organisme du Land de Schleswig-Holstein en charge de la protection des données personnelles) avait demandé à la Wirtschaftsakademie de désactiver cette page Facebook au motif que ni l'académie ni Facebook n'informaient les visiteurs de la collecte de leurs données personnelles.
            </p>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">Le rôle fondamental du responsable du traitement</h2>
            <p class="mb-4">
                Le responsable du traitement joue un rôle fondamental dans le cadre du système mis en place par la directive 95/46 et son identification est dès lors essentielle. La directive prévoit que le responsable du traitement est débiteur d'un certain nombre d'obligations destinées à assurer la protection des données à caractère personnel.
            </p>
            <p class="mb-4">
                Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google. Celle-ci a jugé que le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données satisfait aux exigences de la directive pour que les garanties prévues puissent développer leur plein effet.
            </p>
            <blockquote class="my-6">
                Selon la jurisprudence de la Cour : Cette notion doit être définie de manière large afin d'assurer une protection efficace et complète des personnes concernées.
            </blockquote>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">Une fonction exercée par plusieurs entités</h2>
            <p class="mb-4">
                Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Cette notion est fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait.
            </p>
            <p class="mb-4">
                Plusieurs entités peuvent exercer conjointement cette fonction de responsable de traitement, comme l'illustre la relation entre Facebook Inc., Facebook Ireland et les administrateurs de pages fan.
            </p>
            <div class="highlight-box my-6">
                <p>En tant que concepteurs du traitement, c'est bien Facebook Inc. et, s'agissant de l'Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités. Mais l'administrateur de page fan joue également un rôle déterminant.</p>
            </div>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">L'influence déterminante</h2>
            <p class="mb-4">
                L'administrateur d'une page fan est aussi responsable de traitement quand il exerce une influence de droit ou de fait sur les finalités et les moyens du traitement.
            </p>
            <p class="mb-4">
                En ayant recours à Facebook pour diffuser son offre d'informations, l'administrateur de la page fan adhère au principe de la mise en œuvre d'un traitement des données à caractère personnel des visiteurs de sa page aux fins de l'établissement de statistiques d'audience.
            </p>
            <p class="mb-4">
                Même s'il n'est pas le concepteur de l'outil « Facebook Insights », cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page.
            </p>
            <p class="mb-4">
                De plus, l'administrateur d'une page fan peut, à l'aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d'affiner le groupe de personnes à destination duquel des informations seront diffusées, mais aussi de désigner les catégories de personnes qui vont faire l'objet d'une collecte de données par Facebook.
            </p>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">Critères déterminants pour la qualification de responsable de traitement</h2>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">1. La recherche de finalités étroitement liées</h3>
            <p class="mb-4">
                Sont responsables de traitement ceux qui recherchent des finalités étroitement liées. Par exemple, un administrateur de page fan veut obtenir des statistiques d'audience pour promouvoir son activité, tandis que Facebook utilise ce même traitement pour mieux cibler sa publicité.
            </p>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">2. L'impact des dispositions contractuelles</h3>
            <p class="mb-4">
                Des dispositions contractuelles ne permettent pas d'exclure la qualification de responsable de traitement, même si un des opérateurs n'a pas accès aux données. Le partage des tâches indiqué contractuellement ne peut fournir qu'un indice concernant le rôle réel des parties.
            </p>
            <blockquote class="my-6">
                "Le fait que le contrat et ses conditions générales soient préparés par un prestataire de services et que l'opérateur qui a recours aux prestations offertes par ce prestataire n'ait pas accès aux données n'exclut pas qu'il puisse être considéré comme un responsable du traitement, dès lors qu'il a librement accepté les clauses contractuelles."
            </blockquote>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">3. Absence de nécessité d'un contrôle complet</h3>
            <p class="mb-4">
                Pour qu'une personne puisse être considérée comme un responsable du traitement, il n'est pas nécessaire qu'elle dispose d'un pouvoir de contrôle complet sur tous les aspects du traitement. De plus en plus, les traitements ont une nature complexe, impliquant plusieurs parties exerçant différents degrés de contrôle.
            </p>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">L'arrêt de la CJUE du 29 juillet 2019 (C-40/17)</h2>
            <p class="mb-4">
                Dans son arrêt du 29 juillet 2019, la Cour de justice a confirmé cette analyse dans l'affaire Fashion ID :
            </p>
            <ol class="list-decimal pl-6 mb-4 space-y-2">
                <li>Le gestionnaire d'un site Internet qui insère un module social (comme le bouton "j'aime" de Facebook) peut être considéré comme responsable du traitement, mais cette responsabilité est limitée aux opérations dont il détermine effectivement les finalités et les moyens (collecte et transmission des données).</li>
                <li>Il est nécessaire que ce gestionnaire et le fournisseur du module poursuivent chacun un intérêt légitime pour que ces opérations de traitement soient justifiées.</li>
                <li>Le consentement doit être recueilli par le gestionnaire uniquement pour les opérations de traitement dont il détermine les finalités et les moyens.</li>
                <li>L'obligation d'information pèse également sur le gestionnaire, mais seulement pour les opérations de traitement dont il détermine les finalités et les moyens.</li>
            </ol>
        </section>

        <div class="divider"></div>

        <section class="bg-white p-6 mb-8 card">
            <h2 class="text-2xl font-bold mb-4">Implications pratiques pour les PME et TPE</h2>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">À retenir</h3>
            <ul class="list-disc pl-6 mb-4 space-y-2">
                <li>Une entreprise qui utilise des outils comme Facebook Insights ou des plugins sociaux est considérée comme co-responsable de traitement pour certaines opérations</li>
                <li>Cette responsabilité s'applique même si l'entreprise n'a pas accès directement aux données</li>
                <li>Le simple fait d'adhérer aux conditions d'utilisation d'une plateforme ne vous exonère pas de vos responsabilités</li>
                <li>La qualification de responsable du traitement repose sur une analyse factuelle et non formelle</li>
            </ul>
            
            <h3 class="text-xl font-semibold mt-6 mb-3">Actions à mettre en place</h3>
            <ul class="list-disc pl-6 mb-4 space-y-2">
                <li>Identifier tous les traitements de données personnelles dans votre entreprise</li>
                <li>Examiner les outils tiers utilisés (réseaux sociaux, analytique, etc.)</li>
                <li>Informer correctement les visiteurs de vos sites et pages</li>
                <li>Recueillir le consentement nécessaire pour les opérations dont vous déterminez les finalités</li>
                <li>Documenter vos choix et décisions concernant les traitements de données</li>
            </ul>
            
            <div class="highlight-box my-6">
                <p>Une entreprise ne peut pas se soustraire à ses responsabilités en matière de protection des données à caractère personnel en se soumettant simplement aux conditions générales d'un prestataire de services.</p>
            </div>
        </section>
    </main>

    <footer class="py-4 text-center">
        <div class="container mx-auto px-4">
            <p>2021. Avant toute mise en œuvre ce document doit être réactualisé</p>
        </div>
    </footer>

    <!-- Schema.org structured data for better SEO -->
    <script type="application/ld+json">
    {
      "@context": "https://schema.org",
      "@type": "Article",
      "headline": "RGPD et les PME/TPE : Qui exerce les fonctions de responsable du traitement ?",
      "description": "Analyse détaillée du rôle de responsable du traitement selon le RGPD dans les PME/TPE : jurisprudence, critères déterminants et implications pratiques",
      "datePublished": "2021",
      "author": {
        "@type": "Organization",
        "name": "Experts RGPD"
      }
    }
    </script>
</body>				</div>
				</div>
					</div>
		</div>
					</div>
		</section>
				</div>
		<div
			
			class="so-widget-sow-blog so-widget-sow-blog-grid-c34ffc02d075"
			
		>		<div
		class="sow-blog sow-blog-layout-grid"
		data-template="grid"
		data-settings="{&quot;columns&quot;:3,&quot;featured_image&quot;:true,&quot;featured_image_empty&quot;:true,&quot;featured_image_fallback&quot;:false,&quot;featured_image_size&quot;:&quot;&quot;,&quot;tag&quot;:&quot;h4&quot;,&quot;content&quot;:&quot;none&quot;,&quot;trim_manual_excerpt&quot;:&quot;&quot;,&quot;excerpt_length&quot;:55,&quot;excerpt_trim&quot;:&quot;&quot;,&quot;read_more_text&quot;:&quot;&quot;,&quot;date&quot;:false,&quot;date_output_format&quot;:&quot;default&quot;,&quot;author&quot;:false,&quot;filter_categories&quot;:false,&quot;categories&quot;:false,&quot;tags&quot;:false,&quot;comment_count&quot;:false,&quot;read_more&quot;:true,&quot;template&quot;:&quot;grid&quot;,&quot;pagination&quot;:&quot;disabled&quot;}"
		data-paged="1"
		data-paging-id="faabd4fc3f4a"
		data-total-pages="2"
		data-hash="8961cbc7"
	>
		
							<div class="sow-blog-posts">
				<article id="post-10042" class="post-10042 post type-post status-publish format-standard has-post-thumbnail hentry category-actualite category-donnees-personnelles tag-aff-c-371-24-comdribus tag-avocat-protection-de-la-vie-privee-paris tag-comdribus tag-donnees-biometriques tag-identite-numerique-et-libertes-individuelles tag-libertes-publiques tag-protection-des-donnees-personnelles" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/libertes-publiques-donnees-biometriques/">
						<img width="640" height="480" src="https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026.jpg" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026.jpg 1024w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026-300x225.jpg 300w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026-768x576.jpg 768w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026-380x285.jpg 380w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/03/donnees-biometrique-collecte-sanction-penale-Cour-justice-19-mars-2026-285x214.jpg 285w" sizes="(max-width: 640px) 100vw, 640px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/libertes-publiques-donnees-biometriques/" rel="bookmark">Libertés publiques et collectes de données biométriques, l&rsquo;arrêt de la Cour de justice du 19 mars 2026,</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-9676" class="post-9676 post type-post status-publish format-standard has-post-thumbnail hentry category-actualite category-donnees-gouvernance-des-donnees category-donnees-personnelles tag-10-fevrier-2026 tag-cjue-protection-des-donnees tag-comite-europeen-de-la-protection-des-donnees-contentieux tag-contentieux-cepd tag-cour-de-justice tag-recours-decision-cepd tag-whatsapp" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/cour-justice-contentieux-comite-europeen-protection-donnees/">
						<img width="410" height="410" src="https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP.png" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP.png 410w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-300x300.png 300w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-150x150.png 150w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-53x53.png 53w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-85x85.png 85w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-380x380.png 380w, https://www.schmitt-avocats.fr/wp-content/uploads/2026/02/CJUE-CEPD-10-FEVRIER-2026-WHATSAPP-285x285.png 285w" sizes="(max-width: 410px) 100vw, 410px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/cour-justice-contentieux-comite-europeen-protection-donnees/" rel="bookmark">La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-9388" class="post-9388 post type-post status-publish format-standard has-post-thumbnail hentry category-actualite category-donnees-personnelles tag-avocat-contenus-usagers-plateformes tag-avocat-cyberattaque-donnees tag-avocat-donnees-plateformes-numeriques tag-avocat-protection-des-donnees-entreprise tag-c-492-23 tag-cabinet-avocat-droit-numerique-et-donnees tag-conseil-juridique-arret-donnees-personnelles-plateformes tag-consultation-avocat-rgpd tag-cour-de-justice-2-decembre-2025 tag-litige-donnees-personnelles-avocat tag-mise-en-conformite-rgpd-avocat tag-plainte-cnil-avocat tag-plateformes tag-violation-donnees-personnelles-avocat" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/donnees-personnelles-arret-2-decembre-2025-contenus-usagers-plateformes/">
						<img width="480" height="480" src="https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice.png" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice.png 512w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-300x300.png 300w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-150x150.png 150w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-53x53.png 53w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-85x85.png 85w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-380x380.png 380w, https://www.schmitt-avocats.fr/wp-content/uploads/2025/12/plateforme-donnees-personnelles-rgpd-2-decembre-2025-cour-de-justice-285x285.png 285w" sizes="(max-width: 480px) 100vw, 480px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/donnees-personnelles-arret-2-decembre-2025-contenus-usagers-plateformes/" rel="bookmark">Données personnelles : l&rsquo;arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-7137" class="post-7137 post type-post status-publish format-standard has-post-thumbnail hentry category-cnil category-donnees-personnelles category-responsable-du-traitement tag-28-novembre-2024 tag-article-14_-5_-c tag-c-169-23 tag-certificat-dimmunite-covid tag-collecte-de-donnees tag-communication-des-donnees tag-consentement-des-utilisateurs tag-cour-de-justice tag-donnees-generees tag-donnees-personnelles tag-droit-a-la-vie-privee tag-droit-dacces-aux-donnees tag-droit-de-controle tag-exception-a-lobligation-dinformation tag-exception-rgpd tag-jurisprudence-rgpd tag-obligation-dinformation tag-protection-des-donnees tag-responsabilites-des-entreprises tag-responsable-du-traitement tag-rgpd tag-securite-des-donnees tag-traitement-des-donnees tag-transparence-des-donnees" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/une-clarification-favorable-au-responsable-du-traitement/">
						<img width="250" height="200" src="https://www.schmitt-avocats.fr/wp-content/uploads/2024/11/responsable-du-traitement.jpg" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/une-clarification-favorable-au-responsable-du-traitement/" rel="bookmark">Une clarification favorable au responsable du traitement</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-6860" class="post-6860 post type-post status-publish format-standard has-post-thumbnail hentry category-actualite tag-amende-administrative tag-cour-de-justice-5-decembre-2023 tag-responsable-du-traitement tag-rgpd tag-violation-fautive" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/rgpd-amende-violation-fautive/">
						<img width="205" height="205" src="https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/RGPD-amende-et-responsable-L.jpg" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/RGPD-amende-et-responsable-L.jpg 205w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/RGPD-amende-et-responsable-L-150x150.jpg 150w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/RGPD-amende-et-responsable-L-53x53.jpg 53w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/RGPD-amende-et-responsable-L-85x85.jpg 85w" sizes="(max-width: 205px) 100vw, 205px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/rgpd-amende-violation-fautive/" rel="bookmark">RGPD :  une amende uniquement pour une violation fautive, mais le nombre des potentiels payeurs augmente</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-6853" class="post-6853 post type-post status-publish format-standard has-post-thumbnail hentry category-donnees-personnelles category-responsable-du-traitement tag-7-decembre-2023re tag-cour-de-justice tag-ia tag-rgpd" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/ia-responsable-traitement-rgpd/">
						<img width="383" height="383" src="https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L.jpg" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L.jpg 383w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-300x300.jpg 300w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-150x150.jpg 150w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-53x53.jpg 53w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-85x85.jpg 85w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-380x380.jpg 380w, https://www.schmitt-avocats.fr/wp-content/uploads/2023/12/IA-et-RGPD-L-285x285.jpg 285w" sizes="(max-width: 383px) 100vw, 383px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/ia-responsable-traitement-rgpd/" rel="bookmark">IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-6436" class="post-6436 post type-post status-publish format-standard has-post-thumbnail hentry category-donnees-gouvernance-des-donnees category-donnees-personnelles tag-225-millions tag-cepd tag-chef-de-file tag-donnees-personnelles tag-ordonnance-7-decembre-2022 tag-t-709-21 tag-whatsapp" style="margin: 0 0 30px;">
					<div class="sow-entry-thumbnail">
										<a href="https://www.schmitt-avocats.fr/whatsapp-225-millions-amende-en-2021/">
						<img width="720" height="371" src="https://www.schmitt-avocats.fr/wp-content/uploads/2022/12/elipse.jpg" class="attachment-sow-blog-grid size-sow-blog-grid wp-post-image" alt="" srcset="https://www.schmitt-avocats.fr/wp-content/uploads/2022/12/elipse.jpg 1012w, https://www.schmitt-avocats.fr/wp-content/uploads/2022/12/elipse-300x154.jpg 300w, https://www.schmitt-avocats.fr/wp-content/uploads/2022/12/elipse-768x395.jpg 768w" sizes="(max-width: 720px) 100vw, 720px" />					</a>
				</div>
							<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/whatsapp-225-millions-amende-en-2021/" rel="bookmark">Qui a condamné WhatsApp à 225 millions d&rsquo;euros d&rsquo;amende en 2021 ?</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-6156" class="post-6156 post type-post status-publish format-standard hentry category-enquete-preliminaire tag-5-avril-2022 tag-c-140-20 tag-crime tag-donnees-personnelles tag-droit-commun-cour-de-justice" style="margin: 0 0 30px;">
				<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/donnees-personnelles-leurs-collectes-et-conservations-de-maniere-generalisee-et-indifferenciee-les-precisions-apportees-par-la-cour-de-justice-le-5-avril-2022/" rel="bookmark">Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-6113" class="post-6113 post type-post status-publish format-standard hentry category-enquete-preliminaire tag-3-decembre-2021 tag-conseil-constitutionnel tag-donnees-personnelles tag-enquete-prelimianire" style="margin: 0 0 30px;">
				<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/donnees-personnelles-requisitions-connexion-donnees-informatique/" rel="bookmark">Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
<article id="post-5856" class="post-5856 post type-post status-publish format-standard hentry category-donnees-personnelles tag-15-septembre-2021 tag-annuaire-professionnel tag-cnil tag-dirigeants-sociaux tag-personne-morale tag-rgpd tag-societe" style="margin: 0 0 30px;">
				<div class="sow-blog-content-wrapper"
		 style="padding: 20px 25px;">
				<header class="sow-entry-header">
			<h4 class="sow-entry-title" style="margin: 0 0 5px;"><a href="https://www.schmitt-avocats.fr/annuaire-dirigeants-entreprises-rgpd-les-annuaires-professionnels-est-elle-soumise-au-rgpd/" rel="bookmark">Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ?</a></h4>			<div class="sow-entry-meta">
				
		
		
					</div>
		</header>

			</div>
</article>
			</div>
								</div>
	</div><p>L’article <a href="https://www.schmitt-avocats.fr/responsable-traitement-rgpd/">Le responsable du traitement au RGPD</a> est apparu en premier sur <a href="https://www.schmitt-avocats.fr">Philippe Schmitt Avocats</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
