union européenne

PROTECTION DES DONNEES PERSONNELLES: QUE RETENIR DE 2017?

L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).  

I. Les atteintes à la sécurité des données

 

1/ Ransomwares

 

Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »

 

Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles.  La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.

 

2/ Failles de sécurité

 

Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...

 

Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.

 

Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.

 

Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

 

Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.

 

II. Les sanctions prises par la Commission européenne et la CNIL

 

Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.

 

Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :

 

Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).

 

1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées

 

La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.

 

En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».

 

La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.

 

Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.

 

2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés

 

La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.

 

3/ Google : Sanction de la Commission européenne pour abus de position dominante

 

La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.

 

III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne

 

1/ Le droit à l’oubli :

 

Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.

 

Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :

 

  • D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.

 

  • D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].

 

2/ M. Schrems

 

Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]

 

Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :

 

  • D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.

 

La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.

 

Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.

 

Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]

 

  • D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.

 

Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :

  • Le pays bénéficie d’une décision d’adéquation [11]

  • Un transfert fondé sur des garanties appropriées [12]

  • Ou encore, sur le fondement de règles d’entreprises contraignantes [13]

 

Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.

 

 

En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.

 

Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.

 

 

 

REFERENCES

 

[1] http://www.zdnet.fr/actualites/ransomware-le-nettoyage-se-poursuit-apres-le-chaos-wannacry-39852650.htm

 

[2] http://www.zdnet.fr/actualites/ransomware-petya-un-colis-a-300-millions-de-dollars-pour-maersk-39856172.htm

 

[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –

2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

 

[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm

 

[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial

 

[6] CJUE, 6 octobre 2015, C-362/14

 

[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited

 

[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est remplacé par un alinéa ainsi rédigé :

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument

 

[10] Article 44 du RGPD

 

[11] Article 45 du RGPD

 

[12] Article 46 du RGPD

 

[13] Article 47 du RGPD

 

[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).

Bruxelles: Interview de Jérôme DEROULEZ dans le Monde du Droit. 17 novembre 2017

BRUXELLES: Interview de Jérôme Deroulez par Arnaud Dumourier dans le Monde du Droit du 17 novembre 2017. http://www.lemondedudroit.fr/interviews/54590-interview-jerome-deroulez-pourquoi-inscrire-bruxelles.html   

Pourquoi ouvrir un bureau à Bruxelles? Cet interview portait sur les intérêts et avantages pour les avocats français d'ouvrir un bureau à Bruxelles.

 

Cet article évoque aussi les raisons d'une présence à Bruxelles pour intégrer au mieux les travaux législatifs européens en cours et à venir, plus spécifiquement dans les domaines de la protection des données personnelles ou des nouvelles technologies.

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.

Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ? 

Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…

Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.

L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet,  en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.

Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).

Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.

GDPR: Que va faire le  législateur français ?

Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.

La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.

Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.

La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.

Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr

BLOCKCHAIN ET DROIT: Jérôme Deroulez est intervenu lors du 28ème club LexisNexis organisé en partenariat avec le Club des Juristes

BLOCKCHAIN: Jérôme Deroulez est intervenu au sujet des enjeux juridiques posés par le blockchain (cas d'usages, applications et utilisation probable, régulation et encadrement législatif). Il a évoqué les travaux français en vue d'un futur droit de la blockchain, au vu de l'ordonnance sur les mini-bons et de la future ordonnance sur les titres non cotés. Cette présentation a fait l'objet d'une publication dans la Semaine Juridique le 29 mai 2017 ( http://www.tendancedroit.fr/wp-content/uploads/2017/05/La-semaine-juridique-1.pdf )  

  1. Pourquoi les avocats doivent-ils s’intéresser à la blockchain ?

 

La blockchain intéresse les avocats aujourd’hui à plus d’un titre.

D’abord parce que cette technologie et son potentiel suscitent de très nombreuses questions d’ordre juridique (mode de preuve, conception de smart-contracts, identité et blockchain, transferts de titres de propriété etc…). De plus, la multiplication des applications ou des expérimentations fondées sur la blockchain interpellent et posent de très nombreux défis aux avocats lorsqu’ils doivent accompagner leurs clients sur ces projets (notamment dans le domaine des droits de propriété intellectuelle, littéraire ou artistique).

Par ailleurs, la plupart des régulateurs ou des autorités de contrôle se positionnent aujourd’hui sur cette technologie et son impact notamment en matière bancaire et financière avec un nombre de rapports et d’études exponentiel. Et les investissements aujourd’hui consentis au niveau international sur cette technologie sont aussi un marqueur qui doit attirer notre attention : partout la blockchain interpelle et constitue le signe de changements importants.

Enfin, au-delà du phénomène de mode lié à cette technologie volontiers décrite comme « punk », l’intervention de l’avocat permet de réfléchir au cadre juridique général de ces travaux et de poser des jalons pour les sécuriser et les pérenniser.

 

  1. Les pratiques évoluent, quel sera le rôle de l’avocat demain ?

 

Le rôle de l’avocat évoluera forcément, du fait de l’effet conjugué de nombreuses technologies comme la blockchain, l’intelligence artificielle, la justice prédictive ou encore les robots. Nos façons de travailler, nos modèles de développement comme nos outils sont susceptibles d’être impactés. Les relations avec nos clients sont aussi d’ores et déjà profondément modifiées par la révolution numérique et évolueront encore.

S’il est difficile de prédire quel sera le rôle de l’avocat demain, il est en revanche nécessaire pour les barreaux de se pencher de près sur les conséquences croisées des innovations qui font aujourd’hui l’actualité et révolutionnent en profondeur notre économie. C’est aussi l’un des moteurs de l’Incubateur du Barreau de Paris pour rapprocher l’innovation des cabinets tout en mettant en valeur les projets les plus intéressants au niveau juridique et en les accompagnant sur leurs volets éthiques et déontologiques notamment.

 

  1. Quel impact de la blockchain sur la régulation ? Faut-il légiférer sur la blockchain ?

 

La blockchain a d’ores et déjà un impact en termes de régulation et de législation. Les enjeux juridiques de la définition du bitcoin et des monnaies virtuelles comme leur appréhension par les régulateurs internationaux ont suscité des premiers travaux législatifs ou pré-législatifs. L’ordonnance sur les mini-bons et la future ordonnance sur les titres non-côtés issue de la loi Sapin II devraient aussi jeter les bases d’un droit français de la blockchain appelé de leurs vœux par de nombreux parlementaires.

Ces travaux ne se limitent pas à la France, le Royaume-Uni, le Luxembourg, l’Australie, Singapour ou les Etats-Unis ont d’ores et déjà lancé des réflexions législatives en la matière. L’Union européenne a marqué son intérêt. Et des projets de norme ISO de cette technologie ont débuté.

D’ici un ou deux ans, plusieurs exemples de législations centrées sur certains effets liés à l’utilisation de la blockchain devraient avoir été adoptés -à défaut d’une régulation à proprement parler particulièrement complexe à envisager. La promotion du modèle du sandbox ou bac à sable est aussi une option à envisager sérieusement : à l’instar de certaines propositions anglo-saxonnes, ce concept permet d’éviter de légiférer trop tôt dans le cas de technologies très évolutives notamment et de permettre aux législateurs comme aux régulateurs de prendre le pouls des projets en cours. En tout état de cause, le modèle du sandbox est un appel à appréhender autrement les modes de régulation en évoluant vers des solutions de co-création, plus ouvertes et collaboratives.

PRIVACY SHIELD: AVERTISSEMENT DU PARLEMENT EUROPEEN

BRUXELLES: Le Parlement européen a adopté à une large majorité (306 votes en faveur, 240 votes contre) le 6 avril une résolution faisant part de ses inquiétudes au sujet du niveau de protection des données assuré par l'accord transatlantique Privacy-Shield. Au vu des nouvelles dispositions élargissant le périmètre de la NSA (notamment les nouvelles dispositions intervenues en janvier 2017 autorisant la collecte de données personnelles en masse, en dehors du cadre judiciaire) et des votes intervenus au Congrès en mars dernier (cf notre dernier article), les parlementaires européens estiment que le Privacy Shield pourrait être mis en cause. Ce vote est une première alarme à destination de la Commission et des autorités américaines avant l'évaluation conjointe qui doit avoir lieu en septembre prochain.

A travers cette résolution, le Parlement européen rappelle son inquiétude quant aux garanties concrètes apportées en matière de protection des données personnelles par les autorités américaines et de l'effectivité de leur engagement à mettre en oeuvre les dispositions souhaitées par l'Union européenne. A défaut de réponse claire, cet accord pourrait être remis en cause, alors que plus de 1900 entreprises ont adhéré à ses principes.

 

Protection des données personnelles : intervention de J. Deroulez, Avocat à CAMPUS

Actualité de la protection des données  personnelles Jérôme DEROULEZ, Avocat a dispensé une formation dans le cadre de CAMPUS (Formation continue des avocats du Barreau de Paris).

Sujet : l'actualité de la protection des données personnelles en Europe.

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps prochain.

Entrée en application prévue pour 2018.

Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement.