RGPD (cours)
Christina Koumpli
examen :
"je considère que mon article sur le Moodle fait partie intégrante du cours, lisez-le au même titre que les notes que vous aurez prises"
Koumpli, « Autodétermination informationnelle, droit à la vie privée, right to privacy : quel noyau pour la protection des données personnelles ? L’apport du droit comparé : Union européenne, Allemagne, France, Royaume-Uni », in Pauline Türk, "Libertés numériques", 2023 :
En effet, un droit fondamental ne peut se diluer dans une législation qui le matérialise (à moins que celle-ci ait acquis valeur supra-législative), puisque dans ce cas, la conformité au droit fondamental de la loi et de ses modifications ultérieures ne pourrait plus être contrôlée. Il convient donc de sortir le droit à la protection des données à caractère personnel d’un raisonnement circulaire visant à légitimer tout traitement de données personnelles par une satisfaction des conditions légales de mise en place de celui-ci.
"la CNIL, ce n'est pas une autorité aussi indépendante qu'on ne le pense"
"j'ai un positionnement assez critique sur la RGPD et le changement de paradigme par rapport à la directive de 1995 : est-ce qu'on protège vraiment ?"
nuance entre mise en conformité et compliance : "est-ce plus, ou est-ce moins, est-ce la même chose ?"
"il y a deux façons de mettre en conformité :
"le RDPG n'interdit rien, c'est ça la grande différence"
"on peut traiter toutes les données que l'on veut, il faut juste cocher la bonne case"
"pour résumer très simplement la jurisprudence récente de la CJUE", depuis 2022, on peut licencier un DPO qui manque de capacité et de compétences pour exercer ses missions, "alors qu'avant, le DPO, ça pouvait être des gens comme vous"
"on pensait avant que c'était le problème exclusif du responsable de traitement"
le CE est venu ensuite valider et reprendre le raisonnement de la CJUE
pendant les dernières années, les autorités de protection des données ont un peu fermé les yeux ; là, "j'ai l'impression qu'on passe une autre page"
"j'espère vous transmettre un état d'esprit, certes critique, mais qui jouera en faveur de la protection des données"
rappel :
"l'UE s'est beaucoup trop préoccupée de l'extérieur, à vouloir être une force contre les États-Unis, sans se préoccuper assez sur ce qui se passe à l'intérieur de l'UE"
"on 'est rendu compte à la sortie du Royaume-Uni que ça faisait des années qu'ils n'étaient pas en conformité, et on n'a jamais rien dit"
"quand j'ai rencontré le président de la CJUE (Vasílios Skourís) et que je lui ai parlé de ces problèmes qui pouvaient faire invalider la décision d'adéquation, il m'a répondu "vous ferez mieux de travailler à la protection des données""
rappel : le Conseil de l'Europe est une organisation internationale distincte de l'UE
"pour l'UE, devenir membre du Conseil de l'Europe, ça voudrait dire que la CEDH pourrait se prononcer sur les décisions de la CJUE ; ça, la CJ l'a refusé par deux fois"
"à chaque fois, la CEDH faisait des pirouettes pour ne pas incriminer le droit de l'Union, uniquement le droit national"
"on est déjà dans un État fédéral, on ne l'a juste pas encore dit"
apparition de la "libre circulation des données" dans la directive de 1995 : comme la RGPD plus tard, c'est un texte bi-fonctionnel
"est-ce que ces deux objectifs sont contradictoires ?"
cf. Koumpli 2023 :
En effet, pour l’Union européenne, la limitation des droits fondamentaux impliquée par un traitement informatique des données personnelles est envisagée comme nécessaire en vue de la réalisation du marché commun mais elle doit cependant être encadrée par certaines règles protectrices de la personne.
les 4 libertés fondamentales de l'UE : libre circulation des services, des biens, des capitaux, des personnes
RGPD, art. 1 :
- Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
- Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
- La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
la question reste toute entière quant à la rencontre ou non de la volonté moderne avec la volonté initiale du législateur
dans quelle mesure les données à caractère personnel (DCP) bénéficient d'une meilleure protection aujourd'hui, ou au moins d'une protection équivalente à la précédente ?
quand la directive de 95 a été transposée en France, "y'a un truc qui a glissé"
avant, la mis en place de fichiers de polices était soumis à un avis contraignant de la CNIL ; depuis la transposition, c'est un avis simple, le ministre de l'Intérieur peut faire ce qu'il veut
"alors que c'est pour ça que la CNIL a été créée à la base"
Autres textes en vigueur à côté du RGPD :
décision cadre (de 2008) -> directive (police-justice)
directive (de 1995) -> règlement (RGPD) = escalade normative
"c'est ce qu'on appelle un Brussels Effect, une volonté de faire entendre au monde entier ses positions éthiques sur le numérique"
autres exemples : le règlement IA, le DSA, le DMA... tous ces textes constituent la politique européenne du numérique
on observe même un changement de vocabulaire : les règlements ne s'appellent plus "regulations" mais "acts"
"c'est là qu'on voit qu'on est dans les États-Unis d'Europe en matière de digital"
extraterritorialité : c'est le grand changement du RGPD, l'UE s'autorise d'imposer ses textes à des acteurs étrangers
"s'il y a un conflit avec le RGPD chinois, qu'est-ce qui se passe ?"
"si y'a une disposition que vous ne comprenez pas, dites-vous bien que derrière, il y a du lobbying"
"l'alinéa 3 de l'article 1, vous vous doutez bien que c'est pas noyb qui l'a fait passer"
le changement de paradigme a été progressif, mais depuis la RGPD, il n'existe plus de formalité préalable
avant, il fallait passer par la CNIL : soit déclaration préalable, soit (pour traitement sensible) demande d'autorisation de traitement
"à mon sens", la protection des DCP avant le RGPD se basait surtout sur le droit à la personne - la permission d'agir, d'attendre ou de demander à une AAI d'intervenir préalablement à la mise en place d'un traitement, qui pourrait aboutir ("elle aboutissait de moins en moins") à une interdiction de traitement
cette idée qu'une AAI (indépendant de l'État et des entreprises) pouvait avoir en amont un pouvoir sur un traitement, était "à mon sens" ce en quoi consistait la protection des DCP avant la RGPD
"certes c'était de la bureaucratie, dans certains pays (R-U) c'était coûteux, ça a été critiqué à la Commission"
depuis la RGPD, on ne fait plus intervenir en amont les AAI ; à la place, on responsabilise les acteurs
"c'est bien autre chose que la responsabilité civile et pénale qu'on apprend en droit" : c'est de la compliance (art. 5 RGPD : accountability)
CDFUE, art. 8 :
- Toute personne a droit à la protection des données à caractère personnel la concernant.
"je ne crois pas que le droit à la protection des DCP soit un droit fondamental, même s'il figure dans la CDFUE (art. 8) et le TFUE (art. 16)"
un droit fondamental, c'est une norme de référence sur la base de laquelle on va contrôler toutes les normes inférieures sur la hiérarchie des normes ; normalement, quand un droit est fondamental, les seuls atteintes permises doivent être adéquates et proportionnées
"le fait qu'un droit prétendu fondamental contienne deux objectifs antinomiques, ça va le faire moins peser sur la balance du juge face à une autre liberté, comme celle d'entreprendre, ou celle de faire de la vidéosurveillance" : "l'individu n'occupe qu'une moitié de ce droit, qui est divisé entre lui et la libre circulation des données"
"est-ce que la CJUE sera capable un jour de limiter les libertés de circulation au nom de la protection des individus ? en principe non, c'est un principe fondamental de l'UE"
"la question que je me pose, c'est : est-ce que la RGPD est conforme à l'article 8 de la CDFUE ? je pourrais travailler pour Google et pousser la logique de l'UE jusqu'au bout pour invalider ces termes, ce qui n'arrivera jamais"
"et réduire les AAI à un rôle de contrôle a posteriori, est-ce compatible avec le droit fondamental ?"
"en tant que DPO, on doit avoir une interprétation des textes la plus proche de la protection de l'individu, sans non plus créer des obstacles à l'entreprise"
abordé par la DPO dans son intervention : "nous les juristes, on est payés pour minimiser les risques, alors que les entreprises veulent souvent en prendre"
lors de sa mise en application en 2018, les dispositions du RGPD et de la directive Police-Justice ont été incorporées (par ordonnance) à la loi Informatique et Libertés de 1978
"personne ne s'en est rendu compte dans les cours constitutionnelles des États membres, mais" en insérant l'article 16 dans le chapitre des dispositions générales du TFUE, le traité de Lisbonne a donné à l'UE une compétence pour édicter des dispositions de portée générale sur la protection des données
la loi pour une République numérique (2016) ajoute à la loi de 1978 : "toute personne dispose du droit de décider de contrôler les usages qui sont faits des DCP le concernant dans les conditions fixées par la présente loi"
c'est ce qu'on appelle en France le droit à l'autodétermination informationnelle
la loi de 2016 prévoit également :
réadaptation de la loi de 1978 au RGPD :
décret d'application du 29 mai 2019 ("la partie réglementaire est toujours plus détaillée")
titre I : dispositions communes
sur quel types de traitement s'applique le texte ?
RGPD art. 2§1
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
la loi de 1978 prévoyait que les formalités préalables ne s'appliquaient pas aux traitements "manuscrits" (= non automatisés)
cela ne voulait pas dire qu'ils n'étaient pas concernés par la loi, juste qu'il n'y avait pas de formalités préalables
en 2004, lors de la transposition de la directive de 1995, les formalités préalables s'appliquent aux traitement manuels les plus sensibles
ex. 2003, "un magasin note dans un cahier les clients soupçonnés de vol" : à partir de 2004, il faut demander explicitement une autorisation unique à la CNIL ("je suis très critique sur ce caractère unique, qui selon moi a mené à la logique de compliance, mais c'est un autre sujet")
2018, entrée en vigueur du RGPD : rajout du "tout ou en partie"
"il manque un petit "e)" sur les données anonymes dans l'article 2§2"
et c'est normal : les données anonymes ne sont pas des DCP
RGPD, considérant 15
Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.
"si vous êtes DPO demain, pour chaque traitement, vous devez dire que la finalité est telle, que l'exécution est telle, que la durée de conservation de données est telle"
"gardez à l'esprit que pour la doctrine et la plupart des jurisprudences, fichier et traitement, c'est la même chose"
ex. de jurisprudence divergente : Google Suggest
- TGI Paris 2013 : pas un fichier
- TC Paris 2014 : c'est un traitement automatisé, donc pas besoin de fichier
"de manière générale, si c'est automatisé, on n'a pas de notion de fichier"
"sur une base de données peut s'appliquer le RGPD mais aussi d'autres textes comme le CPI"
dérogations partielles pour les traitements "ne relevant pas du droit de l'Union" : "bonne chance pour savoir ce que ça veut dire" ("on soupçonnait que les traitements des données des élections relevaient du droit national, la CJ a dit que c'était faux : 20 octobre 2022 C-306/21 Koalitsia")
"fins strictement domestiques ou personnelles" : pour la CJ, il faut interpréter très strictement
dès qu'il y a le moindre risque de sortir du personnel ou domestique, le RGPD s'applique
exemples :
la première jpd de la CJ sur ce sujet, c'est l'arrêt Lindqvist du 6 novembre 2003
CJUE 10 juillet 2018 : l'activité "personnelle ou domestique" est "celle de la personne qui traite des DCP, et non pas (celle de) la personne dont les données sont traitées"
même si le service fourni reste sous le seul contrôle de l'utilisateur, l'exception ne s'applique pas à celui qui fournit le service
anonymisation : à partir du moment où il y a un risque d'individualiser la personne, même indirectement, on peut être en non-conformité (CE 8 février 2017, Sté JCDecaux)
CNIL délibération 2017 : "mesurer l'audience et la fréquentation des dispositifs publicitaires dans une gare" peut être considérée comme anonyme ("une délibération qui mérite d'être discutée")
Dans quels cas (expliquer à l'oral et citer les pages) la CNIL accepte l'application de la dérogation des activités "domestiques" dans le cadre des objets connectés ?
https://e-uapv2023.univ-avignon.fr/mod/resource/view.php?id=61679
les avis de la CNIL peut servir de moyen pour un requérant qui conteste la décision par un exemple d'un décret, pour faire suspendre provisoirement ses effets
ex. référé-liberté pour suspendre l'usage des drones en manifestation
"il vous l'a dit Mathieu Ginestet, le langage de la CNIL a évolué vers un "tout est possible" avec le RGPD, or il faut que la CNIL montre les dents"
"avec ce que je vous ai expliqué sur les décisions d'adéquation, vous comprenez que quand la PME se fait sanctionner par la CNIL, elle peut se dire what the fuck"
"il y a des contradictions"
"j'espère que vous l'avez retenu : votre premier réflexe en entreprise, c'est CNIL + la doctrine entre guillemets du CEPD/ex-G29"
"moi je pourrais pas travailler pour la CNIL, à la rigueur pour le LINC, ou le service des sanctions"
j'ai demandé à la prof ce qu'elle pensait de la réponse que m'avait faite Ginestet sur la sévérité de la CNIL espagnole, elle a répondu "moi je pourrais travailler pour la CNlL espagnole :)"
privacy by design : nouvelle obligation du RGPD, "ça n'existait pas avant"
pseudonymisation = réversible
anonymisation = irréversible
"quand quelqu'un prétend qu'il a fait une anonymisation mais qu'on peut identifier quelqu'un par corrélation, ça pose un problème" : CE 8 février 2017, Sté JC Decaux N°393714 (le RGPD n'était pas encore en vigueur)
articles du LINC à propos des données synthétiques : https://linc.cnil.fr/donnees-synthetiques-dis-papa-comment-fait-les-donnees-12
cf. également Koumpli 2023 :
En effet, aujourd’hui l’industrie de l’intelligence artificielle (IA) a résolu le casse-tête des limites de l’anonymisation des données personnelles (et donc du risque de non-conformité au RGPD) grâce au concept de « synthetic data » selon lequel les données préservent les propriétés et l’utilité statistique de l’ensemble des données personnelles originelles (servant à la création du « data set » de données synthétiques), tout en faisant parfaitement face à la problématique de la privacy puisqu’il s’agit de données a-personnelles générées à partir de vraies données personnelles (en ce sens synthétiques) mais dont le lien identifiant n’existe pas et n’intéresse plus.
Le cas des élections : CJUE 2 octobre 2022, C-306/21
l'article 2§2 (lu à lumière de ses considérants) a pour seul objectif d'exclure du champ d'application du RGPD le traitement effectué par les autorités étatiques dans le cadre d'une activité qui vise à préserver la sécurité nationale, ou d'une activité qui peut être rangée dans cette catégorie
de telle sorte que le seul fait qu'une activité soit propre à l'État ou à une autorité publique ne suffit pas pour que l'exception soit automatiquement applicable à une telle activité
or, les activités qui ont pour but de préserver la sécurité nationale couvrent en particulier celles ayant pour objet de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, objectif qui selon la Cour n'est pas poursuivi par les activités relatives à l'organisation d'élections
"on pourrait se poser la question que les élections c'est de la sécurité nationale, c'est ce qu'a défendu le ministère bulgare"
"je suis pas sûr que M. Bardin soit au courant de cette décision, je vous conseille de la sortir dans vos copies"
"exercice pour la prochaine fois"
Vidéoprotection (= sur la voie publique) et intelligence artificielle : quel est le cadre applicable ? comment il est appelé à évoluer
"je ne veux pas que vous alliez plus loin que le site de la CNIL pour répondre à ces questions, 30 minutes max"
pour la première fois dans le droit européen, la RGPD a un champ d'application extra-territorial, "ils ont trouvé comment le faire, c'est très très fort"
c"est n'est pas une reconnaissance par un État international, c'est une reconnaissance de fait"
"qu'est-ce qui va se passer dans 10 quand on va avoir un conflit entre le RGPD chinois et le RGPD européen ? je n'ai pas trouvé de doctrine sur ça, mais ça va finir par se produire"
art. 3 :
où sont localisées les personnes physiques destinataires des biens ou services ?
si elles sont hors de l'UE : où se trouve l'établissement du responsable de traitement (ou du sous-traitant : "quasiment mis sur pied d'égalité" depuis le RGPD) ?
s'il est dans l'UE, le RGPD s'applique/s'il est hors de l'UE, le RGPD ne s'applique pas
comment on sait que les personnes sont sur le territoire de l'UE ?
comment savoir si l'offre de biens ou de services cible l'UE ?
personne de passage en UE (ex. citoyen américain) qui utilise une appli ne visant que les clients américains : le RGPD ne va pas s'appliquer
"je vous ai mis une mise en demeure de WhatsApp" : la CNIL a estimé que WA était bien soumise à la loi de 1978 (avant l'application du RGPD)
"WhatsApp met à disposition un service de messagerie via une application à installer sur les terminaux mobiles, situé notamment sur le territoire français, collectant des données (...) et disponible en langue française"
(...)
"les caméras seules, c'est une surveillance passive ; les caméras augmentées, c'est une surveillance active"
"sandbox" = le projet de règlement IA autorise aux États un cadre qui aurait été normalement hors-la-loi, mais qui sous la supervision d'une autorité de contrôle, peut être expérimenté : "c'est comme le clonage humain"
"la CNIL se prépare déjà"
droit d'accès indirect : "c'est la CNIL qui doit faire la demande des fichiers de police pour vous"
G29, WP251
forme d'appréciation ou de jugement = circonstance déterminante, qui implique de distinguer le profilage en tant que procédé d'évaluation individu (notamment à des fins de prédiction) "mais pas seulement"
la classification d'après des caractéristiques connues (âge, sexe, taille) ayant pour objet de fournir une vue agrégée d'une population, sans forcément établir de prédictions, ou tirer des conclusions sur un individu, est concerné par l'article 3§2 B du RGPD
le RGPD inclut indistinctement toutes les phases, aussi bien en amont (entrepôt, forage de données) en aval, du processus de traitement de données
"de telle sorte que les traitements de big data paraissent directement visés par le RGPD"
CJUE 13 mai 2014 Google Spain, point 54
CJUE 20 décembre 2017 Nowak c. DPC, point 34, "si vous avez le temps et la curiosité"
Luscha : récupérer les coordonnées des personnes sur LinkedIn et Salesforce afin de les contacter n'est pas couvert par le RGPD
pour la CNIL, l'entreprise n'avait aucun établissement en UE (critère de l'art. 3§1) et l'extension n'était pas liée à une offre de biens ou de services aux personnes concernées (critère de 3§2)
"ne constitue pas un traitement qui consiste à analyser ou à prédire un comportement, les préférences personnelles ou les déplacements d’une personne, ses intérêts, sa situation économique ou son état de santé" de sorte que la société n'utilise pas des techniques de traitement qui constituent un profilage
"la doctrine n'est absolument pas d'accord" (Laurel Maisnier-Boche) : elle a assimilé la notion de suivi de comportement à celle de profilage, "qui ne sont pas des notions identiques, notamment quand on lit l'art. 24 du RGPD"
"le champ d'application matériel était rempli, mais pas le territoriel : je peux vous dire qu'ils ont eu de très bons avocats"
institution financière, complexe hotelier ou cabinet d'avocat qui fait partir d'une multinationale : le RGPD doit être respecté pour les traitements liés aux activités déployées dans les entités établies sur le territoire de l'UE
meme si les opérations de traitement sont elles-mêmes localisées en dehors de l'UE
établissement principal = lieu de l'administration centrale
à défaut = lieu où sont exercées les principales activités de traitement
si le sous-traitant est en UE, il doit respecter le RGPD
est-ce qu'il doit respecter le RGPD pour l'ensemble des traitements ou seulement les opérations sous-traitées ? "c'est pas vraiment clair"
CE 2011 et 2017 : les héritiers peuvent accéder au FICOBA des défunts mais ils doivent se prévaloir de leur qualité d'ayant-droit, le simple intérêt ne suffit pas
G29, WP 136 : un nom de famille très courant est insuffisant pour identifier une personne à l'échelle d'un pays, mais suffira à l'échelle d'une salle de classe
CNIL Google : l'accumulation des données que cette société détient sur une seule et même personne lui permet de la singulariser à partie d'un ou plusieurs éléments qui lui sont propres (...) ainsi, il est impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement
CE La Quadrature du net : la mise en place d'un dispositif de floutage d'images capturées par des drones (...) n’est pas de nature à modifier la nature des données faisant l’objet du traitement, qui doivent être regardées comme des DCP
la collecte d'adresse IP est un traitement à caractère personnel et doit être consigné dans le registre des traitements
et ce depuis CJUE 19 octobre 2016, C-582/14, considérant 49 : une adresse IP dynamique enregistrée par un FAI à l'occasion de la consultation par une personne d'un site internet que ses fournisseurs rendent accessibles au public constitue à l'égard dudit fournisseur une DCP lorsqu'il dispose des moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le FAI de cette personne
at. 4.2 RGPD
"on a tout fait pour que le RGPD s'applique le plus largement possible"
même s'il n'y a pas de fichier, ça peut être un traitement de DCP
c'est lui qui répond juridiquement aux obligation du RGPD
"faites attention, dans les clauses de contrat que vous allez signer, que vous n'êtes pas désigné responsable de traitement"
les 5 grands groupes d'obligation du responsable du traitement :
"je vous l'ai dit, dans 99% des cas, le premier travail de mise en conformité c'est la sensibilisation du personnel, la CNIL le prend en compte dans ses contrôles"
sanctions : "vous l'avez entendu, parfois la CNIL retourne en entreprise pour vérifier la mise en place de la conformité"
"pour le législateur européen, les violations des droits des personnes sont sanctionnées plus sévèrement (20 M€ ou 4% CA mondial)"
"mais la CNIL a créé la procédure simplifiée, moins sévère, justement pour sanctionner ces violations de droits des personnes" : paradoxe ?
toutes les sanctions pour violation des droits des personnes ne relèvent pas de la procédure simplifiée
art. 82 RGPD, "assez inconnu jusqu'à une jurisprudence récente"
CJUE 4 mai 2023, 300/21 : la violation du RGPD ne suffit pas pour le droit à réparation au sens de l'art. 82
"je pourrais vous demander un commentaire critique de cette jurisprudence"
sous la directive de 1995, le sous-traitant avait un rôle plus flou
depuis le RGPD, le ST est quasiment mis sur un pied d'égalité avec le RT
le RGPD a créé des nouveaux droits : limitation, opposition au profilage, portabilité, effacement
"mais dans la loi de 1978, le profilage était interdit"
dans la théorie kelsenienne, on raisonne par interdiction, permission, obligation : droit à = permission d'agir
toute entreprise doit avoir une cellule consacrée aux droit des personnes, avec au moins un registre des demandes d'exercice de droit
"je veux que vous intégriez que chaque droit connaît des exceptions"
résumé de https://e-uapv2023.univ-avignon.fr/mod/resource/view.php?id=70018 :
avec le RGPD, on passe d'un régime préventif à un régime répressif (au sens du droit public du régime des libertés, cf. 2e partie de la thèse de Koumpli)
ceci dit, le RGPD prend au sérieux les droits des personnes :
mais en ce qui concerne l'effectivité, on est encore dans un processus :
droit à l'effacement : dans certaines situations, la base légale du traitement des données excluait le consentement
"vous devez impérativement consulter les 2 listes de la CNIL" basées sur les lignes directrices du G29 de 2017 :
flux transfrontaliers : depuis Schrems II, le niveau de protection doit être "substantiellement équivalent"
"puisqu'on est sur un principe d'interdiction, les dérogations doivent s'interpréter très strictement"
traitement sensible ≠ donnée sensible
obligation de DPO ≠ obligatoin de PIA ("même si c'est lié dans 90% des cas")
depuis l'année dernière, la CJ et le CE sont venus monter le niveau d'exigence : oui, on peut licencier un DPO ("l'accountability ce n'est pas qu'en surface")
CJUE, 9 février 2023 (deux arrêts) aff. C-453/21, aff. C-560/21 : le RSSI ne peut pas être DPO
il est interdit de traiter des données sans base légale : il faut la définir et la communiquer