• https://atelier-rgpd.cnil.fr/
• https://www.contexte.com/numerique/les-digital-services-act-dsa-et-digital-markets-ac/

• Benjamin Bayart, "Géopolitique de la donnée" (vidéo, transcription)
• https://www.malteengeler.de/2023/09/14/the-left-needs-to-stop-idolizing-the-gdpr/ :
  "Among insiders it is an open secret that (le RGPD) would never have seen the light of day if it had not been for the revelations of Edward Snowden in 2013."

Moodle : https://e-uapv2023.univ-avignon.fr/course/view.php?id=4430

"la CNIL, ce n'est pas une autorité aussi indépendante qu'on ne le pense"
"j'ai un positionnement assez critique sur la RGPD et le changement de paradigme par rapport à la directive de 1995 : est-ce qu'on protège vraiment ?"

nuance entre mise en conformité et compliance : "est-ce plus, ou est-ce moins, est-ce la même chose ?"
"il y a deux façons de mettre en conformité :

• en façade, en faisant semblant, ce sur quoi la CNIL a plus ou moins fermé les yeux
• et la mise en conformité substantielle"

"le RDPG n'interdit rien, c'est ça la grande différence"
"on peut traiter toutes les données que l'on veut, il faut juste cocher la bonne case"

"pour résumer très simplement la jurisprudence récente de la CJUE", depuis 2022, on peut licencier un DPO qui manque de capacité et de compétences pour exercer ses missions, "alors qu'avant, le DPO, ça pouvait être des gens comme vous"
"on pensait avant que c'était le problème exclusif du responsable de traitement"
le CE est venu ensuite valider et reprendre le raisonnement de la CJUE

pendant les dernières années, les autorités de protection des données ont un peu fermé les yeux ; là, "j'ai l'impression qu'on passe une autre page"
"j'espère vous transmettre un état d'esprit, certes critique, mais qui jouera en faveur de la protection des données"

rappel :

• une directive harmonise (comme la directive de 1995) : obligation de résultat, pas de moyens, vis-à-vis des États membres
• un règlement uniformise (comme le RGPD) : "le bazooka des instruments normatifs de l'UE, il n'y a plus de souveraineté nationale ni de marge de manœuvre"

"l'UE s'est beaucoup trop préoccupée de l'extérieur, à vouloir être une force contre les États-Unis, sans se préoccuper assez sur ce qui se passe à l'intérieur de l'UE"
"on 'est rendu compte à la sortie du Royaume-Uni que ça faisait des années qu'ils n'étaient pas en conformité, et on n'a jamais rien dit"
"quand j'ai rencontré le président de la CJUE (Vasílios Skourís) et que je lui ai parlé de ces problèmes qui pouvaient faire invalider le texte, il m'a répondu "vous ferez mieux de travailler à la protection des données""

rappel : le Conseil de l'Europe est une organisation internationale distincte de l'UE
"pour l'UE, devenir membre du Conseil de l'Europe, ça voudrait dire que la CEDH pourrait se prononcer sur les décisions de la CJUE ; ça, la CJ l'a refusé par deux fois"
"à chaque fois, la CEDH faisait des pirouettes pour ne pas incriminer le droit de l'Union, uniquement le droit national"
"on est déjà dans un État fédéral, on ne l'a juste pas encore dit"

apparition de la "libre circulation des données" dans la directive de 1995 : comme la RGPD plus tard, c'est un texte bi-fonctionnel
"est-ce que ces deux objectifs sont contradictoires ?"

les 4 libertés fondamentales de l'UE : libre circulation des services, des biens, des capitaux, des personnes

1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

- RGPD, art. 1

la question reste toute entière quant à la rencontre ou non de la volonté moderne avec la volonté initiale du législateur
dans quelle mesure les données à caractère personnel (DCP) bénéficient d'une meilleure protection aujourd'hui, ou au moins d'une protection équivalente à la précédente ?

quand la directive de 95 a été transposée en France, "y'a un truc qui a glissé"
avant, la mis en place de fichiers de polices était soumis à un avis contraignant de la CNIL ; depuis la transposition, c'est un avis simple, le ministre de l'Intérieur peut faire ce qu'il veut
"alors que c'est pour ça que la CNIL a été créée à la base"

Autres textes en vigueur à côté du RGPD

• Directive 2002 (ePD), sera remplacée par l'ePR
• Règlement 2000, remplacé par le règlement 2018, sur les institutions et organes de l'UE
• Décision-cadre 2008 : "la directive de 1995 ne pouvait pas concerner les fichiers de police, le Conseil seul a donc adopté cette décision-cadre", devenu la Directive Police/Justice
  l'ensemble (2016 : RGPD + directive Police/Justice) s'appelle le paquet européen de protection des données

décision cadre (de 2008) -> directive (police-justice)
directive (de 1995) -> règlement (RGPD) = escalade normative
"c'est ce qu'on appelle un Brussels Effect, une volonté de faire entendre au monde entier ses positions éthiques sur le numérique"
autres exemples : le règlement IA, le DSA, le DMA... tous ces textes constituent la politique européenne du numérique
on observe même un changement de vocabulaire : les règlements ne s'appellent plus "regulations" mais "acts"
"c'est là qu'on voit qu'on est dans les États-Unis d'Europe en matière de digital"

extraterritorialité : c'est le grand changement du RGPD, l'UE s'autorise d'imposer ses textes à des acteurs étrangers
"s'il y a un conflit avec le RGPD chinois, qu'est-ce qui se passe ?"
"si y'a une disposition que vous ne comprenez pas, dites-vous bien que derrière, il y a du lobbying"
"l'alinéa 3 de l'article 1, vous vous doutez bien que c'est pas noyb qui l'a fait passer"