FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Le responsable de traitement s’expose-t-il automatique à une sanction en cas de manquement au RGPD ?
Interrogée sur l’obligation pour les autorités nationales d’adopter une mesure correctrice (avertissement, rappel à l’ordre, amende administrative…) lorsqu’elles constatent un manquement au RGPD, telle qu’une violation de données, la CJUE répond par la négative. Dans son arrêt, la Cour relève ainsi que :
- le RGPD ne prévoit pas l’obligation pour les autorités de contrôle d’adopter, de façon systématique, une mesure correctrice si cela n’est pas approprié, nécessaire ou proportionné pour remédier à la violation constatée et garantir le respect du règlement ;
- aussi, à titre exceptionnel et compte tenu des circonstances particulières du cas d’espèce, l’autorité peut décider de ne pas adopter de mesure correctrice à condition que (i) la violation soit corrigée et (ii) que la conformité des traitements soit assurée.
Cet arrêt illustre l’importance pour le responsable de traitement d’identifier et de pallier, au plus vite, aux manquements qu’il constate et de documenter les mesures prises pour y remédier durablement.
Lire l’arrêt de la CJUE du 26 septembre 2024, affaire C‑768/21
Filtrage de contenus illicites : le réseau social qui n’a pas mis en place les mesures efficaces ordonnées par un tribunal peut être condamné à une astreinte
Le titulaire d’une marque avait obtenu une ordonnance qui ordonnait à un réseau social de prévenir la diffusion de publicités illicites reproduisant sa marque.
Considérant que les mesures mises en place par la plateforme n’étaient pas efficaces, le titulaire demandait la fixation d’une astreinte pour contraindre le réseau social à s’exécuter.
Par un jugement du 10 septembre 2024, le Juge de l’exécution près le Tribunal judiciaire de Paris a fait droit à sa demande, et considéré que :
- Les mesures actuellement mises en place par la plateforme, qui consistent à supprimer les contenus illicites après leur diffusion, ne répondent pas à l’obligation de prévention de la diffusion ordonnée par le juge ;
- Cette obligation de prévention constituant une obligation de moyens, le réseau social doit prouver qu’il met en œuvre des « moyens efficaces » pour empêcher la diffusion, et non un « outil infaillible » ;
- Le réseau social dispose des moyens techniques et financiers pour prévenir ces diffusions, et aucun obstacle ne l’empêche de mettre en place un outil efficace.
Jugement du TJ de Paris du 10 septembre 2024 (non publié)
Données de santé : Le non-respect du RGPD peut-il constituer un acte de concurrence déloyale ?
Un pharmacien exploitant une officine physique reprochait à un concurrent des actes de concurrence déloyale tirés du non-respect des dispositions du RGPD liées au traitement de données de santé lors de la commercialisation des médicaments en ligne par ce dernier.
Par un arrêt du 4 octobre 2024, la CJUE a précisé que le RGPD ne s’opposait pas à la possibilité pour une société de se prévaloir d’actes de concurrence déloyale tirés du non-respect par un concurrent des obligations prévues par le RGPD.
La Cour a également précisé que les données collectées pour la commercialisation de médicaments non soumis à prescription médicale devaient être considérées comme des données de santé. Partant, le consentement explicite de la personne concernée devra être recueilli préalablement à leur traitement.
Lire l’arrêt de la CJUE du 4 octobre 2024, affaire C-21/23