La blockchain reconnue comme mode de preuve de la titularité des droits d’auteur

Le tribunal judiciaire de Marseille a reconnu, le 20 mars 2025, la valeur probante d’un horodatage Blockchain pour établir la titularité des droits patrimoniaux d’auteur, et non seulement pour déterminer la date certaine de création des œuvres inscrites.

 

La société AZ FACTORY, a ainsi prouvé ses droits sur les créations vestimentaires Hearts from Alber et Love from Alber grâce à des enregistrements effectués en mars et septembre 2021 via la solution BlockchainyourIP. Ces œuvres, créées par le célèbre créateur de mode Alber ELBAZ, bénéficient par conséquent d’une protection renforcée grâce à la Blockchain.

 

Une protection renforcée

 

Le tribunal a confirmé l’originalité des œuvres et caractérisé la contrefaçon. Il a considéré que l’horodatage Blockchain permettait d’établir la titularité des droits patrimoniaux d’auteur :

 

« En l’espèce, la titularité des droits patrimoniaux d’auteur relatifs aux vêtements Hearts from Alber et Love from Alber au profit de la société AZ FACTORY est établie par les deux constats de l’horodatage Blockchain en date des 05 mai 2021 et 15 septembre 2021. »

 

Ce système d’horodatage permet ainsi de contribuer à assurer une preuve suffisamment fiable non seulement de la date de création d’une œuvre, une utilité qui lui avait déjà été reconnue, mais aussi de la titularité des droits sur cette œuvre, ce qui représente un atout majeur pour les créateurs face aux actes de contrefaçon.

 

Un apport intéressant pour les règles d’établissement de la preuve des droits d’auteur

 

L’admissibilité de preuves issues de cette technologie semble toutefois reposer, aux termes de ce jugement, sur un faisceau d’indices, sans que l’on sache si la seule inscription dans la Blockchain aurait suffi ou non à établir la titularité des droits.

 

En effet, le tribunal a aussi précisé que les vêtements étaient commercialisés sous deux marques de l’Union européenne reproduites sur les étiquettes des vêtements et que les vêtements avaient été divulgués sur les réseaux sociaux, ce qui a contribué à déterminer la titularité des droits.

 

En établissant la titularité des droits d’auteur grâce à la Blockchain mais aussi grâce à d’autres éléments de preuve, ce jugement ne permet pas encore de faire de l’inscription d’une création dans la Blockchain une preuve « reine ».

 

Décision du tribunal judiciaire de Marseille, 20 mars 2025, RG n° 23/00046 sous ce lien

 


Article par Véronique Dahan, Jérémie Leroy-Ringuet, Charlotte Gauvin et Carla Notarianni.

Edition Multimedia : Mars 2025 – Métavers

Téléchargez l’article complet en cliquant ici.

 

Depuis le rapport du CSPLA sur le métavers face au droit d’auteur,« des travaux » se poursuivent. Si le rapport sur le métavers adopté mi-2024 par le CSPLA n’a pas identifié d’évolutions juridiques « nécessaires et urgentes», il a cependant appelé à des «réflexions». Selon nos informations, « des travaux» sont en cours à la Direction générale des entreprises (DGE) à Bercy. 

 

Dans la continuité des travaux menés par le Conseil supérieur de la propriété littérai­re et artistique [CSPLA) sur d’autres inno­vations technologiques majeures comme les jetons non fongibles en 2022, la réalité virtuelle ou la réalité augmentée en 2020 ou la« blockchain » en 2018, cette instance consultative chargée de conseiller le ministère de la Culture s’ est vue remettre, le 10 juillet 2024, un rapport sur le métavers. L’.objectif assigné à leurs auteurs -Jean Martin, avocat et président de la commission sur le métavers [1), et Nicolas Jau, auditeur au Conseil d’Etat et le rapporteur de la mission -était de mener une analyse de l’impact du phénomène du développement du métavers en matière littéraire et artistique.

 

Le spectre de la création « métaversique »

Le spectre de la création « métaversique » Le rapport débute par le constat selon lequel le métavers – particulièrement convoité par les géants de la tech au début des années 2020 -est un concept qui se laisse dif­ficilement appréhender. Dans le prolongement de la mis­sion exploratoire gouvernementale de 2022 sur le méta­vers [2), le rapport le définit, sans prendre trop de risque, comme un service en ligne offrant un espace immersif et persistant où les utilisateurs peuvent interagir en temps réel via des avatars. Il s’agit d’un environnement virtuel permettant de développer une « vie virtuelle», notam­ment culturelle. Ce concept est souvent perçu comme une extension de l’Internet actuel, intégrant des techno­logies de réalité virtuelle et augmentée. Le rapport de la commission sur le métavers finit alors par constater que cette définition du métavers n’empor­tait pas par elle-même de conséquences en matière de propriété littéraire et artistique. « Tout est alors affaire d’espèce», ajoute-t-il [3). Le rapport conclut classique­ment que les raisonnements appliqués à l’Internet sont applicables au métavers.

 

En tout état de cause, la défini­tion à retenir, selon la commission, est nécessairement neutre. Ceci s· explique par la diversité des options rete­nues par les opérateurs de métavers, qu’il s’agisse des technologies dites immersives à la réalité étendue [casque VR) ou des technologies liées à la blockchain ou au Web3. Le métavers permet la création d’ œuvres diverses, que l’on peut nommer « œuvres métaver­siques », destinées à être exploitées dans le métavers. La propriété et la portabilité de ces créations entre diffé­rents métavers restent des défis majeurs, le régime de la création étant largement dépendante des choix de l’ opé­rateur du métavers concerné. Le rapport opère une double distinction entre, d’une part, les créations réali­sées par les prestataires de services de métavers et celles réalisées par les utilisateurs, et, d’autre part, les œuvres préexistantes et les œuvres créées spécifique­ment pour le métavers. Toutefois, cette distinction n’est pas absolue, car les œuvres préexistantes doivent géné­ralement être adaptées pour le métavers.

 

En outre, le rapport préconise de soumettre le métavers au régime prétorien des œuvres multimédias, œuvres complexes, à l’instar du jeu vidéo. Ses principaux élé­ments caractéristiques sont ainsi: la réunion d’éléments de genres différents [images fixes ou animées, textes, sons, etc.]; l’interactivité avec l’utilisateur, c’est-à-dire une navigation non-linéaire à l’intérieur d’un programme dont l’utilisateur opère des choix de parcours; une iden­tité propre de l’ensemble, qui ne se limite pas à la somme de ses éléments constitutifs. A l’inverse, le rap­port du CSPLA écarte logiquement la qualification d’œuvre audiovisuelle définie comme« consistant dans des séquences animées d’images, sonorisées ou non» [4). Pour autant, dans la mesure où il n’est pas exclu d’identifier à l’intérieur du métavers des œuvres non-multimédias, une logique distributive semble pré­valoir: chacune de ses composantes est soumise au régime qui lui est applicable en fonction de sa nature juridique. Par exemple, les auteurs de la partie audiovi­suelle seront soumis au régime spécial des œuvres audiovisuelles, tandis que les auteurs de la musique se verront appliquer un droit d’auteur spécial dédié.

 

Contenus générés par les utilisateurs

Le rapport, adoptant une interprétation extensive de la notion d’œuvre, considère que les contenus « métaver­siques » – c· est-à-dire les contenus générés par des utili­sateurs dans un métavers, qu’ils soient directement créés dans le métavers ou importés – peuvent relever du droit d’auteur et ainsi constituer des œuvres. Conformément à la logique distributive de l’ œuvre multimédia, l’utilisateur n’a aucun droit sur le logiciel faisant fonctionner l’environne­ment du métavers, mais il est titulaire des droits sur l’ œuvre graphique et/ou sonore qu’il a produite. Toutefois, le rapport exclut catégoriquement toute cotitularité associant le pres­tataire de métavers, sauf hypothèse de l’œuvre composite.

 

Œuvre de collaboration et statut d’avatar

Poussant le raisonnement à l’extrême, le rapport s’interro­ge sur la possibilité – pour l’instant théorique – de recon­naître aux utilisateurs les plus actifs le statut d’auteur du métavers pris dans son ensemble. Ceci reviendrait à consi­dérer le métavers comme une « œuvre de collaboration » entre le prestataire de métavers et certains utilisateurs. Par exemple, il est possible d’acheter ou de louer des « lands», – parcelles de terrains sur la plateforme The Sand box [5]. sur lesquels les utilisateurs peuvent créer des jeux ou placer des jetons. Les utilisateurs participent ainsi à la modélisation de l’univers de la plateforme.

 

Quoi qu’il en soit, la difficulté d’assurer la portabilité et l’interopérabilité des créations entre les différents méta­vers tend à remettre en cause la qualité d’auteur des uti­lisateurs sur leur « œuvre métaversique » puisque ceux­ci se trouvent fatalement dans une situation de dépendan­ce vis-à-vis des prestataires du métavers. Enfin, le rapport s’interroge sur la qualification d’atteinte au droit moral, notamment au droit au respect de l’intégri­té de l’ œuvre : dans les métavers, les utilisateurs peuvent, par exemple, détruire ou altérer des objets virtuels (c’est le cas dans les jeux dits « bac à sable» comme Minecraft). Afin de garantir le respect de ce droit moral, le rapport pré­conise d’insérer des mentions dans les conditions géné­rales d’utilisation ou, à défaut, de laisser au juge le soin d’apprécier au cas par cas le respect de ce droit.

Concernant cette fois la contrefaçon, le rapport du CSPLA alerte sur le risque d’apparition de « métavers pirates», également appelés « darkverses » [ou « métavers som­ bres» en français], lesquels sont susceptibles de générer de nouvelles menaces de contrefaçon. Il observe que les droits des« utilisateurs-créateurs» sur les contenus qu’ils génè­rent sont souvent négligés par les prestataires de métavers. En particulier, la commission considère que le régime de responsabilité prévu par l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numé­rique» du 17 avril 2019, directive dite« Copyright» [6]. s’ap­plique aux services en ligne de métavers dès lors qu’il y a un partage de contenus par les utilisateurs. « Les droits voisins ont également vocation à s’appliquer dans le méta vers, qu’il s’agisse des prérogatives morales ou patrimoniales», sou­lignent les auteurs [7]. Les opérateurs doivent obtenir ou faire état de leurs « meilleurs efforts» pour obtenir une autorisation des titulaires de droits concernant les actes accomplis par les utilisateurs non-commerciaux.

 

Il leur appartient de respecter les meilleures pratiques en matière d’identification et de blocage des contenus contrefaisants. Ce qui n’est pas forcément chose aisée dans un secteur en rapide et constante évolution. A ce titre, le rapport s’interro­ge, sans apporter de réponse nette, sur la manière dont la blockchain pourrait être utilisée par les métavers décentra­lisés – fondée sur une propriété partagée par les utilisateurs – pour respecter l’article 17 dans le cadre de la lutte contre la contrefaçon [8]. Le rapport indique que les exceptions au droit d’auteur et aux droits voisins s’appliquent, comme la copie privée [9], « sous réserve que le métavers permette effectivement de séparer l’espace personnel et l’espace public et de réserver l’accès au premier» comme le fait Second Life [1 Dl. La commission sur le métavers s’est aussi interrogée sur l’application d’une« licence légale» et d’une « rémunération équitable» [ 111. mais sans parvenir à un consensus sur cette question [12).

 

Quant à l’avatar, représentation de l’utilisateur dans l’en­vironnement virtuel, il est un élément central du méta­vers. Bien que l’avatar puisse être considéré comme une œuvre protégée par le droit d’auteur, son statut juridique est complexe. Les avatars peuvent être des créations ori­ginales, mais leur utilisation et leur protection dépendent des conditions générales d’utilisation des plateformes de métavers. La commission du CSPLA explique que « la relation entre l’avatar et /’utilisateur est complexe» car un avatar peut représenter une personne physique ou morale, ou être un « personnage non joueur» [PNJ) sans lien avec un utilisateur réel. Un utilisateur peut disposer de plusieurs avatars, même au sein d’un même méta­vers. La commission écarte fort logiquement l’idée que l’avatar puisse être reconnu comme auteur des œuvres, car il n’a pas de personnalité propre. Cependant, l’avatar peut constituer un pseudonyme au sens de l’article L. 113-6 du code de la propriété intellectuelle. Le rapport conclut que, « si les évolutions rapides du secteur doivent être suivies avec attention, la commission [sur le métavers] n’a pas identifié à ce stade d’évolutions nécessaires et urgentes» du cadre juridique existant.

 

«Réflexions» et «travaux,, se poursuivent

Cependant, le CSPLA a demandé à ce que des « réfle­xions» soient menées : « sur la prise en compte du droit moral dès la conception des services en ligne de méta­vers » [13]. d’une part, et« sur les garanties techniques et juridiques permettant, sans conservation généralisée des données, aux personnes victimes, notamment de contrefaçons, d’en faire constater /’existence et d’en apporter la preuve» [141. d’autre part. Contacté par Edition Multimédiia, Jean-Philippe Mochon, président du CSPLA, nous indique que, d’après le ministère de la Culture,« des travaux étaient en cours à Bercy auprès de la Direction générale des entreprises (DGE} ».

 


 

1) – https://lc.cx/JeuxVideo
2) – https://lc.cx/JeuxVideo
3) – Rapport CSPLA, p. 14.
4) – Point 6 de l’art. L. 112-2 du code de propriété intellectuelle (CPI).
5) – https://lc.cx/Sandboxland
6) – https://lc.cx/Copyright17-05-19
7) – Rapport, p. 40.
8) – Rapport, p. 53.
9) – Art. L. 122-5 du CPI.
10)- Rapport, p. 38.
11)- Art. L. 214-1 du CPI.
12)- Rapport, p. 42
13)- Rapport, p. 33.
14)- Rapport, p. 56.

Le Groupe Lemer rejoint Carlesimo Groupe

Le Groupe Lemer, spécialiste français de la fonderie de plomb et d’aluminium, rejoint Carlesimo Groupe pour renforcer sa position sur le marché. Joffe & Associés (Christophe Joffe, Virginie Belle & Alexia Guyot) est intervenu en qualité de conseil de Tikehau Capital (lead investor), Ouest Croissance et Litto Invest, qui cèdent leurs participations dans le capital du Groupe Lemer à Carlesimo Groupe dans le cadre de cette opération.

 

Fort de son savoir-faire centenaire et de son ancrage en région nantaise, le Groupe Lemer s’est imposé comme une référence dans divers secteurs tels que le nautisme, l’industrie, le nucléaire ou encore la sécurité. Après une reprise en 2016 par Laurent Lécole dans le cadre d’un MBO avec Tikehau Capital, Ouest Croissance et Litto Invest (Joffe & Associés avait déjà accompagné les investisseurs dans le cadre de cette opération), l’entreprise a su se structurer et se développer sur des marchés stratégiques, notamment dans le maritime et le nucléaire. Cette nouvelle acquisition par Carlesimo Groupe va lui permettre d’accélérer sa croissance et d’explorer de nouvelles opportunités industrielles.

 

Cette étape marque un cap important pour l’entreprise, qui bénéficie désormais du soutien d’un acteur industriel stratégique. Ce rapprochement vise à créer le leader français de la fonderie de plomb à destination du nautisme, de l’industrie et du nucléaire, tout en garantissant la continuité et l’innovation au sein du groupe.

 


 

Newsletter DPO : mars 2025

Téléchargez notre newsletter en cliquant ici.

 

EN BREF :

 

  • SANCTIONS – Bilan 2024 des sanctions et mesures correctrices prononcées par la CNIL et sanction d’une société pour la surveillance excessive de ses salariés.
  • INTELLIGENCE ARTIFICIELLE – Clarification de la définition des systèmes d’IA par la Commission européenne et nouvelles recommandations de la CNIL pour accompagner une IA responsable.
  • ANONYMISATION/PSEUDONYMISATION – Un moteur de recherche rappelé à l’ordre par la CNIL et publication de lignes directrices par le Comité européen de la protection des données.
  • DROIT D’ACCES – L’action coordonnée européenne identifie les lacunes de la mise en œuvre du droit d’accès.
  • TRANSFERT HORS UNION EUROPEENNE – Publication du guide de la CNIL sur les analyses d’impact des transferts des données.

 

I. LES SANCTIONS A RETENIR

 

a. Bilan 2024 des sanctions de la CNIL

 

En 2024, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») (France) a prononcé 87 sanctions, dont 69 dans le cadre de la procédure simplifiée (ici). Cette hausse significative par rapport à 2023 (42 sanctions) et 2022 (21 sanctions), s’explique par l’utilisation de plus en plus fréquente de la procédure simplifiée (près de trois fois plus qu’en 2023).

 

Dans le cadre de sa procédure ordinaire, la CNIL a notamment sanctionné les sociétés au sujet de :

  • La prospection commerciale: notamment pour l’absence de collecte de consentement préalable des personnes avant l’envoi de communications commerciales.
  • Les traitements de données de santé: notamment concernant l’anonymisation (ex. clarification de la qualification des données traitées dans des entrepôts de données de santé).

 

Dans le cadre de sa procédure simplifiée, la CNIL a notamment sanctionné (i) le défaut de coopération avec la CNIL, (ii) le non-respect de l’exercice des droits, (iii) le manquement à la minimisation des données, (iv) le manquement relatif à la sécurité des données personnelles, et (v) le manquement à la réglementation relative aux cookies.

 

b. Surveillance excessive des salariés : amende de 40 000 euros pour une entreprise du secteur immobilier

 

La CNIL, par une délibération SAN-2024-021 du 19 décembre 2024 (ici), a infligé une amende de 40 000 euros à une société du secteur immobilier pour avoir mis en place une surveillance excessive de ses salariés, au moyen d’un logiciel de suivi du temps de travail et de la performance des salariés et d’un système de vidéosurveillance en continu mis en place dans les espaces de travail et de pause des salariés. La CNIL a relevé plusieurs manquements, notamment :

 

 

Manquements Détails
Surveillance excessive

(i)     La captation en continue d’images et de sons des salariés est contraire au principe de minimisation des données (article 5 du RGPD) ; et

(ii)   La mise en œuvre d’un logiciel de surveillance des postes de travail ne repose sur aucune base légale (article 6 du RGPD).

Absence d’information L’information orale sur la mise en œuvre du logiciel de surveillance ne remplit pas les conditions d’accessibilité dans le temps et, en l’absence de trace écrite de celle-ci, son caractère complet n’est pas établi (articles 12 et 13 du RGPD).
Défaut de mesures de sécurité  La CNIL rappelle l’exigence renforcée d’individualisation des accès aux comptes administrateur, qui disposent de droits très étendus sur les données personnelles – ici, plusieurs collaborateurs partageaient le même accès aux données issues du logiciel de surveillance (article 32 du RGPD).
Absence d’analyse d’impact (AIPD) La surveillance systématique des salariés à leur poste de travail nécessitait la formalisation d’une AIPD (article 35 du RGPD).

 

II. VERS UNE IA RESPONSABLE

 

a. Pratiques interdites en matière d’intelligence artificielle : les nouvelles lignes directrices de la Commission Européenne

 

La Commission européenne a adopté, le 6 février 2025, des lignes directrices sur la définition des systèmes d’intelligence artificielle (« IA ») afin d’aider les parties concernées à identifier si un système logiciel relève de l’IA (ici, disponibles uniquement en anglais). Il est à noter que ces lignes directrices ne portent pas sur les modèles d’IA à usage général. La Commission a identifié et précisé les 7 éléments qui composent la définition de « système d’IA », introduite à l’article 3(1) du règlement (UE) 2024/1689 sur l’IA :

 

 

Définition du règlement Précisions de la Commission
Un système automatisé Les systèmes d’IA doivent être basés sur le calcul et les opérations de machines.
conçu pour fonctionner à différents niveaux d’autonomie La capacité de déduction des systèmes est clé pour assurer leur autonomie : un système d’IA doit fonctionner avec un certain degré raisonnable d’indépendance d’action (ce qui exclut les systèmes nécessitant une implication et une intervention humaine manuelle totale).
et pouvant faire preuve d’une capacité d’adaptation après son déploiement La condition de capacité d’auto-apprentissage du système est facultative et non-décisive.
Et qui, pour des objectifs explicites ou implicites Les objectifs explicites (encodés) ou implicites (déduits de comportement ou d’hypothèses) sont internes et se réfèrent aux buts et résultats des tâches à accomplir. Ils font partie d’une notion plus large de « destination » du système d’IA, qui correspond au contexte dans lequel il a été conçu et à la manière dont il doit être exploité.
Déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties Cette notion se réfère à la phase de construction du système, et est donc plus large que la seule phase d’utilisation du système. La Commission, par des exemples, distingue les systèmes d’IA de ceux qui n’ont qu’une capacité limitée à analyser des modèles et à ajuster leurs sorties de manière autonome.
Telles que des prédictions, du contenu, des recommandations ou des décisions Les systèmes d’IA se distinguent par leur capacité à générer des résultats nuancés, en exploitant des modèles complexes ou des règles définies par des experts. La Commission détaille chacun des termes de la définition.
Qui peuvent influencer les environnements physiques ou virtuels Les systèmes d’IA ne sont pas passifs mais ont un impact actif sur les environnements dans lesquels ils sont déployés.

 

 

b. Les nouvelles recommandations de la CNIL pour une IA responsable

 

Le 7 février 2025, la CNIL a publié ses nouvelles recommandations pour accompagner le développement d’une IA responsable, en conformité avec le RGPD (ici). Celles-ci portent à la fois sur l’information des personnes, et sur l’exercice de leurs droits :

 

  • Information : le responsable de traitement doit informer les personnes lorsque leurs données personnelles servent à l’entraînement d’un modèle d’IA. Cette information peut être adaptée en fonction des risques pour les personnes et des contraintes opérationnelles et peut donc parfois se limiter à une information générale (lorsque les personnes ne peuvent être contactées individuellement) et / ou globale (lorsque de nombreuses sources sont utilisées, en indiquant par exemple seulement des catégories de sources).
  • Droits des personnes : la CNIL invite les acteurs à prendre en compte la protection de la vie privée dès le stade de conception du modèle (ex. stratégie d’anonymisation, non-divulgation de données confidentielles). La mise en œuvre des droits dans le cadre de modèle d’IA peut être difficile et un refus d’exercice des droits peut parfois être justifié. Lorsque ces droits doivent être garantis, la CNIL prendra en compte les solutions raisonnables disponibles et pourra aménager les conditions de délai.

 

III. L’ANONYMISATION ET LA PSEUDONYMISATION EN DEBAT

 

a. La CNIL adresse à Qwant un rappel à ses obligations légales

 

La CNIL a adressé au moteur de recherche Qwant un rappel à ses obligations légales (ici). Dans le cadre de l’affichage de publicité contextuelle, Qwant estimait transmettre à la société Microsoft des données essentiellement techniques et anonymisées (ex. adresse IP tronquée ou hachée). A la suite de deux contrôles et d’échanges avec ses homologues européens, la CNIL a considéré que les données transférées sont pseudonymisées et non anonymisées.

 

Elle a choisi de prononcer à l’encontre de la société un rappel aux obligations légales plutôt qu’une sanction en raison : (i) du niveau d’intrusivité faible du moteur de recherche, (ii) des nombreuses mesures techniques déployées pour réduire le risque de réidentification, (iii) du caractère non-intentionnel du manquement, entrainé par une erreur d’analyse initiale, (iv) de la modification rapide de sa politique de confidentialité, et (v) de sa bonne foi et coopération tout au long de la procédure.

 

b. Les nouvelles lignes directrices du CEPD sur la pseudonymisation

 

Le 16 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices 01/2025 sur la pseudonymisation, soumises à consultation publique jusqu’au 14 mars 2025 (ici, disponibles uniquement en anglais).

 

La pseudonymisation permet de ne plus attribuer les données personnelles à une personne concernée sans information supplémentaire (article 4(5) du RGPD). Les données pseudonymisées sont des données personnelles car il existe un risque de réidentification des personnes concernées.

 

Le CEPD indique que la pseudonymisation peut (i) faciliter l’utilisation de la base juridique de l’intérêt légitime, pour autant que toutes les autres exigences du RGPD soit respectées, (ii) garantir la compatibilité avec la finalité initiale dans le cadre d’un traitement ultérieur, et (iii) aider les organisations à respecter les obligations relatives aux principes du RGPD, à la protection dès la conception et par défaut, et à la sécurité.

 

Le CEPD analyse également un ensemble de mesures techniques robustes pour empêcher toute réidentification non autorisée. Parmi les techniques recommandées figurent le hachage avec clé secrète ou sel, la séparation des informations permettant l’attribution, et le contrôle strict des accès.

 

Il sera soulevé que ces lignes directrices sont à lire à la lumière de l’affaire C-413/23 pendante devant la Cour de justice de l’Union européenne opposant le contrôleur européen de la protection des données au conseil de résolution unique (CRU). Dans cette affaire, des données pseudonymisées ont été transférées par le CRU à Deloitte pour les besoins d’une mission d’analyse. Dans ses conclusions en date du 6 février 2025, l’avocat général invite la Cour à se prononcer sur le fait de savoir si le destinataire de données pseudonymisées qui ne dispose pas de moyens raisonnables pour réidentifier les personnes concernées, pourrait être considéré comme ne traitant pas de données à caractère personnel dans la mesure où le risque d’identification est « inexistant ou insignifiant ».

 

IV. LUMIERE SUR LE DROIT D’ACCES

 

La CNIL et le Contrôleur européen de la protection des données ont participé à une action coordonnée du Comité européen de la protection des données afin d’évaluer la mise en œuvre du droit d’accès aux données personnelles.

 

Au cours de l’année 2024, la CNIL a contrôlé des organismes publics et privés, choisis sur la base de plaintes reçues, et a prononcé plusieurs rappels aux obligations légales. Elle remarque que les mesures organisationnelles mises en œuvre par ces organismes pour traiter les demandes de droit d’accès sont parfois insuffisantes / insatisfaisantes. Les organismes devraient à la fois (i) fournir des informations sur le traitement, (ii) inclure une copie des données traitées, et (iii) ne devraient pas exclure systématiquement de leurs réponses certains traitements ou catégories de données personnelles.

 

Le CEPD a quant à lui contrôlé le traitement des demandes de droit d’accès par les institutions, organes et organismes de l’UE et a mis en évidence dans son rapport du 16 janvier 2025 : (i) le faible volume de demandes, (ii) la décentralisation de la gestion des demandes, (iii) le fait qu’il est difficile de distinguer les demandes d’accès des autres types de demandes, (iv) le traitement excessif de données engendré par la vérification de l’identité des demandeurs, (v) la difficile conciliation entre la protection des droits et libertés et le respect du droit d’accès des personnes. Les responsables de traitement et sous-traitants sont invités par le CEPD à se référer aux lignes directrices 01/2022 sur le droit d’accès des personnes concernées.

 

V. ANALYSE D’IMPACT DES TRANSFERTS DE DONNEES

 

Le 31 janvier 2025, la CNIL a publié la version finale de son guide sur l’Analyse d’Impact des Transferts de Données (AITD) (ici) afin d’aider les exportateurs de données à évaluer le niveau de protection dans les pays de destination situés hors de l’Espace Economique Européen et la nécessité de mettre en place des garanties supplémentaires. Cette analyse est nécessaire lorsque le transfert repose sur un outil de l’article 46 du RGPD (clauses contractuelles types, règles d’entreprise contraignantes, etc.) : le pays de destination ne bénéficie alors pas d’une décision d’adéquation et le transfert n’est pas effectué sur la base d’une dérogation de l’article 49 du RGPD.

 

Le guide propose une méthodologie en six étapes :

  • Identifier les données concernées et les acteurs impliqués ;
  • Choisir l’outil de transfert approprié ;
  • Analyser les risques liés aux lois et pratiques du pays tiers ;
  • Déterminer et appliquer les mesures supplémentaires (ex. chiffrement ou anonymisation) ;
  • Mettre en œuvre ces mesures supplémentaires ;
  • Réévaluer à intervalles appropriées la conformité du transfert.

 

Cette publication fait suite à une consultation publique qui a permis à la CNIL d’adapter son guide aux réalités pratiques des entreprises, et de le modifier afin de prendre en compte les derniers avis du Comité Européen de la Protection des Données.