Le difficile c'est ce qui peut-être fait tout de suite.

 L'impossible, c'est ce qui prend un peu plus de temps.”

                                                                 

                                                               George Santayana

advisors by SP, avocats et délégués à la protection des données

Qui sommes nous ?

 

 

Advisors by SP regroupe autour de Saba Parsa, avocate et déléguée à la protection des données, une équipe pluridisciplinaire d'avocats, de conseillers, de délégués à la protection des données (DPO) et de médiateurs tous passionnés par leur métier. 

Rigoureuse et dynamique, privilégiant les relations fondées sur la confiance, la transparence et la confidentialité absolues, l'équipe de advisors by SP vous accompagne, vous conseille et défend vos intérêts.

A côté des missions d'avocats, nos délégués à la protection des données vous conseillent dans le cadre de la mise en conformité de votre entreprise au RGPD (règlement général relatif à la protection des données).

Nous avocats sont également soucieux de trouver des solutions alternatives à la voie judiciaire, et négocie à vos côtés en vue d'assurer vos intérêts au mieux. Nous comptons au sein de notre équipe,également des médiateurs, qui encadrent vos contentieux, dans le cadre de modes alternatifs de règlement des contentieux.

Enfin, nous donnons également des formations, intervenons comme orateurs ou conférenciers.

Depuis le mois de septembre 2021, notre cabinet a rejoint les avocats du cabinet Rawlings Giles établi entre Londre, Paris, Bruxelles, Anvers, Tournai et également Waterloo.

Vous pouvez retrouver les coordonnées des membres de notre équipe, sous l'onglet : Notre équipe mais également sur le site de Rawlings Giles : ici

Le cabinet est installé à Waterloo, dans un écrin de verdure, à la sortie du Ring où nous pouvons vous accueillir dans les meilleures conditions.

 

Notre métier : conseiller, accompagner, défendre vos intérêts

Notre métier, nous l'appréhendons avant tout comme un engagement, celui de vous accompagner dans les meilleures conditions avant, pendant, après votre contentieux.

 

Ainsi, en qualité d'avocat, avant le contentieux, nous veillons à être votre partenaire privilégié pour la rédaction de vos conventions, statuts, R.O.I., préavis, notes, avis et rapports juridiques.

 

Pendant votre contentieux, nos avocats, vous accompagnent, tant en qualité de conseil, de négociateur que de plaideur, si votre contentieux se judiciarise.

 

Après le contentieux, nous nous assurons de l'exécution de l'accord ou du jugement (le cas échéant en vous mettant en contact avec un huissier de justice). 

 

Notre pratique est ainsi centrée autour de 4 axes :

  • Le conseil, l'accompagnement et la défense de vos intérêts en cas de contentieux ;
  • L'accompagnement dans la mise en conformité au Règlement général relatif à la protection des données (RGPD) et la mission de délégué à la protection des données (DPO, DPD) ;
  • La rédaction de rapports, notes ou avis en diverses matières ;
  • La formation.

 

L'équipe d'advisors by SP

 

L'avocat c'est quelqu'un qu'il faut aller voir avant pour éviter les problèmes après

                                                 AVOCATS.BE

 

 

L'affaire WhatsApp : du règlement du litige par le Comité européen de protection des données (CEPD-EDPB) à la sanction ?

 

 

Par Saba Parsa

Avocate I DPO Certifiée

 

 

 

Ce 2 septembre 2021 l'autorité irlandaise de protection des données (ci-après DPC) a infligé une amende de 225.000.000 d'euros à WhatsApp Ireland Ltd, suite à une enquête qui avait démarré en décembre 2018 et portant sur le respect des obligations de transparence par le service de messagerie.

 

Cette enquête a conduit à la mise en place d'une procédure de règlement des règlements des litiges par le CEPD (art. 65 RGPD), et enfin une décision finale le 2 septembre 2021.

 

Les faits

 

A l'origine de cette affaire, la DPC cherchait à savoir si WhatsApp respectait ses obligations de transparence, découlant des dispositions des articles 5.1. a), 12, 13, 14 du RGPD, à l'égard tant des utilisateurs que des non-utilisateurs de la messagerie.
 

Pendant son enquête, la DPC a constaté que WhatsApp avait commis des violations graves des articles 12, 13 et 14 du RGPD, de sorte qu'elle a préparé un projet de décision à l'encontre de WhatsApp.

En ce qui concerne les articles 12, 13 du RGPD, la DPC a constaté que WhatsApp n'avait pas fourni d'informations sur la nature de la collecte de données sous la forme requise en l'article 12, à savoir :  "concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple".

Cela inclut le fait de rendre les informations faciles à comprendre pour les enfants lorsqu'elles leur sont adressées.

A titre d'exemple quand WhatsApp communiquait sur sa relation avec d'autres sociétés du groupe Facebook et sur le partage des données dans ce cadre, la plupart des informations fournies étaient d'une nature trop générale et sans intérêt.

D'autant que les utilisateurs devaient souvent surmonter de multiples liens vers des FAQ pour parvenir aux informations qu'ils recherchaient sur le site web de WhatsApp. À cet égard, la DPC a déclaré qu'il serait déraisonnable d'attendre des utilisateurs qu'ils recherchent sur le site web de WhatsApp après avoir échoué à trouver des informations suffisantes dans la déclaration de confidentialité elle-même.

 

En ce qui concerne l'article 14 du RGPD, dans le cadre des collectes indirectes, l'une des questions était l'impact du consentement d'un utilisateur permettant à la messagerie d'avoir accès à ses contacts.

À ce titre, la société a recherché dans les coordonnées de ses utilisateurs sur leurs téléphones des numéros de téléphone et d'autres données, non seulement d'autres utilisateurs de WhatsApp, mais aussi de contacts qui n'utilisent pas l'application WhatsApp. La DPC a, à juste titre, estimé que ces données ont été traitées de manière illégale, car ces contacts, n'ont reçu aucune information sur ce traitement et n'ont donc pas pu donner leur consentement.

Compte tenu de la gravité, de la nature et de l'impact considérables des violations, il a été conclu qu'il y avait également eu une violation du principe de transparence de l'art. 5 (1) a) du RGPD, à savoir l'absence de consentement.

 

Eu égard au déploiement de la messagerie sur l'ensemble du territoire européen, elle a soumis son projet de décision aux autres autorités de contrôle européennes en décembre 2020, et ce conformément aux dispositions de l'article 60 du RGPD.

 

Procédure de l'article 60 : Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées

 

 

L'article 60 du RGPD stipule que :

 

"1. L'autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L'autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2. L'autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.
3. L'autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leur point de vue.
4. Lorsqu'une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l'égard du projet de décision, l'autorité de contrôle chef de file, si elle ne suit pas l'objection pertinente et motivée ou si elle est d'avis que cette objection n'est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.
(...)"

 

En l'occurrence, la DPC a reçu des objections de la part de huit autorités de contrôle, notamment s'agissant du montant trop faible de la sanction.

 

En raison de l'absence d'accord, une procédure de règlement des différends conformément à l'article 65 du RGPD a été initiée le 3 juin 2021. Il s'agit d'une première du genre.

 

La procédure de l'Article 65 du RGPD : Règlement des litiges par le comité

 

L'article 65 stipule que :

"1. En vue d'assurer l'application correcte et cohérente du présent règlement dans les cas d'espèce, le comité adopte une décision contraignante dans les cas suivants:
a) lorsque, dans le cas visé à l'article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité de contrôle chef de file ou que l'autorité de contrôle chef de file a rejeté cette objection au motif qu'elle n'est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l'objet de l'objection pertinente et motivée, notamment celle de savoir s'il y a violation du présent règlement; (...)

2. La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du comité dans un délai d'un mois à compter de la transmission de la question. Ce délai peut être prolongé d'un mois en fonction de la complexité de la question. La décision visée au paragraphe 1, est motivée et est adressée à l'autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.
3. Lorsque le comité n'a pas été en mesure d'adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision, à la majorité simple de ses membres, dans un délai de deux semaines suivant l'expiration du deuxième mois visé au paragraphe 2. En cas d'égalité des voix au sein du comité, la voix de son président est prépondérante.

(...)"

 

Suite à cette procédure, le Comité européen de la protection des données (ou CEPD), par sa décision du 28 juillet 2021, a  demandé à l'Autorité irlandaise, la DPC de réévaluer et d'augmenter l'amende proposée en se basant sur un certain nombre de facteurs.

Le CEPD a constaté une violation du principe de transparence énoncé à l'article 5(1) a) RGPD en plus des violations constatées par la DPC, et a demandé que cela soit reflété dans le montant final de l'amende.

En ce qui concerne l'amende imposée et le calcul de l'amende, le CEPD a décidé que le chiffre d'affaires d'une entreprise n'est pas exclusivement pertinent pour la détermination du montant maximal de l'amende conformément à l'article 83 du RGPD. En l'occurrence, le CEPD rappelle  qu'afin de garantir que l'amende soit effective, proportionnée et dissuasive, le chiffre d'affaires consolidé de la société mère (Facebook Inc.) devait être inclus dans le calcul du chiffre d'affaires, permettant d'établir l'amende.

 

En outre, le CEPD a, pour la première fois, fourni des éclaircissements sur l'interprétation du §3 de l'article 83 du RGPD.

 

En cas d'infractions multiples pour des opérations de traitement identiques ou liées, toutes les infractions doivent être prises en considération pour calculer le montant de l'amende, et ce, sans préjudice de l'obligation des Autorités de contrôle de prendre en compte la proportionnalité de l'amende et de respecter le montant maximal fixé par le RGPD.

Enfin, le projet de décision de l'autorité irlandaise comportait également une injonction de mise en conformité des opérations de traitement dans un délai de six mois. Ce délai, primordial pour assurer le respect des obligations de transparence, a du être réduit de six à trois mois.

 

Cette décision contraignante a été adressée aux Autorités de contrôle européennes concernées, et à l'Autorité irlandaise, en tant que chef de file, qui a adopté sa décision sur la base de la décision de l'EDPB.

 

La décision de la DPC, Autorité Irlandaire de protection des données  (DPC)

 

Sur cette base, la DPC a imposé une amende d'un montant total de 225 millions d'euros, entendue comme suit :

  • 90 000 000 EUR pour la violation de l'art. 5 (1) a) GDPR ;
  • 30.000.000 EUR pour la violation de l'Art. 12 GDPR ;
  • 30.000.000 EUR pour la violation de l'art. 13 GDPR ; et
  • 75 000 000 EUR pour la violation de l'art. 14 GDPR.
     

 

Plus d'information ici :

https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry

https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_fr

https://edpb.europa.eu/news/news/2021/edpb-adopts-art-65-decision-regarding-whatsapp-ireland_fr

 

 

Par

 

Saba PARSA,

 

Avocate I Lawyer

DPD certifiée I DPO certified

 

 

Pour l'équipe d'advisors by SP

 

 

 

 

Contactez-nous

Où nous trouver