Faits juridiques marquants
Juillet – août 2024
Conformity Data vous propose une sélection d’actualités marquantes dans le domaine du numérique, du droit des données personnelles – RGPD, de lacybersécurité –NIS2 et de l’intelligence artificielle.
Chaque situation est commentée au regard de la règlementation en vigueur et des bonnes pratiques recommandées par les autorités.

Important : les noms des structures privées ou publiques, cités dans les articles originaux, sont ici remplacés par l’appellation XXX. Même si les décisions de la CNIL sont rendues publiques et que la dénomination expresse des structures concernées fait partie de la sanction, Conformity Data souhaite mettre l’accent sur les faits relevés et les enseignements à en retenir, plutôt que de stigmatiser les organismes, entreprises ou autres structures sanctionnés.
Non-désignation d’un DPO : une commune sanctionnée à nouveau par la CNIL à hauteur de 6900 €
Le 22 juillet 2024, la commune XXX est condamnée par la CNIL à payer la somme de 6 900 euros pour s’être abstenue de désigner un délégué à la protection des données (DPO), malgré les injonctions répétées de la CNIL.
Après une mise en demeure et une décision de procédure de sanction simplifiée, la commune a persisté à ne pas nommer de DPO.
En 2023, cette commune avait déjà été condamnée par la CNIL à une amende de 5 000 euros et à désigner un DPO. En cas de non-respect, la commune devait payer la somme de 150 euros par jour de retard à l’issue d’un délai de 2 mois.
N’ayant pas donné suite aux demandes de la CNIL, la commune XXX s’est vu prononcer une liquidation de l’astreinte de 6 900 euros.
À noter que, malgré ces sanctions successives, la commune n’a toujours pas désigné de DPO qualifié. La procédure court donc toujours.
Source : la CNIL
Manquements au droit des clients : une plate-forme de e-commerce sanctionnée d’une amende de 2,3 M€ par l’autorité lituanienne, en coopération avec la CNIL
La CNIL a reçu de nombreuses plaintes de clients d’une société XXX qui vend en ligne des vêtements et des accessoires.
Les utilisateurs de la plateforme rapportaient que leurs droits garantis par le RGPD, notamment quant à l’effacement de leurs données personnelles, étaient difficilement respectés par cette société.
Le siège de la société XXX se trouvant en Lituanie, c’est l’autorité lituanienne de protection des données, l’équivalent de la CNIL en France, qui est compétente. La CNIL a donc transféré les réclamations des utilisateurs français de la plate-forme à cette autorité lituanienne.
Par cette coopération, l’autorité lituanienne de protection des données a pu constater et qualifier les manquements de la société XXX au regard de la réglementation et a décidé de prononcer une sanction à hauteur de 2,3 millions d’euros.
Ce cas illustre la mise en œuvre de la coopération entre les autorités de contrôle nationales au niveau européen dans la protection du droit des personnes au regard des dispositions du RGPD.
Source : la CNIL
Transfert de données personnelles hors UE sans garantie suffisante : une société sanctionnée à hauteur de 290 M€ par l’autorité néerlandaise, en coopération avec la CNIL
Il s’agit d’une coopération entre la CNIL et les autres autorités de contrôle au niveau européen, suite à la plainte collective portée par une association représentant plus de 170 chauffeurs d’une plateforme XXX.
Cette plainte avait pour objet l’information des personnes et le transfert de données personnelles hors UE. En 2023, une amende pour manquement à l’information des chauffeurs avait déjà été prononcée contre la société XXX.
Cette société ayant son établissement principal aux Pays-Bas, c’est l’autorité néerlandaise de protection des données, l’équivalent de la CNIL en France, qui est compétente. La CNIL a donc coopéré avec cette autorité tout au long de la procédure d’investigations.
L’autorité néerlandaise de protection des données a pu constater que des transferts de données personnelles vers les États-Unis n’ont pas été encadrés par les garanties appropriées et, par conséquent, a conclu à un manquement. Une amende de 290 millions d’euros a été prononcée à l’encontre de cette société.
Source : la CNIL
1ᵉʳ août 2024 : entrée en vigueur du nouveau règlement européen sur l’intelligence artificielle (AI Act)
Le nouveau règlement européen sur l’intelligence artificielle, AI Act en anglais, a été approuvé par les États membres de l’Union européenne le 21 mai 2024. Publié au journal officiel de l’Union européenne le 12 juillet 2024, il entre en vigueur le 1ᵉʳ août 2024.
Les applications de ce texte seront échelonnées dans le temps :
– au 2 février 2025, tout système d’intelligence artificielle considéré comme présentant des risques inacceptables sera interdit.
– au 2 août 2025, les structures devront appliquer les règles concernant les systèmes d’intelligence artificielle définis comme d’usage général.
– au 2 août 2026, soit deux ans après son entrée en vigueur, l’ensemble des dispositions figurant dans le règlement européen sur l’intelligence artificielle s’appliquera.
– au 2 août 2027, les règles relatives aux systèmes d’intelligence artificielle à haut risque figurant à l’annexe I du règlement s’appliqueront.
L’objectif de ce nouveau règlement sur l’intelligence artificielle est double : faciliter le développement économique et l’intelligence artificielle dans tous les pays de l’Union européenne, tout en respectant les droits fondamentaux, dont la protection de la vie privée et des données personnelles des individus concernés.
Revenez aux actualités et questions juridiques
CONTACTEZ
Conformity Data
Vos données sont traitées par Conformity Data pour votre demande de prise de contact. Les seuls destinataires sont Conformity Data et son sous-traitant o2switch - France, en charge de la gestion du serveur web. La fourniture de ces données (*) est obligatoire. Pour plus d’informations sur le traitement de vos données et l’exercice de vos droits, reportez-vous à notre politique de confidentialité.
contact@conformity-data.fr

RGPD, NIS2, AI Act - le droit du numérique en toute sérénité