Notre cabinet

Nos avocats prennent la parole

Catégories

Nous contacter

TOUTES

PUBLICATIONS

VIDÉOS

PODCASTS

18 . 05 . 2017

Protection of Europeans’ Personal Data in the US: Status and Challenges Ahead

In the wake of the Safe Harbor (1) invalidation by the European Court of Justice, the EU Commision and the US FTC negotiated the terms of the Privacy Shield, a new framework for protecting the personal data of EU citizens transferred to the US. With the Trump administration coming to power, and the Privacy Shield first annual evaluation approaching, questions arise as to the solidity of this new framework.

Par Constantin Pavleas et Marguerite Gaeremynck

Mrs. Falque-Pierrotin, President of the French Data Protection Authority and of the EU working group on data protection matters (the “G29”), met representatives of the Trump administration in Washington from the 29th to 31st of March 2017 in order to clarify the American position following the US elections regarding the guarantees offered by the Privacy Shield to EU citizens and discuss the effectiveness of such guarantees.

The legal framework for the transfer of personal data from the EU to the USA

The European Union (“EU”) has enacted legislation (2) to regulate the processing of personal data and implement safeguards aiming at ensuring that data transferred outside of the EU would be adequately protected. Thus, for the transfer of personal data to the USA, the transferring entity can enter into EU standard contractual clauses with the receiving entity, compelling the parties to implement security measures. Another possibility is for a group of companies established in different countries to establish binding corporate rules including security measures to be applied within such group of companies for the transfer of personal data among their entities. The transfer of personal data to a third country can also take place if such country ensures an adequate level of protection of the data. Under the new EU data protection regulation (the “GDPR”) that will enter into force in May 2018, any transfer of personal data from France to countries outside of the EU may be undertaken under the conditions described above. The EU Commission, having the authority to decide whether a third country ensures an adequate level of protection, had considered on July 26, 2000, that under the Safe Harbor, the USA ensures an adequate level of protection of the transferred data.

The invalidation of the Safe Harbor and the implementation of the Privacy Shield

Following the revelations of Edward Snowden in 2013, an Austrian Facebook user challenged the Safe Harbor before the Irish data protection authority, highlighting that the US could not be considered as ensuring an adequate level of protection as the US National Security Agency (the “NSA”) could have access to the transferred personal data through indiscriminate and bulk data collection. The case reached the European Court of Justice (the “ECJ”) which declared invalid the Safe Harbor. The ECJ noted that the US public authorities were not bound by the Safe Harbor and could proceed to massive interceptions of the transferred personal data. It emphasized that the US requirements of national security, law enforcement and public interest prevailed over the Safe Harbor rules and therefore the Safe Harbor subscribers could disobey its protective principles.

In order to replace the Safe Harbor, the US Federal Trade Commission (the “FTC”) implemented the Privacy Shield for companies to transfer individuals data from the EU to the USA. This scheme entered into force in the EU on August 1 2016, and provides for Privacy Principles. The G29 considered that significant improvements have been brought by this new framework but noted areas for improvement (3). Regarding access to personal data by public authorities, the G29 noted the US commitment to refrain from massive surveillance and the institution of an ombudsperson to handle and solve complaints from individuals. The G29 expressed the desire for more guarantees as to the independency of this ombudsperson as well as concrete safeguards aiming at ensuring that no massive surveillance will occur. The Privacy Shield includes an annual joint review mechanism to assess its operation and US commitments. It is conducted by the EU Commission and the US Department of Commerce with the participation of EU data protection authorities. The first annual assessment should be made this year.

The Trump administration’s initial actions create concerns

The recent decisions under the Trump’s administration show, as transpired during the presidential campaign, that the new government weighs in favor of facilitating access to personal data (4).

In an executive order related to illegal immigrants executed by Donald Trump in January 2017, a provision expressly stated that US privacy principles would not be extended to non-US citizens. Even though this executive order appears to be inconsistent with the Privacy Shield, the EU Commission has considered that it does not violate the application of the Privacy Shield, including because it refers to privacy principles that only apply to data collected in the US, whereas the Privacy Shield applies to data collected outside the US.

A recent token of this new policy is the US Senate resolution allowing internet service providers to sell Internet users’ data to advertisers and other third parties, without consent. This resolution overturns a rule implemented by the US Federal Communications Commission which banned the sale of Internet users’ data without their consent (5).

Conclusion

Considering their initial actions, the Trump administration seems to favor security over personal data protection. In this context, the new administration may question the guarantees included in the Privacy Shield or refuse to reinforce them, as requested by the G29. They may also consider that the Privacy Shield offers a practical framework faciliting US companies doing business with the EU and be inclined to hear Europeans’ requests for improvement in connection with its annual assessment. At this stage, there is a fair level of uncertainty as to the future of the Privacy Shield. EU companies and US subscribers of the Privacy Shield should be attentive to its first annual assessment and may find it wise to examine alternative legal bases for EU-US transfers of personal data. Of note, the GDPR provides for new legal grounds such as for (i) public authorities to implement binding agreements, and (ii) both data processors and data controllers to adhere to certification mechanisms or codes of conduct.

KEY POINTS

  • In the wake of the Safe Harbor invalidation, the EU and the US have negotiated the Privacy Shield, a legal framework aimed at protecting Europeans’ personal data transferred across the Atlantic.
  • This framework needs to be reinforced and, in its current state, is not immune from legal challenge.
  • In this context, the positions under the new US administration create uncertainty as to the future of the Privacy Shield and it may be wise for US companies processing Europeans’ personal data to consider alternative legal bases.

 

Constantin Pavléas et Marguerite Gaeremynck

(1) The safe harbor program includes principles related to the protection of personal data; US companies could voluntarily subscribe to these rules.
(2) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
(3) The G29 noted that there were no precise rules regarding the automated individual decisions based on automated processing and the right of opposition was missing.
(4) D. Trump notably promised during his campaign the creation of a national database of Muslims as an anti-terror resource for national security services.
(5) US Senate resolution voted on March 23, 2017, and confirmed by the US House of Representatives on March 29, 2017.

Publications

  • 21 juin 2022

TikTok au cœur de la nouvelle techno-guerre froide Chine/États-Unis

Le réseau social TikTok espionnerait ses utilisateurs américains depuis Pékin, selon Buzzfeed. L’avocat Constantin Pavléas réagit à ces révélations. Retrouvez l’article complet sur le site du PointLien de l'article

  • 01 juin 2022

DSA : un instrument puissant pour instaurer un environnement en ligne sûr et transparent et propager les valeurs européennes

Les négociateurs de l’UE (Parlement et Conseil) se sont accordés fin avril sur le DSA (Digital Services Act), projet de règlement visant à organiser l’espace numérique de façon sûre et ouverte pour les utilisateurs de plateformes. Le texte, qui à la date d’écriture du présent article, doit encore être finalisé au niveau technique et vérifié par les juristes-linguistes avant que le Parlement et le Conseil ne le valident formellement, devrait permettre de lutter plus efficacement contre la diffusion de contenus illicites en ligne, la désinformation en ligne et autres risques sociétaux (1) assurant ainsi une meilleure protection des citoyens

  • 03 mai 2022

Réseaux sociaux : vers un espace digital plus sûr en Europe ?

C’est un rachat qui a fait couler beaucoup d’encre la semaine dernière : celui de Twitter par le milliardaire Elon Musk. L’homme le plus riche au monde souhaite se servir de cette plateforme pour défendre la liberté d’expression à travers le monde. Un rachat mis en perspective avec l’adoption en Europe du Digital Services Act, qui garantit un espace numérique sûr pour les internautes des 27.Retrouvez l’intervention sur la matinale de RCFLien de l'article

  • 28 avril 2022

Le DSA a tout pour devenir un standard mondial de protection des utilisateurs des plateformes

Spectaculaire collision d’actualité. Au moment où l’Europe parvient à un accord sur la façon de protéger les internautes utilisant les plateformes, avec le règlement DSA (Digital Service Act), Elon Musk rachète Twitter avec le projet libertaire de s’affranchir des règles de modération. Le moment rêvé pour un cas pratique ! Retrouvez l’article complet sur le site de L’Opinion Lien de l'article

  • 26 décembre 2021

Les failles de la protection des données des Français par les pouvoirs publics

Les administrations sont désormais une cible privilégiée des pirates informatiques, qui essayent de s’emparer des données des citoyens. Si plusieurs agences veillent au grain, des associations dénoncent le manque de « volonté politique » du gouvernement. Retrouvez l’article complet sur le site du Monde. Lien de l'article

  • 26 décembre 2021

Harcèlement sexuel dans le métavers : l’avatar est nu

Alors que nous allons passer de plus en plus de temps dans les univers parallèles, notre jumeau numérique est encore bien peu protégé. Décryptage. Retrouvez l’article complet sur le site du Point. Lien de l'article

  • 29 mars 2019

Le droit français à l’épreuve de la voiture autonome

La voiture autonome est déjà une réalité et sera déployée massivement dans un futur proche. Même s’il est prévu que son utilisation réduira de manière considérable le nombre d’accidents, de nouvelles problématiques juridiques se posent quant à la responsabilité des acteurs et à l’indemnisation des victimes. Ces problématiques pourraient être résolues par une adaptation des régimes juridiques existants et l’application de nouveaux principes. Les points clés : • L’adaptation des régimes juridiques existants pour encadrer la responsabilité des voitures autonomes. • La mise en place d’un régime indemnitaire fondé sur des mécanismes d’assurance et sur la création d’un fonds

  • 14 septembre 2018

Constantin Pavléas Avocats is hosting the next CEO-CF Discovery Day

Join the CEO-Collaborative Forum! CEO-CF is Europe’s premier intelligence community providing the opportunity to like-minded business professionals in the C-Suite to connect in an open, honest environment. Join our members as well as top business executives from Paris and France for a day of collaboration and continued learning. WHAT TO EXPECT This event provides you with the opportunity to present a challenge or opportunity you are currently facing in your business to a trust group of 12-15 high-caliber executives, business leaders and CEOs. These sessions are structured using CEO-CF’s own methodology (« CEO-Challenge »), which elicits direct and honest feedback in

  • 12 septembre 2018

Le droit voisin : bonne nouvelle pour les éditeurs de presse, mauvaise réponse aux problèmes de la création

Les eurodéputés ont adopté mercredi 12 septembre 2018 une directive dont le premier projet avait été rétoqué en juillet dernier à une courte majorité. Constantin Pavléas est avocat spécialiste du droit des nouvelles technologies et responsable d’enseignements à l’école des Hautes Études Appliquées du Droit (HEAD) au sein du Master « Économie digitale et droit du numérique ». Pour lui, le vote par les Eurodéputés de la directive droits d’auteur à l’ère numérique à une large majorité, par 438 voix contre 226 ne répond que partiellement aux questions et se révèle sous certains aspects liberticide. Pour rappel, l’objectif de

  • 01 août 2018

Vers une gestion des ressources humaines conforme au RGPD

Le magazine Circuits Cultures, spécialisé dans le domaine de la distribution agricole, a publié dans sa dernière édition de juillet, août et septembre, un article de Constantin Pavléas analysant l’impact du Règlement Général sur la Protection des Données à caractère personnel (« RGPD ») sur la gestion des ressources humaines. Dans cet article, Constantin Pavléas répond à des questions très actuelles et récurrentes auxquelles sont confrontés les responsables des ressources humaines au sujet de la protection des données personnelles des salariés et des candidats. Au regard des enjeux et des sanctions possibles, ces questions se posent avec une acuité

  • 30 juillet 2018

Présentation de l’offre «RGPD : Objectif Conformité!» à Station F Paris

Aux côtés de ses partenaires Synevop et Neos-SDI, le cabinet Constantin Pavléas Avocats a organisé le 25 juillet dernier à Station F une conférence pour présenter son offre « RGPD : Objectif Conformité!« . Station F est le plus grand campus et incubateur de start-ups au monde, situé à Paris.

  • 28 juillet 2018

Speaking of GDPR at the Koh Young Partner Conference

Constantin Pavléas attended the summer session of the Koh Young Partner Conference held in Tenuta Montemagno, Italy. Koh Young Technology Inc. is a leading 3D measurement-based inspection equipment and solutions provider, which performs an essential role for quality control and process optimization in the production fields of diversified industries. These industries include notably smart devices, automotive electronics, health care industry, telecommunications, military, and semiconductors. Koh Young headquarters are located in Korea, but the company has also offices in Europe (Germany), United States, Japan, Singapore and China, which allow them to have a global network of sales and services. The

  • 27 juillet 2018

Affaire Google et amende record de la Commission européenne : décision juridique, contexte politique

Suite à la condamnation de Google par la Commission européenne à une amende record pour abus de position dominante, Constantin Pavléas a écrit l’article suivant, publié dans le Global Security Mag, expliquant les enjeux de cette affaire. Amende de 4,3 milliards d’euros pour Google : un enjeu de libre concurrence et une riposte de l’Union européenne vis-à-vis de l’agressivité américaine ? Mercredi 18 juillet dernier, la commissaire européenne à la Concurrence, Margrethe Vestager, a annoncé qu’une amende de 4,3 milliards d’euros était infligée à Google pour abus de position dominante. La Commission européenne reproche à Google d’avoir fait en sorte que son

  • 20 juillet 2018

Directive droits d’auteur : bonne intention, mauvaise réponse

Le 5 juillet 2018, les députés du Parlement européen se sont prononcés sur le projet de nouvelle directive sur le droit d’auteur, Constantin Pavléas revient sur cette décision significative et sur les enjeux du droit d’auteur dans l’ère du numérique. Cet article a également été publié sur le site Global Security Mag et Industrie-mag.com. Directive droits d’auteur : bonne intention, mauvaise réponse Par 318 voix contre 278, les eurodéputés se sont prononcés jeudi dernier contre le projet de nouvelle directive régissant les droits d’auteur à l’ère numérique. L’objectif de cette directive était de permettre aux créateurs et aux éditeurs de continuer

  • 10 juillet 2018

Constantin Pavléas is happy to join the leading collaboration network for CEOs in Europe

Constantin Pavléas has recently joined the European network CEO – Collaborative Forum (CEO-CF), the leading collaboration platform for Chief Executive Officers in Europe.   CEO-CF is a community of international entrepreneurs, investors and top executives from Europe and the United States who share experience and brain power to leverage a collective intelligence and provide cutting-edge recommendations to resolve individual challenges. CEO-CF community meets three times a year and organizes regular Discovery Days and calls between its members.    As a member, Constantin Pavléas attended the Spring Community Meeting held in Budapest, in March this year, where he delivered a

  • 26 juin 2018

Constantin Pavléas is giving a keynote on GDPR at the 2018 Healthtech Summit

Constantin Pavleas Avocats is attending the Tech Tour 2018 Healthtech Summit held in Lausanne, Switzerland, on 25 – 27 June 2018. Since its launching in 2008, the Tech Tour Healthtech Summit gathers the Europe’s top Health Technologies industry players and is an independent platform for these players to collaborate and meet international investors. For its 9th edition, Tech Tour has selected 40 high-growth potential European Medical Technology and Digital Health innovators who will showcase their ideas on how to improve patient care by modernised global health care, and how can digital and technological innovations bring positive in this field.

  • 20 juin 2018

Constantin Pavléas attends the Hungarian Biotech Association meeting in Budapest

Constantin Pavléas was invited to the annual meeting of the Hungarian Biotech Association, in Budapest on May 29, to present GDPR. It was a great honor for Constantin Pavléas to present to this distinguished assembly the GDPR within the field of biotechnology and healthtech. Constantin Pavléas particularly outlined the constraints relative to the collection and processing of sensitive personal data, based on patient consent and the associated high security requirements. However, Constantin also emphasized the opportunity to have uniform legislation across all the EU Member States and the importance to define a data strategy for companies in this sector.

  • 31 mai 2018

Quels droits de propriété intellectuelle pour les oeuvres créées par des robots?

L’intelligence artificielle (IA) est définie par l’un de ses créateurs (1) comme « la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains car elles demandent des processus mentaux de haut niveau tels que : l’apprentissage perceptuel, l’organisation de la mémoire et le raisonnement critique ». L’IA s’invite dans tous les secteurs, y compris dans la création artistique. La rentrée 2018 a été marquée par la sortie de deux albums pop : Hello World, co-créé par deux artistes (2) avec le logiciel Flow Machines (3), et I am AI, dont

  • 25 mai 2018

RGPD : Objectif Conformité!

Le cabinet Constantin Pavleas Avocats s’associe avec Synevop, cabinet de conseil en prospective stratégique et transformation digitale des entreprises, et NEOS-SDI, partenaire « Gold » Microsoft et acteur majeur du conseil et de l’intégration de solutions dédiées aux usages et technologies Microsoft, pour accompagner les entreprises et collectivités territoriales dans leur mise en conformité avec le RGPD. Le « Règlement Général sur la Protection des Données à caractère personnel » (RGPD), entré en application le 25 mai 2018, apporte des évolutions importantes dans ce domaine, notamment un renforcement des droits des personnes dont les données sont traitées, des nouveaux droits,

  • 01 avril 2018

Speaking of GDPR and Privacy Shield at King’s College London

Constantin Pavléas was invited last March to speak to LLM Intellectual Property students at King’s College, London about the commercial aspects of the EU-US Privacy Shield. After the first annual joint review of the EU-US Privacy Shield, and a stone throw away from the entry into application of GDPR, Constantin commented upon WP29’s opinion on this first annual joint review, in particular the improvements made by this new framework as compared to the former Safe Harbor agreement, and the remaining areas of concern. The talk highlighted the inconsistencies between the Privacy Shield principles and GDPR, and the requirement for those

  • 20 mars 2018

Privacy Shield: first annual assessment and resonance with the GDPR sword

Introduction The Privacy Shield (1), the scheme that was designed by US and EU authorities to replace Safe Harbor to comply with data protection requirements when transferring personal data from the European Union and Switzerland to the United States, has undergone its first annual joint review in September 2017. First Annual Joint Review and Remaining Concerns Although noting improvements to the prior framework (2), EU working group on data protection matters (“G29”) identified at least six areas of concern with respect to its commercial aspects (3). Such concerns include the need for clear guidance and information to the adhering companies

  • 01 mars 2018

Mobile World Congress 2018

Depuis 2009, Constantin Pavléas Avocats se rend au salon international de l’industrie de la téléphonie mobile, communément appelé le Mobile World Congress (MWC), à Barcelone. Ce salon, organisé par la GSM Association, réunit tous les plus grands acteurs de la téléphonie mobile, notamment des opérateurs, des vendeurs, des fabricants de terminaux et des producteurs de contenus venant du monde entier. Il attire chaque année plusieurs dizaine de milliers de visiteurs. L’occasion de rencontrer des clients Le cabinet profite de ce salon pour y rencontrer ses clients opérant sur le marché de la téléphonie mobile. Il est en effet important pour

  • 14 février 2018

Webinar: La conformité RGPD, première brique d’une stratégie digitale?

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) sera applicable. Cette nouvelle réglementation concerne toute entité effectuant des traitements de données personnelles sur le territoire de l’UE ou même en dehors de celle-ci, lorsque les traitements visent des résidents européens. Le sens de cette réglementation est à la fois de responsabiliser les acteurs traitant des données personnelles et de renforcer les droits des personnes concernées. Les responsables de traitement et sous-traitants doivent notamment procéder à l’inventaire des traitements qu’ils opèrent, mettre des procédures en place et procéder à une analyse d’impact. Ainsi, la

  • 07 novembre 2017

ADMISSION POST BAC (APB) ET DÉCISIONS INDIVIDUELLES AUTOMATISÉES : TOUR D’HORIZON À LA SUITE DE LA DÉCISION DE LA CNIL

ADMISSION POST BAC (APB) ET DÉCISIONS INDIVIDUELLES AUTOMATISÉES : TOUR D’HORIZON À LA SUITE DE LA DÉCISION DE LA CNIL Suite à une plainte déposée en 2016 visant Admission Post-Bac (APB), le système de pré-inscription des bacheliers dans l’enseignement supérieur, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure le 30 août 2017 le Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de cesser de prendre des décisions à l’égard de personnes exclusivement fondées sur un traitement automatisé, et de mettre fin à l’opacité qui entoure le classement et le processus d’affectation des

  • 18 mai 2017

Protection of Europeans’ Personal Data in the US: Status and Challenges Ahead

In the wake of the Safe Harbor (1) invalidation by the European Court of Justice, the EU Commision and the US FTC negotiated the terms of the Privacy Shield, a new framework for protecting the personal data of EU citizens transferred to the US. With the Trump administration coming to power, and the Privacy Shield first annual evaluation approaching, questions arise as to the solidity of this new framework. Par Constantin Pavleas et Marguerite Gaeremynck — Mrs. Falque-Pierrotin, President of the French Data Protection Authority and of the EU working group on data protection matters (the “G29”), met representatives

  • 18 mai 2017

Disparition de l’Euro : un risque à intégrer dans la négociation contractuelle ?

Symbole d’unité et de croissance pour les uns, responsable de perte de souveraineté et de pouvoir d’achat pour d’autres, l’Euro a été un des sujets de la campagne présidentielle française. Au-delà du risque politique, le débat économique sur ses défauts de genèse et des remèdes devant lui être administrés, fait ressortir les risques pesant sur cette jeune monnaie. Dès lors, quelques précautions pourraient s’avérer utiles dans la négociation des contrats libellés en Euros. Par Constantin Pavleas, avocat associé, et Anastasie Kerluen, avocate. — Dans le sillage de la crise grecque et la montée des partis populistes en Europe, l’Euro

  • 18 mai 2017

Protection of Europeans’ Personal Data in the US: Status and Challenges Ahead

In the wake of the Safe Harbor (1) invalidation by the European Court of Justice, the EU Commision and the US FTC negotiated the terms of the Privacy Shield, a new framework for protecting the personal data of EU citizens transferred to the US. With the Trump administration coming to power, and the Privacy Shield first annual evaluation approaching, questions arise as to the solidity of this new framework. Par Constantin Pavleas et Marguerite Gaeremynck — Mrs. Falque-Pierrotin, President of the French Data Protection Authority and of the EU working group on data protection matters (the “G29”), met representatives

Pavleas Avocats est un cabinet indépendant fondé et dirigé par Constantin Pavleas, spécialisé depuis 20 ans dans le droit des données, des technologies et de l’innovation.

28, rue Racine – 75006 Paris – France
Tél. : +33 (0)1 43 37 30 30
[email protected]

Cabinet

Équipe

Expertises

International

Newsroom

Contact

Mentions légales

Données personnelles

Cookies

Nous rejoindre

© Pavleas Avocats 2022, Design Agence Le 6Editorial Studio HartponPowered by GW

PARIS | Athènes | San Diego