Compliance officer

La compliance regroupe l’ensemble des processus destinés à assurer qu’une entreprise, ses dirigeants et ses salariés respectent les normes juridiques et éthiques qui leur sont applicables. Le compliance officer veille ainsi à préserver son entreprise des risques financiers, juridiques et réputationnels qu’encourt l’organisation lorsqu’elle ne respecte pas les lois, la règlementation, des conventions, ou tout simplement une certaine éthique ou déontologie. En effet, lorsqu’une entreprise est mise en cause, les conséquences sont tout à la fois financières, commerciales et humaines : la société en question va forcément pâtir de la réputation qui lui est faite, puisqu’une image ternie va rendre plus difficile un accès aux financements.

Le Règlement Général sur la Protection des Données « RGPD », qui est entré en vigueur dans l’UE le 25 mai 2018, est un texte qui « présente un intérêt pour l’EEE », à savoir, qui peut être étendu aux 3 États si le texte incorporé dans l’ « Accord EEE », par une décision du Comité Mixte de l’EEE est adopté. Cette décision a été prise à Bruxelles le 6 juillet 2018. Le RGDP est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

Par ailleurs l’Islande a adopté une nouvelle loi n° 90/2018 sur la protection des données personnelles et le traitement des données personnelles.

Cela signifie notamment que les transferts de données personnelles vers ces 3 pays ne requièrent pas de mesures supplémentaires de sauvegarde ou encore que les violations de données personnelles devront, le cas échéant, faire aussi l’objet d’une notification dans ces pays.

Certains points doivent encore être clarifiés. Nous comprenons par exemple que l’Islande, la Norvège et le Liechtenstein bénéficient du mécanisme du guichet unique et participer aux réunions du Comité Européen de la Protection des Données « CEPD », mais sans nécessairement avoir un droit de vote.

Le CEPD est institué par le règlement européen sur la protection des données (RGPD). Il remplace l’ancien groupe de l’article 29 et a pour mission principale de veiller à l’application du RGPD dans tous les pays membres de l’UE.

Bruxelles, le 11 novembre – Lors de sa 41e session plénière, le CEPD a adopté des recommandations sur les mesures complétant les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance. 

Les deux documents ont été adoptés à la suite de l’arrêt «Schrems II» de la CJUE. À la suite de l’arrêt du 16 juillet, les responsables du traitement se fondant sur les clauses contractuelles types (CCS) sont tenus de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire des données dans le pays tiers, si le droit du pays tiers assure un niveau de protection des données personnelles transférées qui est essentiellement équivalent à celui garanti dans l’Espace économique européen (EEE). La CJUE a autorisé les exportateurs à ajouter des mesures complémentaires aux CSC pour garantir le respect effectif de ce niveau de protection lorsque les garanties contenues dans les CSC ne sont pas suffisantes.   

Les recommandations visent à aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données à s’acquitter de leur obligation d’identifier et de mettre en œuvre des mesures supplémentaires appropriées lorsqu’elles sont nécessaires pour assurer un niveau de protection essentiellement équivalent aux données qu’ils transfèrent vers des pays tiers. Ce faisant, l’EDPB recherche une application cohérente du RGPD et de l’arrêt de la Cour dans l’ensemble de l’EEE. 

Le président de l’EDPB, Andrea Jelinek, a déclaré: «L’EDPB est parfaitement conscient de l’impact de l’arrêt Schrems II sur des milliers d’entreprises de l’UE et de la responsabilité importante qu’il place sur les exportateurs de données. L’EDPB espère que ces recommandations pourront aider les exportateurs de données à identifier et à mettre en œuvre des mesures complémentaires efficaces là où elles sont nécessaires. Notre objectif est de permettre des transferts licites de données personnelles vers des pays tiers tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’EEE.  »  

Les recommandations contiennent une feuille de route des étapes que les exportateurs de données doivent suivre pour savoir s’ils doivent mettre en place des mesures supplémentaires pour pouvoir transférer des données en dehors de l’EEE conformément au droit de l’UE, et les aider à identifier celles qui pourraient être efficaces. Pour aider les exportateurs de données, les recommandations contiennent également une liste non exhaustive d’exemples de mesures supplémentaires et de certaines des conditions dont elles auraient besoin pour être efficaces. 

Cependant, en fin de compte, les exportateurs de données sont responsables de l’évaluation concrète dans le contexte du transfert, de la législation du pays tiers et de l’outil de transfert sur lequel ils s’appuient. Les exportateurs de données doivent procéder avec une diligence raisonnable et documenter leur processus de manière approfondie, car ils seront tenus responsables des décisions qu’ils prendront sur cette base, conformément au principe de responsabilité du RGPD. De plus, les exportateurs de données doivent savoir qu’il n’est peut-être pas possible de mettre en œuvre des mesures supplémentaires suffisantes dans tous les cas.

Les recommandations sur les mesures complémentaires seront soumises à la consultation publique. Ils seront applicables immédiatement après leur publication. 

En outre, l’EDPB a adopté des recommandations sur les garanties essentielles européennes pour les mesures de surveillance. Les recommandations sur les garanties essentielles européennes sont complémentaires des recommandations sur les mesures complémentaires. Les recommandations sur les garanties essentielles européennes fournissent aux exportateurs de données des éléments permettant de déterminer si le cadre juridique régissant l’accès des autorités publiques aux données à des fins de surveillance dans les pays tiers peut être considéré comme une ingérence justifiable dans les droits à la vie privée et à la protection des données à caractère personnel, et donc comme n’empiétant pas sur les engagements de l’outil de transfert de l’article 46 du RGPD sur lequel l’exportateur et l’importateur de données s’appuient.

Le président a ajouté: «Les implications de l’arrêt Schrems II s’étendent à tous les transferts vers des pays tiers. Par conséquent, il n’y a pas de solution miracle, ni de solution universelle pour tous les transferts, car cela reviendrait à ignorer la grande diversité des situations auxquelles les exportateurs de données sont confrontés. Les exportateurs de données devront évaluer leurs opérations de traitement et leurs transferts de données et prendre des mesures efficaces en gardant à l’esprit l’ordre juridique des pays tiers vers lesquels ils transfèrent ou ont l’intention de transférer des données. »

Les autorités de contrôle de la protection des données de l’EEE continueront de coordonner leurs actions au sein du CEPD pour garantir la cohérence de l’application de la législation de l’UE en matière de protection des données. 

L’ordre du jour de la quarante et unième plénière est disponible ici .

L’action du bailleur commercial en paiement des loyers dus au titre du deuxième trimestre 2020 se heurte à une contestation sérieuse, estime le juge des référés parisiens, la crise sanitaire rendant nécessaire une adaptation des modalités d’exécution de l’obligation au regard de l’exigence de bonne foi.

1. Le bailleur commercial peut-il obtenir en référé la condamnation du locataire à payer les loyers dus au titre du deuxième trimestre 2020, période pendant laquelle de nombreux commerces étaient fermés ou avaient une activité très réduite en raison du confinement ?

Telle était la question soumise au président du tribunal de commerce de Paris dans les deux affaires ayant donné lieu aux ordonnances commentées (TJ Paris du 26-10-2020 n° 20/53713 et n° 22/55901). 

Les faits étaient sensiblement les mêmes : dans un cas, le propriétaire d’un local dans lequel était exploitée une salle de sport agissait en référé en vue d’obtenir le paiement des loyers du deuxième trimestre 2020 ; dans l’autre, c’est l’exploitant d’une parapharmacie qui avait, dès le mois de juin 2020, saisi le juge des référés en vue de voir ordonnée la suspension de son obligation au paiement des loyers, tandis que le bailleur poursuivait reconventionnellement le paiement des loyers des deuxième et troisième trimestres. 

L’action en paiement des loyers du 2^e trimestre 2020 se heurte à une contestation sérieuse

2. Dans les deux cas, le juge des référés refuse de faire droit à la demande du bailleur concernant les loyers du deuxième trimestre. 

Il écarte d’abord un certain nombre d’arguments invoqués par le locataire au soutien d’une suspension ou d’une suppression de son obligation de payer les loyers.

Les dispositions dérogatoires n’interdisent pas l’action du bailleur

3. Le juge relève que, si l’ordonnance 2020-306 du 25 mars 2020 relative à la prorogation des délais échus pendant la période d’urgence sanitaire et à l’adaptation des procédures durant cette même période interdit l’exercice par le créancier d’un certain nombre de mesures d’exécution forcée pour recouvrer les loyers échus entre le 12 mars 2020 et le 23 juin 2020, ce texte n’a pas pour effet de suspendre l’exigibilité du loyer dû par le locataire commercial dans les conditions prévues au contrat. Le loyer peut donc être spontanément payé ou réglé par compensation. 

4. S’agissant d’une obligation de paiement de somme d’argent, le moyen tiré de la force majeure ou de la théorie des risques soulevé par le locataire pour solliciter la suspension de ses loyers pendant la période juridiquement protégée est par ailleurs inopérant. 

5. Enfin, il n’est pas démontré que le bailleur a manqué à son obligation de délivrance des locaux, le contexte sanitaire, qui ne lui est pas imputable, ne pouvant en lui-même constituer un tel manquement du bailleur. 

Mais l’exigence de bonne foi dans l’exécution des contrats la rend irrecevable en référé

6. Le juge des référés rappelle que les contrats doivent être exécutés de bonne foi, ce dont il résulte que les parties sont tenues, en cas de circonstances exceptionnelles, de vérifier si ces circonstances ne rendent pas nécessaire une adaptation des modalités d’exécution de leurs obligations respectives. L’exception d’inexécution, soulevée par le locataire, doit être étudiée à la lumière de l’obligation pour les parties de négocier de bonne foi les modalités d’exécution de leur contrat en présence des circonstances précitées. 

7. En l’espèce, dans les deux cas, le juge constate que :

– le secteur d’activité du locataire a été fortement perturbé économiquement par le confinement décidé par les pouvoirs publics et les restrictions des déplacements de sa clientèle ;

– le locataire justifie par des échanges de courriers s’être rapproché de son bailleur pour essayer de trouver une solution amiable.

Il en déduit que la demande en paiement est dès lors sérieusement contestable et rejette la demande formée en référé par le bailleur.

Des précisions sur l’application du droit commun à l’action du bailleur

8. Les décisions du 26 octobre 2020 s’inscrivent dans la droite ligne d’une ordonnance rendue cet été à propos des mêmes questions (TJ Paris 10-7-2020 n° 20/04516 : BRDA 17/20 inf. 18), à laquelle elles apportent toutefois des compléments intéressants en ce qui concerne les arguments susceptibles d’être opposés par le locataire à la demande du bailleur. 

9. A cet égard, le juge des référés écarte tant la force majeure – laquelle ne s’applique pas, en principe, à l’obligation de payer une somme d’argent (Cass. com. 16-9-2014 n° 13-20.306 F-PB : RJDA 12/14 n° 886) – que les moyens reposant sur le défaut de délivrance du bien loué, deux arguments que les praticiens évoquent pour venir au secours du locataire commercial (voir G. Allard-Kohn et T. Brault, «?Bail commercial et impayés locatifs pendant la crise sanitaire : les moyens d’action du bailleur?» : BRDA 12/20 inf. 28?; P. Julien, «?Crise du coronavirus : faut-il payer les loyers commerciaux du 2^e trimestre 2020???» : BRDA 7/20 inf. 28).

Ainsi, sans donner de vraie indication sur l’étendue de la fermeture des deux commerces en cause (on peut supposer que la salle de sport était totalement fermée, mais pas nécessairement la parapharmacie), les deux décisions écartent toute preuve d’un manquement du bailleur à son obligation de délivrance, lequel ne peut pas résulter, d’après le juge, de la seule réglementation sanitaire. Elles écartent également toute application de la théorie du risque, selon laquelle les risques seraient supportés par le débiteur de l’obligation devenue impossible à la suite de la survenance d’un cas de force majeure ou du fait du prince – en l’espèce, le bailleur – dispensant ainsi le locataire de son obligation corrélative. 

Il en résulte que, quel que soit l’angle sous lequel on l’envisage, la force majeure ne constitue pas un remède en matière de bail commercial pour le juge des référés parisien. 

10. Le juge examine en revanche l’inexécution par le locataire de son obligation de payer les loyers au regard de l’exigence d’exécution de bonne foi des conventions, et vérifie si les circonstances n’ont pas rendue nécessaire une adaptation des modalités d’exécution des obligations respectives des parties, susceptible d’influencer leur exigibilité.

11. En se fondant sur le même raisonnement, le juge des référés du tribunal judiciaire de Paris avait déjà, cet été, fait droit à la demande en paiement des loyers dans un cas où le bailleur n’avait pas exigé leur paiement immédiat dans les conditions prévues au contrat, avait proposé un aménagement des loyers échus et le report de l’échéance d’avril à la réouverture des commerces, tandis que le locataire n’avait jamais formalisé de demande claire de remise totale ou partielle de sa dette ni sollicité d’aménagement de ses obligations sur une période bien déterminée. Pour le juge des référés, le bailleur avait ainsi exécuté ses obligations de bonne foi (TJ Paris 10-7-2020 n° 20/04516 : BRDA 17/20 inf. 18). 

12. Tout est donc affaire de circonstances, et la même analyse conduit ici le même juge à adopter une solution contraire, compte tenu du comportement du locataire et de ses tentatives pour trouver une solution amiable. Par suite, l’obligation du locataire de payer les loyers du deuxième trimestre était sérieusement contestable. 

Maya VANDEVELDE (sources Editions Francis Lefebvre – La Quotidienne)

Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences

La Cour de justice de l’Union européenne a rendu hier matin un arrêt majeur invalidant le régime de transferts de données entre l’Union européenne et les États-Unis dit « Privacy shield ». La CNIL et ses homologues, réunis au sein du Comité Européen pour la Protection des Données, procèdent à l’analyse de cette décision pour en tirer les conséquences dans les meilleurs délais.

La Cour de justice de l’Union européenne (CJUE) a rendu hier matin un arrêt majeur concernant le régime de transferts de données entre l’Union européenne et les États-Unis dans l’affaire dite « Schrems II ».

La CJUE a invalidé la décision d’adéquation « Privacy Shield », adoptée en 2016 par la Commission européenne suite à l’invalidation du « Safe Harbor », qui permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données sans autre formalité.

La CJUE a également validé les clauses contractuelles types permettant le transfert de données depuis l’Union européenne vers des importateurs établis hors de l’Union.

Au-delà du résumé partagé par la CJUE dans son communiqué de presse, la CNIL procède actuellement à une analyse précise de l’arrêt, en lien avec ses homologues européens réunis au sein du Comité Européen pour la Protection des Données. Ce travail commun permettra, dans les meilleurs délais, d’en tirer les conséquences pour les transferts de données de l’Union européenne vers les États-Unis.

Source la CNIL et pour approfondir 

Inscription à la permanence 

Les médiateurs professionnels ont développé un vaste réseau international de compétences avec des avocats, des experts de tous secteurs d’activité et des spécialistes de la relation.

Ils interviennent auprès de tous publics : particuliers, entreprises, organismes publics et privés.

Venez nous voir à notre permanence hebdomadaire en ligne.

Pour recevoir le lien ZOOM, inscrivez vous !

Tous les jeudis par visioconférence de 8h45 à 9h45, une permanence d’experts pour répondre à toutes vos questions.

Thierry BENDA, Ingénieur de développement informatique
Je développe vos idées avec des logiciels et des sites web ergonomiques, sur mesure pour votre entreprise.

https://www.bendathierry.com

Métier de médiateur : la profession du 21ème siècle, médiation professionnelle

Le principe : pas de message commercial sans accord préalable du destinataire

Texte référence

Législation applicable :

> Article L.34-5 du Code des postes et des communications électroniques 

> ​Codes de déontologie de l’e-mailing : Code du SNCD Code de l’UFMD 

Le règlement général sur la protection des données sera applicable le 25 mai, et avec lui une nouvelle fonction débarque dans les entreprises : celle de Délégué à la protection des données.

Sa nomination est obligatoire pour certaines entreprises… Le Droit pour Moi vous dit si vous êtes concerné.

Le RGPD, encore et toujours… On ne parle que de lui depuis quelques mois. C’est le règlement star du moment ! Si dans votre boîte, vous traitez de données personnelles, ce règlement comporte de nombreuses obligations. Pour certaines entreprises, la nomination d’un délégué à la protection des données (DPO) est même OBLIGATOIRE. Alors êtes-vous concerné ? On fait le point.

Nommer un DPO : une obligation ?

C’est LA nouveauté du RGPD : la nomination d’un DPO ! Rassurez-vous, sa nomination n’est pas obligatoire dans toutes les entreprises. Mais si vous cochez une de ces trois cases, dépêchez-vous de recruter :

> Être une autorité ou un organisme public ;

> Avoir une activité nécessitant un suivi régulier et systématique des personnes à grande échelle ;

> Traiter de données sensibles comme celles qui se rattachent à l’origine raciale, aux opinions politiques, philosophiques ou religieuses, à la santé, vie sexuelle etc.

Sachez tout de même que la CNIL et les autorités européennes encouragent toutes les entreprises à recourir à un DPO. A bon entendeur.

DPO : quelles sont ses missions ?

Le DPO, c’est le grand chef des données personnelles. Spécialiste du RGPD, ses missions assurent au quotidien la mise en conformité de votre entreprise au règlement. C’est votre interlocuteur privilégié. Il vous sensibilise, vous informe vous conseille. Il peut organiser des formations si vous avez des employés en contact avec des données personnelles.

Le DPO doit également tenir un registre du traitement des données. Interlocuteur privilégié entre votre entreprise et les autorités de contrôle, il est souvent amené à coopérer avec la CNIL par exemple.

source : PAR AURÉLIE ELBAZ, LE DROIT POUR MOI