gdpr : emergency procedures against the controller under EU regulations and French law of procedure

French version below

This article envisages the ways to engage emergency procedures in the case of an inappropriate use of personal data, especially in view of the new coming EU regulation on that matter, commonly called “GDPR”.

The new EU regulation in that matter, the GDPR, applying from the 25 may 2018, while providing rights of access, of correction and of erasure of his personal data to the benefit of the “data subject” (the person concerned by the processing of his personal data) recalls the necessity to refer to administrative or judicial bodies to obtain sanctions, prohibitions and indemnities.

It is then interesting to investigate and to see what can really be made in matter of emergency, when that person considers itself as a victim of a processing by a “controller” i.e. the entity which processes the data.

Are not dealt here the procedures tending to preserve evidences, or execution routes used to implement judicial decisions or to seize properties, nor some specific cases relating, for instance, to processings related to public, administrative, research, or journalistic purposes, or to the repression of intellectual property rights counterfeiting, to the treatment of sensitive content on internet…)

Under French law more and more administrative bodies are empowered with capacites to charge fines and to deliver injunctions in order to preserve the interests of the society, along with traditional prosecutors when legal incriminations are at stake (and to which article 84 of the GDPR refers).

This is the case of the “supervisory authority”, the authority named as this by the new EU GDPR regulation and which, in each Member State and along with its counterparts, intervenes in case of inappropriate use of personal data by a “controller” i.e. a person processing personal data, under this regulation.

The GDPR recalls the possibility for the data subject to lodge a complaint with this “supervisory authority” (art.77) and precises the powers of injunction and of condemnation to fines (art.58 and 83) of this authority, while recalling the necessity for a plaintiff to refer to judicial bodies in order to seek liabilities and to claim for indemnities (art.79, art.82 point 6).

Anyway, before thinking to seek for liabilities, the plaintiff will, above all, seek to stop the damaging situation, as soon as possible. Here he may hesitate with the behaviour to adopt.

The GDPR recommends to follow some amicable steps, and ultimately to refer to the said supervisory authority or to other administrative or judicial bodies.

This process may seem too long and the plaintiff may seek for a quicker answer in front of jurisdictions specialized in emergency procedures.

Let’s try to compare.

The GDPR specific circuit :

The new EU regulation so called GDPR organizes a procedure in order to obtain from the “controller” (the person liable for the data processing) a cessation of the processing of the personal data.

Its article 12 provides that :
“3.The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.”
“4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.”
So, the GDPR grants a one to three months period during which the controller has the time to think to the solution to give to the request addressed to it by the plaintiff (the “data subject”).

However the controller is incited to act quickly and may engage its liability in this regard ;

The article 17 mentions the ability for the plaintiff (the “data subject”) to obtain, from the controller, data erasure on certain grounds, “without undue delay”.

The article 18 combined with the article 21 mentions the ability for the plaintiff to obtain, from the controller, and on certain grounds, as a paliative, a restriction of the processing of data (data is like set aside, hidden, but kept “under the elbow” of the controller), especially when there is a discussion on the legitimate grounds for the processing, and pending the verification whether the legitimate grounds of the controller override those of the data subject.

As a matter of fact a controller shall be tempted to invoke systematically “legitimate interests” to justify the processing, in all the “grey” cases where it is not clearly entitled to process data, and when data is processed for marketing purposes or neighboring purposes.

By the way, on this matter, the article 21 provides, for the benefit of the data subject, on certain grounds and especially when it is made for direct marketing purposes, a right to object to the processing of its personal data, and that the “controller shall no longer process...” and : “Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes”.

So the GDPR organizes a preliminary one to three months administrative stage during which the controller may not give an answer nor satisfy the demand formulated by the data subject, without giving any specific reasons, engaging however its liability if an abusive resistance could be demonstrated by a motivated plaintiff in front of a civil or of a criminal court, or even in front of the supervisory authority.

This may appear somewhat unsatisfying and uncertain to the plaintiff’s view.

The judicial route and the emergency procedures :

Under the French law, preliminary injunctions and damages may be obtained through emergency procedures (said the “référé”) in order to stop damaging situations.

They are taken at risk of the plaintiff and on a provisional basis which means that a court seized of the merits of the case will always be able to reform the decision undertaken in an emergency context and to condemn the plaintiff for abuse.

The French “code de procédure civile” (mainly the article 808 of the code de procédure civile) requires that the the measure solicited by the plaintiff in this regard is not seriously questionable, i.e. into the extent that the case seems usual and obvious and that there is urgency to take the solicited measures, and that these measures are practicable.

On this subject, for instance, the fact that the parties have already engaged discussions about their litigious point is an indication that objections exist. A party who would then attempt to put an ending point to the discussions and to force the satisfaction of its demands by initiating an emergency procedure would then take the risk to be rejected.

However, even in the case where the solicited measure is questionable, an emergency procedure remains available in the case where an imminent damage must be prevented or a “trouble manifestement illicite” (disorder patently illicit, for instance a criminal offense easily qualifiable as such) must be stopped, all notions which suggest that an urgency is implied (art.809 of the code of procedure civile).

However, the demonstration of a manifest disorder may be difficult to make especially without preliminary investigations or discussions.

As regards data processing, the inappropriate use of personal data (including professional data, cf. EU and French case law on the matter) is incriminated by article 226-16 and following of the “code pénal” and punished with imprisonment and fine, and then be revealed, as a “trouble manifestement illicite” allowing to engage an emergency procedure for demanding the withdrawal of the litigious content, and even if a culpability is not yet definitely judged.

The law “Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique” (“law for the trust in the digital economy”) said also “LCEN”, confirms that an emergency procedure may also be engaged against a technical intermediary (internet based platforms, search engines, internet providers…), even if it is not the original infringer :
Article 6.I.8 “L'autorité judiciaire peut prescrire en référé ou sur requête, à toute personne mentionnée au 2 ou, à défaut, à toute personne mentionnée au 1, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne.”
Free translation : “The judicial authority may prescribe, “en référé ou sur requête”, to any person mentioned in 2 [platforms, search engines…] or, failing that, to any person mentioned in 1 [internet providers], any measures likely to prevent damage or to stop an injury caused by the content of a public communication service online.”.

The necessity or not to send a formal previous notice before engaging a judicial emergency procedure :

Is a formal previous notice necessary to warn the adversary before engaging a judicial emergency procedure ?

As a rule yes, but a previous formal notice is obviously not recommended in case of real emergency or of real trouble to the public order (for instance : a criminal offense).

On this subject Art. 56 alinéa 3 of the code de procédure civile provides that :
“Sauf justification d'un motif légitime tenant à l'urgence ou à la matière considérée, en particulier lorsqu'elle intéresse l'ordre public, l'assignation précise également les diligences entreprises en vue de parvenir à une résolution amiable du litige.”
Free translation : “Unless there is justification relating to the urgency or to the matter in question, in particular when it concerns public order, the summons also specifies the steps taken to reach a friendly settlement of the dispute.”
Even if the inappropriate use of personal data may form the basis of a criminal offense the common sense will require most of the time that a formal previous notice be made and especially considering that the GDPR requires that previous notice.

When a demand concerns matters such as loss reparation and pecuniary claims not implying an urgency, a formal previous notice would have to be addressed to the adversary, detailing the amount claimed.

In the same manner the aforesaid law “Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique” (“law for the trust in the digital economy”) said also “LCEN”, provides, In its articles 6.I.2, 6.I.3 and 6.I.5 that the liability of the technical intermediary cannot be engaged unless it is proven that, being duly notified (and in a certain manner and with certain precautions) it does not have withdrawn the litigious content.


So, in case of emergency, the referral to the specialized judicial body is a gage of rapidity, while the referral , through usual routes, to a criminal or to a civil jurisdiction (or even an administrative jurisdiction) or to an administrative body, such as the “supervisory authority” under the GDPR, may imply long preliminary investigations or discussions before that injunctions be taken or indemnities be granted.

The supervisory authority has powers of injunction and of condemnation to heavy fines (art.83 parag.5, b), but, acting like a prosecutor defending first of all the interests of the society, may be reluctant to act quickly on the mere basis of the claim by an individual and more keen to proceed to enquiries which take time.

The advantage of a referral to the supervisory authority is that it may intervene at the EU level, sometimes in emergency, with the cooperation of other national supervisory authorities. On the contrary, the referral to national civil or criminal courts may be illusory to obtain injunctions and sanctions in cases where foreign aspects are implied.

The criminal jurisdictions intervene mainly to judge criminal liability and to deliver criminal condemnations (mainly imprisonment, fines, accessorily injunctions and indemnities), after thorough investigations.

The civil jurisdictions, in the framework of normal procedures, intervene mainly to judge civil liabilities, to grant indemnities and to deliver injunctions, after a thorough and contradictory discussion.

In COMPARISON the judicial emergency procedure may appear more efficient to solicit, at least at a national level, an immediate cessation of the processing - and alternatively, AT LEAST, an immediate restriction of the said processing without to have to wait the end of a trial on the merits, when the controller is likely to adopt a resistance and a willingness to demonstrate the legitimacy of its processing.

As aforesaid this possibility of “restriction” is provided by the article 18 of the GDPR and this is by the way one of the main contribution of the GDPR compared to the previous EU directive 95/46/CE and to the current French law related to personal data “loi informatique et liberté n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés” (which is currently in the process of re-examination by the parliamentary assemblies).

15.mai 2018
Pierre Roquefeuil
Avocat at the Paris bar / IP law / Cyber law / Criminal law


(version française)

#rgpd : procédures d'urgence contre le responsable du traitement en vertu des règlements de l'UE et du droit français


Cet article envisage les procédures à la disposition de la victime dans le cas d'une utilisation inappropriée de données personnelles, notamment en vue du nouveau règlement de l'UE à venir en la matière, communément appelé "RGPD”.

Le RGPD, applicable à compter du 25 mai 2018, tout en prévoyant des droits d'accès, de rectification et d'effacement de ses données personnelles au profit de la "personne concernée" (la personne concernée par le traitement des ses données personnelles) rappelle la nécessité de saisir des organes administratifs ou judiciaires pour obtenir des sanctions, des interdictions et des indemnités.

Il est alors intéressant de voir ce qui peut vraiment être fait en cas d'urgence, lorsque cette personne se considère comme victime d'un traitement par un «responsable de traitement», c'est-à-dire l'entité qui traite les données.

Ne sont pas traitées ici les procédures tendant à préserver des preuves, ou les voies d'exécution utilisées pour mettre en œuvre des décisions judiciaires ou à saisir des biens, ni certains cas spécifiques (relatifs par exemple, aux traitements à des fins publiques, administratives, de recherche ou journalistiques, à la répression des contenus sensibles, ou à la répression de la contrefaçon de droits de propriété intellectuelle).


Selon la loi française, de plus en plus d'organes administratifs sont habilités à imposer des amendes et à délivrer des injonctions pour préserver les intérêts de la société, en parallèle avec des procureurs traditionnels lorsque des incriminations légales sont en jeu (article 84 du RGPD) .

C'est le cas de «l'autorité de contrôle», autorité désignée par le nouveau règlement RGPD de l'UE et qui, dans chaque État membre et avec ses homologues, intervient en cas d'utilisation inappropriée de données personnelles par un “responsable de traitement» c'est à dire une personne traitant des données personnelles, en vertu de ce règlement.

Le RGPD rappelle la possibilité pour la personne concernée de porter plainte auprès de cette «autorité de contrôle» (art.77) et précise les pouvoirs d'injonction et de condamnation aux amendes (art.58 et 83) de cette autorité, tout en rappelant la nécessité pour un plaignant de saisir des organes judiciaires afin de rechercher des responsabilités et de réclamer des indemnités (art.79, art.82, point 6).

Quoi qu'il en soit, avant de penser à chercher des responsabilités, le plaignant cherchera surtout à arrêter la situation dommageable, le plus tôt possible. Ici, il peut hésiter dans le comportement à adopter.

Le RGPD recommande de suivre certaines étapes à l'amiable et, en dernier ressort, de se référer à ladite autorité de contrôle ou à d'autres organes administratifs ou judiciaires.

Ce processus peut sembler trop long et le demandeur peut rechercher une réponse plus rapide devant les juridictions spécialisées dans les procédures d'urgence.

Essayons de comparer.

Le circuit spécifique RGPD :

Le nouveau règlement de l'UE appelé RGPD organise une procédure afin d'obtenir du "responsable" (la personne responsable du traitement des données) une cessation du traitement des données personnelles.

Son article 12 dispose que:
"3.Le responsable du traitement fournit sans tarder des informations sur les suites données à une demande au titre des articles 15 à 22 à la personne concernée et, dans tous les cas, dans le mois suivant la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. Le responsable du traitement informe la personne concernée de cette extension dans le mois qui suit la réception de la demande, ainsi que les raisons du retard. Lorsque la personne concernée en fait la demande par un moyen électronique, les informations sont fournies par des moyens électroniques lorsque cela est possible, sauf demande contraire de la personne concernée. "
"4. Si le responsable du traitement n'intervient pas à la demande de la personne concernée, le responsable du traitement informe la personne concernée sans délai et au plus tard dans le mois de la réception de la demande des raisons de ne pas agir et de la possibilité de déposer plainte auprès d'une autorité de surveillance et demandant un recours judiciaire. "
Ainsi, leRGPD accorde une période de un à trois mois pendant laquelle le responsable du traitement a le temps de réfléchir à la solution à donner à la demande qui lui est adressée par le demandeur (la «personne concernée»).

Cependant, le responsable est incité à agir rapidement et peut engager sa responsabilité à cet égard.

L'article 17 mentionne la possibilité pour le plaignant (la "personne concernée") d'obtenir, auprès du responsable du traitement, l'effacement des données pour certains motifs, "sans retard injustifié".

L'article 18 combiné avec l'article 21 mentionne la possibilité pour le demandeur d'obtenir du responsable, et pour certains motifs, en tant que paliatif, une restriction du traitement des données (les données sont comme mises de côté, cachées, mais conservées sous le coude "du contrôleur), en particulier lorsqu'il y a une discussion sur les motifs légitimes du traitement, et en attendant la vérification sur le point de savoir si les motifs légitimes du responsable du traitement l'emportent sur ceux de la personne concernée.

En effet, un responsable du traitement sera tenté d'invoquer systématiquement des "motifs légitimes" pour justifier le traitement, dans tous les cas "grisés" où il n'est pas spécifiquement autorisé à traiter des données, notamment lorsque des données sont traitées à des fins de marketing ou à des fins approchantes.

Sur ce dernier point il faut noter que l'article 21 prévoit, pour le bénéfice de la personne concernée, pour certains motifs et en particulier lorsqu'il est fait à des fins de marketing direct, un droit de s'opposer au traitement de ses données personnelles, et que "Le responsable du traitement ne traitera plus ..." et: "Lorsque la personne concernée s'oppose au traitement à des fins de marketing direct, les données à caractère personnel ne seront plus traitées à cette fin".

Le RGPD organise donc une phase administrative préliminaire d'un à trois mois au cours de laquelle le responsable du traitement peut ne pas répondre ni satisfaire la demande formulée par la personne concernée, sans donner de raisons spécifiques, engageant toutefois sa responsabilité si une résistance abusive pouvait être démontrée par un demandeur motivé, devant un tribunal civil ou pénal, ou même devant l'autorité de contrôle.

Cela peut sembler quelque peu insatisfaisant et incertain du point de vue du demandeur.

La voie judiciaire et les procédures d'urgence:

Selon la loi française, des injonctions et des dommages-intérêts peuvent être obtenus par des procédures d'urgence (dites «référé») afin d'arrêter des situations préjudiciables.

Elles sont prises à titre provisoire, ce qui signifie qu'un tribunal saisi du fond de l'affaire sera toujours en mesure de réformer la décision entreprise dans un contexte d'urgence, et de condamner le plaignant pour procédure abusive.

Le droit français (principalement l'article 808 du code de procédure civile) exige que la mesure sollicitée par l'avocat à cet égard ne soit pas sérieusement contestée, c'est-à-dire dans la mesure où l'affaire semble normale et évidente, qu’il est urgent de prendre les mesures sollicitées, et que ces mesures sont réalisables.

A ce sujet, par exemple, le fait que les parties aient déjà engagé des discussions sur leur point litigieux est une indication que des objections existent. Une partie qui tenterait alors de mettre fin aux discussions et de forcer la satisfaction de ses demandes en engageant une procédure d'urgence, prendrait ainsi le risque d'être déboutée.

Toutefois, même dans le cas où la mesure sollicitée est discutable, une procédure d'urgence reste ouverte dans le cas où un préjudice imminent doit être évité ou un trouble manifestement illicite (par exemple une infraction pénale facilement qualifiable en tant que telle) doit être arrêté, toutes notions qui suggèrent qu'une urgence est implicite (art.809 du code de procédure civile).

Cependant, la démonstration d'un trouble manifeste peut être difficile à faire, surtout sans investigations préliminaires ou discussions.

En ce qui concerne le traitement des données, l'utilisation inappropriée des données personnelles (y compris les données professionnelles, cf. jurisprudence UE et française en la matière) est incriminée par les articles 226-16 et suivants du code pénal et punie d'emprisonnement et d'amende, et peut se révéler ainsi, comme un «trouble manifestement illicite» permettant d'engager une procédure d'urgence pour exiger le retrait du contenu litigieux, et même si une culpabilité n'est pas encore définitivement jugée.

La loi n ° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, dite aussi "LCEN", confirme qu'une procédure d'urgence peut également être engagée contre un intermédiaire technique (plateforme internet, moteur de recherche, fournisseurs internet ...), même si ce n'est pas le contrefaisant original :

Article 6.I.8
"L'autorité judiciaire peut prescrire en cas de perte ou de dommage, à toute personne mentionnée au 2 [plateformes, moteurs de recherche ...] ou, à défaut, à toute personne mentionnée au 1 [fournisseurs d'accès internet] toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne.. "

La nécessité ou non d'envoyer un avis préalable formel avant d'engager une procédure judiciaire d'urgence :

Un avis préalable formel (mise en demeure) est-il nécessaire pour avertir l'adversaire avant d'engager une procédure judiciaire d'urgence ?

En règle générale oui, mais une mise en demeure préalable n'est évidemment pas recommandée en cas d'urgence réelle ou de trouble réel de l'ordre public (par exemple en cas d’infraction pénale).

A ce sujet l’article 56 alinéa 3 du code de procédure civile dispose :
“Sauf justification d'un motif légitime tenant à l'urgence ou à la matière considérée, en particulier lorsqu'elle intéresse l'ordre public, l'assignation précise également les diligences entreprises en vue de parvenir à une résolution amiable du litige.”
Même si l'utilisation inappropriée de données à caractère personnel peut constituer le fondement d'une infraction pénale, le bon sens exigera la plupart du temps qu'un avis préalable officiel soit formulé, d’autant que le RGPD exige cet avis préalable.

Lorsqu'une demande concerne des questions telles que la réparation des pertes et des demandes pécuniaires sans urgence particulière, une notification préalable formelle devrait être adressée à l'adversaire, détaillant le montant réclamé.

De la même manière, la loi précitée «Loi n ° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique» dit aussi «LCEN», prévoit, dans ses articles 6.I.2, 6.I.3 et 6.I.5 que la responsabilité de l'intermédiaire technique ne peut être engagée que s'il est prouvé que, dûment notifié (et d'une certaine manière et avec certaines précautions), il n’a pas retiré le contenu litigieux.

Ainsi, en cas d'urgence,la saisine de la juridiction spécialisée est un gage de rapidité, tandis que la saisine, dans le cadre de procédures normales, d’une juridiction pénale ou civile (ou même d’une juridiction administrative), ou à un organe administratif tel que l’«autorité de contrôle» dans le cadre du RGPD, peut impliquer de longues enquêtes préliminaires ou discussions avant que des injonctions soient prises ou des indemnités accordées.

L'autorité de contrôle a des pouvoirs d'injonction et de condamnation à de lourdes amendes (art.83, al.5, b), mais, agissant comme un procureur défendant d'abord les intérêts de la société, elle peut être réticente à agir rapidement sur la seule base d’une plainte individuelle et plus désireuse de procéder à des enquêtes chronophages.

L'avantage d’une saisine de l'autorité de contrôle est que celle-ci peut intervenir (injonctions, amendes) au niveau de l'UE, et parfois en urgence, avec la coopération des autorités de contrôle étrangères.

Au contraire, le recours aux juridictions civiles ou pénales nationales peut s’avérer illusoire pour obtenir des injonctions et des sanctions dans les cas où des éléments de l’affaire relèvent de pays étrangers.

Les juridictions pénales interviennent principalement pour juger de la responsabilité pénale et prononcer des condamnations pénales (principalement emprisonnement, amendes, accessoirement injonctions et indemnités), sur enquête approfondie.

Les juridictions civiles, dans le cadre des procédures normales, interviennent principalement pour juger des responsabilités civiles, accorder des indemnités et délivrer des injonctions, après une discussion approfondie et contradictoire.

En comparaison, la procédure d'urgence judiciaire peut sembler plus efficace pour solliciter, au moins au niveau national, une cessation immédiate du traitement - et, AU MOINS, une restriction immédiate de ce traitement sans devoir attendre la fin d'un procès sur le fond, lorsque le responsable du traitement est susceptible d'adopter une résistance et une volonté de démontrer la légitimité du traitement qu’il a mis en place.

Comme rappelé plus haut, cette possibilité de "restriction" est prévue par l'article 18 du RGPD et c'est d'ailleurs l'une des contributions principales du RGPD par rapport à la précédente directive européenne 95/46 / CE et à la loi française actuelle relative aux données personnelles "loi informatique et liberté n ° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés" (actuellement en cours de réexamen par les assemblées parlementaires).

15.mai 2018
Pierre Roquefeuil
Avocat au barreau de Paris / Propriété intellectuelle / Droit informatique / Pénal

Qu'est-ce que la rémunération pour copie privée ? - video dailymotion

La rémunération copie privée sert à financer le secteur culturel Qu'est-ce que la rémunération pour copie privée ? - video dailymotion