Mensuel de la vie privée : Août 2023

Image of Carlo Cilento

Publié le 24 août 2023 et modifié le 13 sept. 2023 par Carlo Cilento

  1. La Commission européenne finalise le cadre de transfert de données aux États-Unis
  2. La Commission européenne cherche à démanteler les activités de Google
  3. Meta modifie à nouveau sa politique de confidentialité après l'arrêt de la CJUE
  4. L'UE fait avancer la législation numérique
  5. 24 États américains appellent à limiter les dégâts après l'affaire Dobbs v. Jackson
  6. Un organisme de surveillance français inflige une amende de 40 millions d'euros à un acteur majeur de l'adtech
  7. Un arrêt historique de la CJUE sur les dommages liés au GDPR
  8. OpenAI fait l'objet d'une action collective concernant le "web scraping
  9. Meta retarde le lancement de Threads dans l'UE
  10. Les services de renseignement américains ont acheté des données de consommateurs
Logo of MichelinMichelin chose Simple AnalyticsJoin them

La Commission européenne finalise le cadre de transfert de données aux États-Unis

Le 10 juillet, la Commission européenne a adopté une décision d'adéquation pour les États-Unis. Il s'agit de la dernière étape de la mise en œuvre du cadre transatlantique de protection des données, un cadre bilatéral entre l'UE et les États-Unis qui facilite les flux de données entre les États-Unis et les pays de l'UE et de l'EEE.

Ce cadre constitue la tentative de l'UE et des États-Unis de résoudre l'incertitude juridique entourant les transferts de données à la suite des arrêts Schrems I et II de la Cour de justice de l'UE. Tout le monde n'est pas satisfait : le Parlement européen s'est opposé au cadre à une écrasante majorité lors d'un vote non contraignant, et noyb, une ONG déjà impliquée dans le drame juridique entourant les transferts de données, a déjà annoncé qu'elle allait contester la décision devant la Cour de justice de l'UE.

Seul l'avenir nous dira si le nouveau cadre survivra à l'examen de la Cour ou s'il connaîtra le même sort que les cadres de la sphère de sécurité et du bouclier de protection de la vie privée.

Pour plus d'informations sur le cadre, consultez notre blog.

La Commission européenne cherche à démanteler les activités de Google

La Commission européenne a informé Alphabet Inc., propriétaire de Google, de son avis préliminaire selon lequel Google enfreint la législation antitrust et pourrait se voir ordonner de démanteler ses activités.

Cette communication fait suite à une enquête sur le rôle de Google sur le marché de la publicité en ligne, dans le cadre de laquelle la Commission a constaté que Google détenait une position dominante sur au moins deux marchés distincts : les serveurs d'annonces des éditeurs et les outils d'achat d'annonces en ligne. La Commission estime que Google abuse de sa position dominante en favorisant ses propres services dans les échanges d'annonces effectués sur sa plateforme AdX.

Selon la Commission, la cession de certains des services de Google est le seul moyen de mettre fin à cet abus. L'enquête est toujours en cours et mérite d'être suivie de près.

Meta modifie à nouveau sa politique de confidentialité après l'arrêt de la CJUE

Dans le récent arrêt du Bundeskartellamt, la Cour de justice de l'Union européenne a estimé que les outils de suivi de Facebook traitent des données sensibleset que Meta ne peut pas suivre les utilisateurs à des fins de publicité comportementale sans leur consentement.

Les remarques de la Cour sur la publicité comportementale en particulier pourraient signifier la mort de la nouvelle politique de confidentialité de Meta. Meta a récemment annoncé son intention de recueillir le consentement des utilisateurs pour la publicité ciblée. Le changement annoncé marquerait la deuxième mise à jour de la politique de confidentialité de l'entreprise au cours de l'année, après que Meta a déjà modifié ses bases juridiques en réponse aux amendes de l'organisme irlandais de surveillance de la protection de la vie privée.

Entre-temps, l'autorité norvégienne de protection des données a temporairement interdit la publicité ciblée sur Facebook et Instagram en raison de l'arrêt de la Cour.

La décision du Bundeskartellamt est très importante, c'est pourquoi nous l'avons analysée en détail dans deux blogs (cliquez ici pour la première partie).

L'UE fait avancer la législation numérique

Le Parlement européen a adopté une nouvelle version du projet de loi sur l'IA. La proposition doit maintenant être négociée entre le Parlement, la Commission européenne et le Conseil européen. Le nouveau projet comprend actuellement des règles plus strictes pour l'IA générative et la surveillance biométrique dans les espaces publics.

Dans le même temps, le Conseil européen et les représentants du Parlement sont parvenus à un accord sur le projet de loi sur les données. La proposition doit maintenant être approuvée par le Parlement européen et la Commission. Si elle est finalisée, la loi sur les données renforcera les droits à la portabilité des données dans l'UE et remédiera aux déséquilibres contractuels en matière de partage des données, dans le but d'évoluer vers un marché intérieur des données.

24 États américains appellent à limiter les dégâts après l'affaire Dobbs v. Jackson

24 États américains, emmenés par les procureurs généraux de Californie et de New York, ont demandé au Congrès de renforcer la loi HIPAA (Health Insurance Portability and Accountability Act), quelques mois seulement après que le ministère américain de la santé et des services sociaux a exhorté le législateur à faire de même.

Cette demande de renforcement de la protection des données de santé est une réponse à l'arrêt Doobs contre Jackson de la Cour de justice des États-Unis, qui a ouvert la voie à une vague de lois anti-avortement dans les États conservateurs. Cette décision a entraîné une crise à grande échelle en matière de droits de l'homme et de protection de la vie privée: les données relatives à la santé des femmes sont souvent utilisées pour les poursuivre en justice et se trouvent entre les mains d'entreprises qui sont souvent plus que disposées à les vendre au plus offrant.

Un organisme de surveillance français inflige une amende de 40 millions d'euros à un acteur majeur de l'adtech

La Commission nationale de l'informatique et des libertés (CNIL) a condamné la société de publicité en ligne Criteo à une amende de 40 millions d'euros pour ne pas avoir été en mesure de fournir la preuve du consentement des consommateurs et pour d'autres raisons, notamment un manque de transparence.

Cette décision soulève des questions juridiques intéressantes. Selon la CNIL, les intermédiaires publicitaires tels que Criteo ne peuvent pas adopter une approche non interventionniste en matière de conformité et laisser leurs partenaires s'occuper entièrement du consentement. Ils doivent au contraire exiger de leurs partenaires qu'ils collectent les données de manière licite et qu'ils soient en mesure de fournir la preuve du consentement de l'utilisateur.

La CNIL est une autorité influente en Europe. Si d'autres autorités suivent son exemple, cette approche pourrait avoir un impact significatif sur la position des intermédiaires sur le marché de la publicité en ligne.

Un arrêt historique de la CJUE sur les dommages liés au GDPR

La Cour de justice de l'UE a clarifié certains aspects importants du système de dommages-intérêts prévu par le GDPR dans un arrêt concernant les services postaux autrichiens.

La décision est assez technique et porte sur le système d'indemnisation prévu par l'article 82 du règlement. La Cour a déclaré qu'il n'y a pas de seuil pour les dommages en vertu du GDPR. Elle a également précisé que des dommages-intérêts ne peuvent être accordés pour une simple violation du GDPR : le plaignant doit avoir subi une forme de préjudice - matériel ou moral - du fait de la violation.

OpenAI fait l'objet d'une action collective concernant le "web scraping

Un recours collectif a été déposé contre OpenAI devant le tribunal fédéral de San Francisco. Les plaignants reprochent aux moteurs ChatGPT et DALL-E d'avoir récupéré d'énormes quantités d'informations personnelles sur l'internet sans en informer les internautes ni leur demander la permission.

La récupération de données est une question juridique brûlante des deux côtés de l'océan. L'extraction des données de millions d'internautes inconscients a été l'une des préoccupations qui ont conduit à l'interdiction d'un mois de ChatGPT en Italie. À la suite de l'enquête italienne, d'autres organismes de surveillance européens se penchent actuellement sur les problèmes de confidentialité de ChatGPT, et le Conseil européen de la protection des données a créé un groupe de travail pour coordonner leurs efforts.

Meta retarde le lancement de Threads dans l'UE

Un porte-parole de Meta a annoncé que la plateforme sociale Threads ne serait pas disponible dans l'UE. Des sources d'information telles que l'Irish Independent et Politico rapportent que cette décision pourrait être due à la loi sur les marchés numériques de l'UE, qui interdit aux entreprises gardiennes de combiner des ensembles de données provenant de différentes plateformes.

Meta fusionne déjà les données des utilisateurs de Facebook et d'Instagram. Il sera intéressant de voir si Meta prendra des mesures pour se conformer à la loi sur les marchés numériques en ce qui concerne la fusion des bases de données.

Les services de renseignement américains ont acheté des données de consommateurs

Une nouvelle qui ne surprendra personne : un rapport déclassifié du Bureau du directeur du renseignement national confirme que les agences de renseignement américaines ont acheté des données de consommateurs à des courtiers en données au moins jusqu'en 2022.

C'est un secret de polichinelle que les agences de renseignement du monde entier s'appuient de plus en plus sur des informations disponibles dans le commerce. C'est une façon diplomatique de dire qu'elles achètent d'énormes quantités de données personnelles à des entreprises et à des courtiers en données. Il est plus facile d'acheter des données sur le marché que de les collecter directement et cela permet parfois aux agences de contourner les limitations qui s'appliqueraient autrement à leurs opérations. Cette pratique soulève des questions en ce qui concerne la vie privée et les droits civils, comme le souligne le rapport lui-même.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours