Mensuel de la vie privée : Octobre 2022

Image of Carlo Cilento

Publié le 20 oct. 2022 et modifié le 18 oct. 2023 par Carlo Cilento

Bienvenue sur notre nouveau blog mensuel. Une fois par mois, nous aborderons brièvement certaines des nouvelles les plus importantes en matière de protection de la vie privée.

Que s'est-il passé le mois dernier ? Découvrons-le !

  1. Joe Biden signe un décret sur la surveillance
  2. Le Conseil de l'UE a approuvé la loi sur les services numériques
  3. Le CEPD intente une action en justice contre Europol
  4. La CJUE s'attaque à la loi allemande sur la surveillance
  5. Le DPC irlandais soumet un projet de décision sur la violation des données de Facebook
  6. Amende record pour Meta concernant des comptes d'enfants sur Instagram
  7. Le Congrès américain débat de la préemption de l'ADPPA
  8. Qui sommes-nous ?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Joe Biden signe un décret sur la surveillance

Le 7 octobre, le président américain Joe Biden a signé un décret très attendu visant à réduire les pratiques de surveillance des données européennes.

Ce décret est le fruit de longues négociations entre la Maison Blanche et la Commission européenne et constitue la première étape vers un cadre transatlantique de transfert de données. La Commission européenne prendra très certainement une décision d'adéquation sur la base du décret. Idéalement, les entreprises européennes qui s'appuient actuellement sur des clauses contractuelles standard pour les transferts de données vers les États-Unis (voir notre blog sur les transferts de données pour plus d'informations) pourront s'appuyer sur la décision d'adéquation, ce qui simplifiera grandement les flux de données.

La décision sera probablement contestée devant la Cour de justice de l'UE, comme dans les arrêts Schrems I et II, qui ont fait date. Le nouveau cadre peut être problématique à certains égards, et il est difficile de prédire comment Schrems III se déroulera.

Le Conseil de l'UE a approuvé la loi sur les services numériques

Le 4 octobre, la Commission européenne a approuvé la version finale de la loi sur les services numériques. Le règlement s'applique aux plateformes en ligne et aux services intermédiaires. Il fixe des règles de transparence et de responsabilité, notamment en ce qui concerne la modération des contenus, la publicité ciblée et la fourniture de biens et de services illégaux. Des obligations particulières s'appliquent aux très grandes plateformes en ligne et aux moteurs de recherche désignés par la Commission.

L'ASD est un nouvel élément de la stratégie numérique de l'UE. Cette stratégie comprend d'autres réglementations sur la gouvernance des données, telles que le GDPR, la loi sur les marchés numériques, la proposition de loi sur l'IA et le règlement sur la vie privée et les communications électroniques. La DSA et la DMA font parfois double emploi avec le GDPR, de sorte que les entreprises et les professionnels de la protection de la vie privée devront déterminer les implications des nouvelles réglementations en matière de protection de la vie privée.

Le CEPD intente une action en justice contre Europol

Le 16 septembre, le Contrôleur européen de la protection des données a demandé à la Cour de justice d'invalider deux articles du règlement Europol récemment modifié.

Plus tôt cette année, le CEPD a ordonné à Europol d'effacer les données personnelles des citoyens qui ne sont pas liés à une activité criminelle. Le législateur européen a ensuite modifié le règlement d'Europol pour permettre un traitement plus large des données personnelles. Le CEPD affirme que l'amendement équivaut à une légalisation rétroactive des activités d'Europol, ce qui viole l'État de droit et menace l'indépendance du CEPD. Il s'agira d'une affaire controversée et politiquement chargée.

La CJUE s'attaque à la loi allemande sur la surveillance

Dans un arrêt récent, la Cour de justice a précisé que "le droit communautaire s'oppose à la conservation générale et indiscriminée des données relatives au trafic et à la localisation, sauf en cas de menace grave pour la sécurité nationale".

La CJUE a été saisie après que les fournisseurs d'accès à Internet Telekom Deutschland et SpaceNet ont contesté une loi allemande prescrivant la conservation de données en vrac pour les fournisseurs de télécommunications. L'arrêt est cohérent avec la propre jurisprudence de la Cour et consolide la position plus dure de la CJUE sur la conservation des données que celle de la Cour européenne des droits de l'homme.

Le DPC irlandais soumet un projet de décision sur la violation des données de Facebook

Le 3 octobre, le DPC irlandais a annoncé qu'il avait rédigé un projet de décision sur une importante violation de données de Facebook et l'avait soumis à l'EDPB. Le projet de décision fait suite à une enquête menée de sa propre initiative et déclenchée par les rapports des médias sur la violation.

Ce n'est pas le seul projet de décision "en attente" concernant Meta. En juillet, le DPC a annoncé qu'il avait rédigé et soumis une décision visant à mettre fin aux transferts de données de Meta Platforms Ireland vers les États-Unis.

Amende record pour Meta concernant des comptes d'enfants sur Instagram

La DPC irlandaise a infligé une amende de 405 millions d'euros à Meta Platform Irelands Ltd.

L'autorité a constaté qu'Instagram a violé le GDPR concernant le traitement des données personnelles des comptes d'enfants. La plateforme a violé le principe de confidentialité par défaut en rendant les profils publics par défaut et en traitant les informations de contact pour les comptes professionnels sans base légale. L'amende fait suite à une enquête menée de sa propre initiative par l'autorité de contrôle irlandaise et à la consultation de l'EDPB.

Il s'agit de la deuxième amende la plus élevée jamais infligée en vertu du GDPR. L'amende la plus élevée à ce jour est celle de 746 millions d'euros infligée à Amazon par l'autorité luxembourgeoise de protection des données l'année dernière.

Le Congrès américain débat de la préemption de l'ADPPA

Lesnégociations relatives à la loi américaine sur la protection des données et de la vie privée (ADPPA) se poursuivent au Congrès américain, et la question de la préemption fait l'objet d'un débat animé.

L'interaction entre l'ADPPA et la législation nationale existante est une question délicate. L'ADPPA sera la première loi fédérale sur la protection de la vie privée et établira une norme de protection pour tous les citoyens américains si elle est approuvée. Cependant, plusieurs États ont déjà adopté leurs propres lois sur la protection de la vie privée, ce qui crée un casse-tête législatif pour le Congrès. D'une part, la coexistence de législations nationales et fédérales en matière de protection de la vie privée fragmentera le paysage juridique des États-Unis. D'autre part, si l'ADPPA devait l'emporter sur les projets de loi des États, les États disposant de leur propre législation en matière de protection de la vie privée ne seraient pas satisfaits.

Qui sommes-nous ?

Simple Analytics est l'alternative à Google Analytics qui respecte la vie privée, n'utilise pas de cookies et est 100 % conforme au GDPR. Nous sommes une petite équipe indépendante de passionnés de la vie privée qui veulent créer un web plus convivial pour les visiteurs de sites web. Si vous vous sentez concerné, n'hésitez pas à nous contacter.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours