Nous démarrons l'année 2024 avec un nouveau Mensuel de la vie privée, et cette fois-ci, c'est Google qui est à l'honneur. Le géant de la Silicon Valley a perdu un important procès antitrust concernant son Play Store, a dû régler un recours collectif sur la protection de la vie privée concernant le mode Incognito de Chrome, et doit faire face à un exploit majeur (et toujours pas corrigé) dans son système d'autorisation OAuth largement utilisé. Google mis à part, l'UE est sur le point de finaliser la loi sur l'IA, Meta crypte (enfin) les chats Messenger, et bien d'autres choses encore !
- De gros ennuis pour Google
- La loi sur l'IA presque finalisée
- Messenger désormais chiffré par défaut
- Le Congrès prolonge temporairement la section 702 de la loi FISA
- Le CEPD discute de l'approche "pay-or-ok" de la protection de la vie privée
- Arrêts clés de la CJUE sur l'évaluation du crédit
- X fait l'objet d'une enquête de la DSA
- Noyb conteste la publicité politique de X
- Morgan Stanley conclut un accord sur une violation de données embarrassante
De gros ennuis pour Google
En décembre, Google a réglé une action collective concernant le suivi du mode Incognito. L'action en justice réclamait ** 5 milliards de dollars de** dommages et intérêts, mais le montant du règlement n'a pas été révélé. Pour en savoir plus sur la bévue de Google concernant le mode Incognito, cliquez ici.
Entre-temps, l'autorité islandaise de protection de la vie privée a infligé une amende à plusieurs municipalités pour avoir utilisé Google Workspace et d'autres services Google Cloud dans des écoles. Bien que Google ne soit responsable d'aucune violation, cette décision suggère que certains de ses services pourraient être trop intrusifs pour être utilisés dans un cadre éducatif.
En ce qui concerne la protection de la vie privée, Google a perdu un important procès antitrust contre Epic Games concernant le Google Play Store. Si Google devait perdre en appel, l'affaire pourrait créer un dangereux précédent pour Google et affaiblir le monopole lucratif du Play Store sur la distribution d'applications sur la plateforme Android.
Comme si les questions juridiques ne suffisaient pas, un chercheur en sécurité a récemment révélé une vulnérabilité majeure dans les systèmes OAuth de Google. Un oubli dans le système de liaison des courriels pour les comptes Google permet à d'anciens employés de conserver l'accès aux fournisseurs de services de leur organisation après la désactivation de leur compte Google. Cette vulnérabilité pourrait entraîner des violations de données personnelles ainsi que des informations commerciales inestimables, y compris des secrets commerciaux.
Le chercheur a informé Google en août et n'a rendu publics les détails qu'après que Google a omis de remédier à la vulnérabilité. Les principaux fournisseurs de services, tels que Slack, ont été informés à l'avance de la vulnérabilité, afin de limiter les conséquences négatives de la divulgation. À ce jour, Google n'a pas mentionné cette vulnérabilité sur son blog et n'a pas annoncé de correctif.
La loi sur l'IA presque finalisée
Après un marathon de trois jours de négociations, les législateurs de l'UE sont parvenus à un accord provisoire sur la loi sur l'IA.
Cet accord a été rendu possible par des concessions mutuelles entre le Parlement et le Conseil : par exemple, le Parlement a accepté de prévoir des exceptions étroites pour l'utilisation de l'identification biométrique en temps réel dans le cadre de l'application de la loi, en échange d'une interdiction de la technologie de reconnaissance des émotions sur les lieux de travail et dans les écoles.
L'acte sera probablement bientôt finalisé, car les législateurs de l'UE ont l'intention de le faire aboutir avant l'élection d'un nouveau Parlement.
Messenger désormais chiffré par défaut
Meta a annoncé qu'elle mettait en place un système de chiffrement de bout en bout pour Messenger. Le chiffrement de bout en bout de Messenger utilise le même protocole Signal que celui de WhatsApp.
Le chiffrement de bout en bout était déjà disponible depuis 2016 via les paramètres de l'utilisateur, mais il sera désormais par défaut. Mieux vaut tard que jamais, je suppose.
Le Congrès prolonge temporairement la section 702 de la loi FISA
Le Congrès américain a prolongé de quatre mois la section 702 de la loi FISA, reportant ainsi la réforme proposée et vivement débattue de la loi. Les réformes proposées visent à limiter le ciblage inversé, une forme de surveillance sans mandat qui contourne certaines des protections accordées aux citoyens américains en vertu de la loi.
La FISA est tout à fait pertinente pour le droit européen en matière de protection de la vie privée. En permettant une surveillance étendue des données européennes, la section 702 crée un risque pour la vie privée dans le cadre des transferts de données entre l'UE et les États-Unis. Une réforme de la section 702 pourrait avoir des conséquences importantes pour les transferts de données et pour l'avenir du nouveau cadre de protection de la vie privée entre l'UE et les États-Unis.
Le CEPD discute de l'approche "pay-or-ok" de la protection de la vie privée
En décembre, le Comité européen de la protection des données (c'est-à-dire l'organe européen qui réunit toutes les autorités de protection des données de l'EEE) a examiné l'approche "pay-or-ok" de la protection de la vie privée et sa compatibilité avec le GDPR. Le Conseil n'a pas encore publié de documents sur le sujet.
Si l'approche "pay-or-ok" n'est pas une question nouvelle, elle est devenue un sujet brûlant après que Meta a commencé à proposer des abonnements payants sans publicité dans le cadre de sa nouvelle (et controversée) stratégie de conformité en matière de publicité ciblée. C'est une longue histoire que nous avons relatée ici.
Arrêts clés de la CJUE sur l'évaluation du crédit
La Cour de justice de l'Union européenne a rendu deux arrêts sur les pratiques d'évaluation du crédit. Compte tenu de l'utilisation de plus en plus répandue des notations de crédit, ces arrêts pourraient jouer un rôle important à l'avenir.
La principale conclusion est que les personnes concernées par l'évaluation du crédit bénéficient de droits et de garanties spécifiques en vertu du GDPR (en particulier, ceux prévus pour certaines formes de prise de décision automatisée en vertu de l'article 22). La Cour a également estimé qu'une agence d'évaluation du crédit ne peut pas conserver des informations sur l'insolvabilité plus longtemps que les registres publics.
X fait l'objet d'une enquête de la DSA
Le 18 décembre, la Commission européenne a commencé à enquêter sur le respect par X de la loi sur les services numériques (Digital Services Act), un règlement récent qui impose des obligations de modération de contenu aux principales plateformes en ligne.
Cela n'a rien de surprenant. X (qui s'appelait encore Twitter à l'époque) a abandonné le code de pratique de l'UE sur la désinformation en juin 2023, juste avant l'entrée en vigueur de la loi sur les services numériques. En fait, la plateforme a tourné le dos à des engagements volontaires qui allaient devenir des obligations légales en quelques mois. Cette décision déroutante a fait de la plateforme une cible évidente pour l'application de l'ASD et a suscité des critiques de la part de la Commission européenne.
En bref, l'enquête était prévisible et X est mal partie.
Noyb conteste la publicité politique de X
L'ONG noyb a déposé une plainte concernant la publicité politique ciblée réalisée par la X au nom de la Commission européenne. Cette plainte fait suite à une autre plainte récente contre la Commission elle-même.
Noyb affirme qu'un citoyen néerlandais s'est vu montrer des publicités basées sur des mots-clés liés à la politique, y compris des noms d'éminents politiciens de droite. Les organisations estiment que cette stratégie de ciblage constitue une violation du règlement GDPR et de la loi sur les services numériques (et nous sommes d'accord, pour ce que cela vaut).
En fin de compte, la Commission** se livre aux pratiques mêmes que l'UE tente d'interdire**. Cette affaire est très embarrassante pour la Commission, quelle qu'en soit l'issue.
Morgan Stanley conclut un accord sur une violation de données embarrassante
Le géant de la finance Morgan Stanley a conclu un accord de 6,5 millions de dollars à la suite d'une violation de données. L'action en justice avait été engagée par une coalition de plusieurs États après que l'entreprise eut compromis des données personnelles en omettant de les effacer d'appareils mis hors service.
Morgan Stanley a confié la mise hors service à une entreprise de déménagement qui n'avait pas d'expertise informatique. Les ordinateurs et les serveurs de l'entreprise ont donc été vendus sur le marché avec des données de l'entreprise et des données personnelles toujours disponibles dans la mémoire de l'appareil, parfois sous une forme non cryptée.