Dernières actualités : données personnelles

Mise à jour des lignes directrices sur la directive ePrivacy

Suite à la consultation publique qui a eu lieu en fin d’année 2023, le CEPD a publié ce jour la dernière version des lignes directrices concernant la directive ePrivacy.
Pour rappel, dans ces lignes directrices, le CEPD traite de l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » à différentes solutions techniques. Ces lignes directrices développent l’avis 9/2014 du groupe de travail « Article 29 » sur l’application de la directive « vie privée et communications électroniques » à la prise d’empreintes digitales de dispositifs et visent à fournir une compréhension claire des opérations techniques couvertes par l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques ».

Les lignes directrices identifient trois éléments clés pour l’applicabilité de l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » (section 2.1), à savoir « l’information », « l’équipement terminal d’un abonné ou d’un utilisateur » et « l’accès à l’information et le stockage de l’information et de l’information stockée ». Les lignes directrices fournissent en outre une analyse détaillée de chaque élément (sections 2.2-2.6).
Dans la section 3, cette analyse est appliquée à une liste non exhaustive de cas d’utilisation représentant des techniques courantes, à savoir
– le suivi des URL et des pixels
– le traitement local
– le traçage basé uniquement sur l’IP
– le signalement intermittent et médiatisé de l’internet des objets (IoT).
– l’identifiant unique

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Événement des parties prenantes sur les « modèles d’IA » : manifestez votre intérêt à participer

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 5 novembre 2024 (heure à confirmer), visant à recueillir les contributions des parties prenantes dans le cadre d’une demande d’avis au titre de l’art. 64(2) du RGPD relatif aux modèles d’intelligence artificielle (« modèles d’IA ») soumise à l’EDPB par l’autorité irlandaise de protection des données (DPA).

Par le même article, l’EDPB lance également un appel à manifestation d’intérêt afin de sélectionner les participants à l’événement des parties prenantes de l’EDPB sur les modèles d’intelligence artificielle. Vous trouverez de plus amples informations sur cet événement et des instructions sur la manière de s’inscrire ci-dessous.  L’appel sera clôturé dès que le nombre de candidats sera suffisamment élevé pour assurer la participation d’un maximum de parties prenantes.
[EDIT: L’EDPB a annoncé dans un autre article avoir d’ores et déjà trouvé suffisamment de participants. Cet appel à manifestement est ainsi fermé.]

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CEF 2025 : L’EDPB sélectionne le thème de l’action coordonnée de l’année prochaine

Bruxelles, le 10 octobre – Lors de sa séance plénière d’octobre 2024, le Comité européen de la protection des données (CEPD, ou EDPB en anglais) a choisi le thème de sa quatrième action coordonnée de mise en œuvre (CEF), qui portera sur la mise en œuvre du droit à l’effacement (« droit à l’oubli ») par les responsables du traitement. Les autorités de protection des données (DPA) des Etats Membres se joindront à cette action sur une base volontaire dans les semaines à venir et l’action elle-même sera lancée au cours du premier semestre 2025.

Le droit à l’effacement (article 17 du RGPD) est l’un des droits à la protection des données les plus fréquemment exercés et au sujet duquel les autorités de protection des données reçoivent souvent des plaintes. Le but de cette action coordonnée sera, entre autres, d’évaluer la mise en œuvre de ce droit dans la pratique. Par exemple, cela se fera en analysant et en comparant les processus mis en place par différents responsables du traitement afin d’identifier les problèmes les plus importants dans le respect de ce droit, mais aussi d’avoir une vue d’ensemble des meilleures pratiques. Dans le cadre d’une action coordonnée d’application de la législation, l’EDPB donne la priorité à un sujet spécifique sur lequel les DPA doivent travailler au niveau national.

Le rapport sur les résultats de l’action coordonnée 2024 sur le droit d’accès sera adopté au début de l’année 2025.
Les actions coordonnées font suite à la décision de l’EDPB de mettre en place un cadre d’application coordonné (CEF) en octobre 2020. Le CEF est une action clé de l’EDPB dans le cadre de sa stratégie 2024-2027, avec la réserve d’experts de soutien (SPE). Ces deux initiatives visent à rationaliser l’application de la loi et la coopération entre les autorités chargées de la protection des données.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025

Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents :

• Le CEPD a adopté un avis (en anglais) sur certaines obligations résultant de la dépendance aux sous-traitants et sous-sous-traitants suite à une demande formulée par l’Autorité danoise de protection des données (DPA) en vertu de l’article 64(2) du RGPD. L’article 64(2) du RGPD stipule qu’une autorité de protection des données peut demander au CEPD de publier un avis sur des questions d’application générale ou ayant des effets dans plus d’un État membre. En particulier, l’avis explique que les responsables du traitement doivent avoir à tout moment l’information sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-sous-traitants, etc. afin de pouvoir mieux remplir leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les (sous-)traitants présentent des « garanties suffisantes » devrait s’appliquer indépendamment du risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement.

• Le Comité a adopté des lignes directrices sur le traitement des données personnelles basé sur l’intérêt légitime (en anglais). Ces lignes directrices analysent les critères énoncés à l’article 6(1) (f) du RGPD que les responsables doivent respecter pour traiter légalement des données personnelles sur la base d’un intérêt légitime. Elles tiennent également compte de l’arrêt récent de la CJUE sur cette question (C-621/22, 4 octobre 2024).
  Pour se baser sur l’intérêt légitime, le responsable du traitement doit remplir trois conditions cumulatives : la poursuite d’un intérêt légitime par le responsable ou par un tiers ; la nécessité de traiter des données personnelles aux fins de la poursuite de l’intérêt légitime ; les intérêts ou libertés fondamentales et droits des individus ne doivent pas primer sur l’intérêt(s) légitime(s) du responsable ou d’un tiers (exercice d’équilibre).
  Les lignes directrices seront soumises à une consultation publique jusqu’au 20 novembre 2024.

• Le Comité a adopté une déclaration (en anglais)   suite aux modifications apportées par le Parlement européen et le Conseil à la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La déclaration accueille généralement les modifications introduites par le Parlement européen et le Conseil, et recommande de s’attaquer davantage à des éléments spécifiques afin que le nouveau règlement atteigne les objectifs d’optimisation de la coopération entre les autorités et d’amélioration de l’application du RGPD.
  La déclaration formule des recommandations pratiques qui peuvent être utilisées dans le cadre des trilogues à venir. En particulier, le CEPD réaffirme la nécessité d’une base légale et d’une procédure harmonisée pour les règlements amiables et formule des recommandations afin d’assurer que le consensus sur le résumé des questions clés soit atteint de la manière la plus efficace possible. Le Comité se réjouit également de l’inclusion de délais supplémentaires tout en rappelant qu’ils doivent être réalistes et exhorte les co-législateurs à supprimer les dispositions relatives aux objections pertinentes et motivées ainsi que la « déclaration de motifs » dans la procédure de résolution des litiges.La présidente du CEPD, Anu Talus, a déclaré : « Le projet de règlement a le potentiel de rationaliser considérablement l’application du RGPD en augmentant l’efficacité du traitement des affaires. Une plus grande harmonisation est nécessaire au niveau de l’UE, afin de maximiser l’efficacité de plein de mécanismes de coopération et de cohérence du RGPD. »

• Enfin, le CEPD a adopté son programme de travail pour 2024-2025 (en anglais).

Disponible  sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

Disponible sur: noyb.eu

Exprimez votre intérêt à participer à l’événement EDPB avec les parties prenantes sur les prochaines lignes directrices sur le modèle du « Pay or Okay »

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 18 novembre 2024 de 10h00 à 16h00 CET (heure exacte à confirmer), afin de recueillir les commentaires des parties prenantes dans le cadre des lignes directrices à venir sur l’application de la législation relative à la protection des données dans le contexte des modèles « Consent or Pay » (consentement ou paiement).

L’objectif de cet événement est de recueillir les points de vue pertinents des organisations qui ont une expertise dans les modèles « Consent or Pay », qui exigent que les personnes concernées choisissent entre consentir au traitement des données personnelles pour une finalité spécifique ou payer une redevance. Cet événement contribuera aux travaux en cours de l’EDPB sur les lignes directrices relatives aux modèles « Consent or Pay ».Ces lignes directrices s’inscrivent dans le prolongement de l’avis 08/2024 de l’EDPB, qui traitait du modèle « Consentement ou paiement » dans le contexte des grandes plateformes en ligne. Les lignes directrices auront un champ d’application plus large.

Pour plus d’informations rendez-vous ci-dessous !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB va collaborer avec la Commission européenne pour élaborer des orientations sur l’interaction entre le GDPR et le DMA

Les services de la Commission chargés de l’application de la loi sur les marchés numériques (DMA) et le Conseil européen de la protection des données (EDPB) ont convenu de travailler ensemble pour clarifier et donner des orientations sur l’interaction entre la DMA et le GDPR. Ce dialogue renforcé entre les services de la Commission et l’EDPB se concentrera sur les obligations applicables aux contrôleurs numériques en vertu de la DMA, qui présentent une forte interaction avec le GDPR, car il est nécessaire d’assurer l’application cohérente des cadres réglementaires applicables aux contrôleurs numériques.

Selon la communication, il est essentiel de développer une interprétation cohérente de la DMA et du GDPR tout en respectant les compétences de chaque régulateur dans les domaines où le GDPR s’applique et est référencé dans la DMA afin de mettre en œuvre efficacement les deux cadres réglementaires et d’atteindre leurs objectifs respectifs et complémentaires.

Par ailleurs, le DMA a créé un groupe de haut niveau chargé de fournir à la Commission des conseils et une expertise afin de garantir que le DMA et les autres réglementations sectorielles applicables aux responsables du contrôle d’accès sont mis en œuvre de manière cohérente et complémentaire. La Commission et les représentants de l’EDPB et du CEPD se sont déjà engagés sur les obligations liées aux données et à l’interopérabilité au sein du groupe de haut niveau. Ce projet s’appuie sur cet engagement et approfondit la coopération en ce qui concerne les deux cadres réglementaires spécifiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.