Dernières actualités : données personnelles

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

Disponible sur: noyb.eu

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Protection des données : Le Conseil adopte une position sur les règles d’application du RGPD

Le Conseil de l’UE est parvenu, ce 13 juin 2024,  à un accord sur la position commune des États membres concernant une nouvelle loi qui améliorera la coopération entre les autorités nationales chargées de la protection des données lorsqu’elles appliquent le règlement général sur la protection des données (RGPD).

Selon le communiqué, une fois adopté, le règlement fournira notamment des outils permettant d’accélérer le processus de traitement des plaintes transfrontalières déposées par des citoyens ou des organisations, ainsi que les enquêtes de suivi. Ceci est notamment dû à l’harmonisation des conditions de recevabilité d’une action transfrontalière. Partout dans l’UE où un citoyen dépose une plainte relative à un traitement transfrontalier de données, la recevabilité sera jugée sur la base des mêmes informations. Il clarifie également les délais et les étapes de la procédure d’enquête et d’adoption d’un avis contraignant par le Comité européen de la protection des données (CEPD), l’organisation qui réunit toutes les autorités nationales chargées de la protection des données, en cas de désaccord entre les autorités chargées de la protection des données. Enfin, le nouveau règlement harmonisera les exigences et les procédures permettant au plaignant d’être entendu en cas de rejet d’une plainte et fournira des règles communes sur l’implication du plaignant dans la procédure.

En quelques mots, la position du Conseil maintient l’orientation générale de la proposition de règlement mais modifie le projet sur les points suivants :
* Des délais plus clairs : les États membres introduisent des délais spécifiques qui visent à accélérer le processus de coopération ;
* Coopération renforcée et efficace : le Conseil soutient la nouvelle procédure de coopération renforcée entre les autorités chargées de la protection des données, mais prévoit également la possibilité de ne pas appliquer toutes les règles supplémentaires lorsqu’une affaire est plus simple et plus directe. Cela permet aux autorités chargées de la protection des données d’éviter la charge administrative et d’agir rapidement dans les cas non litigieux et de tirer parti des règles de coopération supplémentaires nouvellement introduites pour les enquêtes plus complexes.
* Mécanisme de résolution rapide : le Conseil introduit un mécanisme de résolution anticipée qui permet aux autorités de résoudre une affaire avant d’entamer les procédures standard de traitement d’une plainte transfrontalière. Cela peut être le cas lorsque l’entreprise ou l’organisation en question a remédié à l’infraction ou lorsqu’un règlement à l’amiable de la plainte a été trouvé.

Disponible (en anglais) sur: consilium.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le RGPD en pratique : dans un rapport, l’Agence européenne des droits fondamentaux (FRA) met une nouvelle fois en lumière un manque de ressources des autorités

Avant la deuxième évaluation de la mise en oeuvre du RGPD en application de son article 97, la Commission européenne a demandé à la FRA de collecter des données sur les expériences, les défis et les pratiques identifiés par les autorités chargées de la protection des données dans la mise en œuvre du Règlement. En réponse à cette demande, entre juin 2022 et juin 2023, la FRA a entrepris 70 entretiens qualitatifs avec des représentants d’APD des 27 États membres de l’UE. Trois membres du personnel ont été interrogés séparément dans chaque APD, à l’exception de cinq APD, où moins de membres du personnel ont été interrogés.

Le rapport publié par la FRA examine certains des défis et des pratiques prometteuses identifiés et mis en évidence par le personnel des autorités de protection des données. Il ne fournit pas d’analyse juridique comparative, ni d’analyse approfondie du travail des autorités de protection des données sur la base de données qualitatives, telles que les budgets annuels des autorités de protection des données, le nombre de plaintes reçues ou le nombre d’enquêtes menées. L’objectif du rapport est de compléter ces données – disponibles dans les rapports des autorités de protection des données, du Comité européen de la protection des données (CEPD) et de la Commission européenne – par des exemples concrets et détaillés de pratiques développées et de difficultés rencontrées par les autorités de protection des données.

En particulier, quatre domaines clés liés aux défis rencontrés par les autorités chargées de la protection des données lors de la mise en œuvre du RGPD ont été identifiés : l’indépendance des autorités, leurs pouvoirs de surveillance et leurs pouvoirs consultatifs, et la coopération établie par les autorités de protection des données avec d’autres régulateurs au niveau national et avec d’autres autorités de protection des données et l’EDPB au niveau de l’UE.

Le rapport précise que tous ces domaines sont influencés, directement ou indirectement, par la disponibilité des ressources humaines, financières et techniques des APD. Alors que plusieurs rapports aux niveaux national et européen ont déjà souligné que les autorités de protection des données manquent de ressources dans l’ensemble de l’UE, l’étude de la FRA fournit une compréhension pratique des difficultés diverses et multiples auxquelles les autorités de protection des données sont confrontées dans la gestion quotidienne de l’exécution de leur mandat et dans l’application du droit à la protection des données dans l’UE. L’étude identifie également les solutions développées pour atténuer ces difficultés. En outre, elle recueille des détails sur les pratiques prometteuses que les autorités chargées de la protection des données ont développées pour atténuer les défis auxquels elles sont confrontées dans la mise en œuvre du RGPD.

Disponible (en anglais) sur: fra.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.