Dernières actualités : données personnelles

CJUE – Arrêt C-621/22

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-446/21

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

NOYB – None of your business

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

cjeu

Disponible sur: noyb.eu

CJUE – Arrêts C‑17/22 et C‑18/22

La CJUE estime que la jurisprudence nationale est une source possible de l’ « obligation légale » permettant de fonder un traitement

Dans un arrêt du 12 septembre 2024, la Cour a estimé, dans une affaire concernant la « nécessité » de divulguer des données à caractère personnel en lien avec des obligations de transparence en matière financière en Allemagne, que:
71. Il ne saurait être exclu que « le droit de l’État membre auquel le responsable du traitement est soumis », au sens de l’article 6, paragraphe 3, sous b), du RGPD, couvre également la jurisprudence nationale. Cependant, ainsi qu’il ressort du considérant 41 de ce règlement, il est exigé qu’une telle jurisprudence soit claire et précise et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour.

73. En outre, […] encore faut-il que cette jurisprudence constitue une base juridique répondant à un objectif d’intérêt public, qu’elle soit proportionnée à celui-ci et que le traitement concerné soit opéré dans les limites du strict nécessaire, ce qu’il incombe à la juridiction de renvoi de vérifier [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, points 134 et 138].

74 Il appartiendra ainsi à cette juridiction de déterminer, notamment, s’il n’existe pas de mesures qui, tout en permettant de garantir la transparence entre les associés de sociétés de personnes, telle qu’elle paraît découler du droit allemand, ainsi qu’il a été exposé aux points 18 à 22 du présent arrêt, seraient moins attentatoires à la protection des données à caractère personnel confidentielles des associés indirects de sociétés en commandite faisant appel public à l’épargne que l’obligation de divulguer ces données à tout autre associé qui en ferait la demande.

Disponible sur: eur-lex.europa.eu  Le dossier complet est également disponible.
Un commentaire complet de la décision vous est proposé par droit-technologie.org.

ICO (autorité anglaise)

Un homme de Porthcawl condamné après une escroquerie « effrontée » à la voiture d’une valeur de plusieurs centaines de milliers de livres sterling

Un homme qui avait accédé illégalement à des données personnelles a été condamné à la suite de notre enquête.

Jonathan Riches, 46 ans, a plaidé coupable d’une infraction à l’article 55 de la loi de 1998 sur la protection des données (Data Protection Act 1998) devant la Cardiff Crown Court. Le tribunal a appris que Riches avait accédé illégalement aux données d’automobilistes d’Enterprise Rent-A-Car et qu’il avait poursuivi des réclamations pour dommages corporels à des fins lucratives. Les infractions ont été commises entre 2009 et 2011. M. Riches était auparavant un employé d’Enterprise Rent-A-Car, qu’il a quitté en 2009 pour créer son propre cabinet de réparation de dommages corporels. Il était toujours en contact avec d’anciens collègues, ce qui lui permettait d’obtenir illégalement les coordonnées de personnes impliquées dans des accidents de la route et de les contacter pour leur proposer des services juridiques. À un moment donné, M. Riches, par l’intermédiaire de ses complices, a eu accès à la base de données interne d’Enterprise, ce qui lui a permis d’accéder aux données personnelles des clients.

Le juge Francis a condamné M. Riches à une amende de 10 000 livres sterling et à des frais de 1 700 livres sterling.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

Commission européenne

La Commission envoie des conclusions préliminaires à Meta concernant son modèle « Pay or Consent » pour violation de la loi sur les marchés numériques (Digital Markets Act)

Ce 1er juillet 2024, la Commission annonce dans un communiqué de presse avoir informé Meta de ses conclusions préliminaires selon lesquelles son modèle publicitaire « pay or consent » n’est pas conforme à la loi sur les marchés numériques (DMA). Selon l’avis préliminaire de la Commission, ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée mais équivalente des réseaux sociaux de Meta.

En effet,  en vertu de l’article 5, paragraphe 2, du DMA, les « gatekeepers » doivent demander le consentement des utilisateurs pour combiner leurs données personnelles entre les services de la plateforme principale désignée et d’autres services, et si un utilisateur refuse ce consentement, il doit avoir accès à une alternative moins personnalisée mais équivalente. Les « gatekeepers » ne peuvent pas subordonner l’utilisation du service ou de certaines fonctionnalités au consentement de l’utilisateur. La Commission, qui a travaillé en collaboration avec les autorités de protection des données compétentes, estime, à titre préliminaire, que le modèle publicitaire « pay or consent » de Meta n’est pas conforme au RGPD, car il ne remplit pas les conditions nécessaires énoncées à l’article 5, paragraphe 2. En particulier, le modèle de Meta:

* ne permet pas aux utilisateurs d’opter pour un service qui utilise moins de données à caractère personnel, mais qui est par ailleurs équivalent au service basé sur les « annonces personnalisées ».
* ne permet pas aux utilisateurs d’exercer leur droit de consentir librement à la combinaison de leurs données personnelles.

Disponible sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêts C‑182/22 et C‑189/22

Réparation du préjudice en cas de vol de données : la CJUE précise la distinction entre les notions de  « vol » et « d’usurpation » d’identité mentionnées dans le RGPD

Dans un arrêt publié ce jour, dans le cadre d’une question relative à la réparation du dommage susceptible d’être causé par une violation de données, la Cour a été amenée à préciser les notions de « vol » ou « d’usurpation » d’identité  évoquées aux considérants 75 et 85 du RGPD parmi une liste de dommages physiques ou matériels, ou de préjudice moral susceptibles d’être causés par une violation de données à caractère personnel.

La Cour de Justice de l’UE a estimé que:
55. Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées.

56. De plus, comme l’a également relevé M. l’avocat général au point 30 de ses conclusions, parmi les différentes notions énoncées dans les listes qui figurent aux considérants 75 et 85 du RGPD, la « perte de contrôle » ou l’empêchement « d’exercer le contrôle » sur des données à caractère personnel sont distingués du « vol » ou de l’« usurpation » d’identité. Il s’ensuit que l’accès et la prise de contrôle sur de telles données, qui pourraient être assimilés à un vol de ces dernières, ne sont pas, en eux‑mêmes, assimilables à un « vol » ou à une « usurpation » d’identité. En d’autres termes, le vol de données à caractère personnel ne constitue pas, par lui-même, un vol ou une usurpation d’identité.

Après quelques explications supplémentaires Cour conclut que  « l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité. »

Disponible sur: curia.europa.eu. Les dossiers complets sont également disponibles : C-182/22 et C-189/22.

Courthousenews

Google devra bien répondre en justice d’accusations de violation de la loi fédérale américaine protégeant les données des enfants

Google doit répondre à des accusations de violation de la loi fédérale sur la protection des enfants en ligne, ainsi que des lois sur l’enrichissement sans cause et la concurrence déloyale en vigueur dans plusieurs États, en permettant aux développeurs de suivre et de collecter des données sur les enfants sans leur autorisation. Le juge de district P. Casey Pitts a rejeté dans son intégralité la demande de Google de rejeter les plaintes déposées par un groupe d’enfants qui accusent l’entreprise technologique d’avoir violé la loi fédérale sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act), qui vise à protéger les enfants contre la collecte de leurs informations personnelles sans le consentement de leurs parents.

« Les plaintes des plaignants, qui portent notamment sur la concurrence déloyale, l’enrichissement sans cause et les violations de la vie privée en Californie, ne sont pas emportées par la loi fédérale », a déclaré M. Pitts.

Dans une ordonnance de 16 pages déposée mardi en fin de journée, le juge a rejeté chacune des tentatives de Google d’esquiver le procès. En ce qui concerne la plainte californienne pour atteinte à la vie privée, par exemple, le géant de la technologie a fait valoir en partie que l’intrusion dans la vie privée n’était pas, comme l’exige la loi de l’État, « hautement offensante ». M. Pitts, estime néanmoins que « aussi peu sensibles ou intimes que soient les informations personnelles collectées ici, écrit-il, l’allégation selon laquelle les défendeurs ont collecté les données en violation de la loi fédérale bien qu’ils aient affirmé que leurs applications de programme [conçues pour les familles] ne faisaient pas de publicité basée sur les intérêts suffit à montrer que l’intrusion des défendeurs dans les attentes des plaignants en matière de respect de la vie privée était très choquante ».

Disponible (en anglais) sur: courthousenews.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut