Dernières actualités : données personnelles

CJUE – Arrêt C-4/23

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission Européenne

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Numerama – Cyberguerre

L’ONU enquête sur le Pape pour une affaire d’écoutes téléphoniques peu glorieuse

Un entrepreneur britannique a été condamné par le Vatican pour avoir trompé le siège de l’Église catholique lors de la vente d’un bien immobilier. Le Pape aurait autorisé l’écoute téléphonique de l’homme d’affaires pour appuyer le procès.

Disponible sur: numerama.com

Agence européenne des droits fondamentaux (FRA)

Le RGPD en pratique : dans un rapport, l’Agence européenne des droits fondamentaux (FRA) met une nouvelle fois en lumière un manque de ressources des autorités

Avant la deuxième évaluation de la mise en oeuvre du RGPD en application de son article 97, la Commission européenne a demandé à la FRA de collecter des données sur les expériences, les défis et les pratiques identifiés par les autorités chargées de la protection des données dans la mise en œuvre du Règlement. En réponse à cette demande, entre juin 2022 et juin 2023, la FRA a entrepris 70 entretiens qualitatifs avec des représentants d’APD des 27 États membres de l’UE. Trois membres du personnel ont été interrogés séparément dans chaque APD, à l’exception de cinq APD, où moins de membres du personnel ont été interrogés.

Le rapport publié par la FRA examine certains des défis et des pratiques prometteuses identifiés et mis en évidence par le personnel des autorités de protection des données. Il ne fournit pas d’analyse juridique comparative, ni d’analyse approfondie du travail des autorités de protection des données sur la base de données qualitatives, telles que les budgets annuels des autorités de protection des données, le nombre de plaintes reçues ou le nombre d’enquêtes menées. L’objectif du rapport est de compléter ces données – disponibles dans les rapports des autorités de protection des données, du Comité européen de la protection des données (CEPD) et de la Commission européenne – par des exemples concrets et détaillés de pratiques développées et de difficultés rencontrées par les autorités de protection des données.

En particulier, quatre domaines clés liés aux défis rencontrés par les autorités chargées de la protection des données lors de la mise en œuvre du RGPD ont été identifiés : l’indépendance des autorités, leurs pouvoirs de surveillance et leurs pouvoirs consultatifs, et la coopération établie par les autorités de protection des données avec d’autres régulateurs au niveau national et avec d’autres autorités de protection des données et l’EDPB au niveau de l’UE.

Le rapport précise que tous ces domaines sont influencés, directement ou indirectement, par la disponibilité des ressources humaines, financières et techniques des APD. Alors que plusieurs rapports aux niveaux national et européen ont déjà souligné que les autorités de protection des données manquent de ressources dans l’ensemble de l’UE, l’étude de la FRA fournit une compréhension pratique des difficultés diverses et multiples auxquelles les autorités de protection des données sont confrontées dans la gestion quotidienne de l’exécution de leur mandat et dans l’application du droit à la protection des données dans l’UE. L’étude identifie également les solutions développées pour atténuer ces difficultés. En outre, elle recueille des détails sur les pratiques prometteuses que les autorités chargées de la protection des données ont développées pour atténuer les défis auxquels elles sont confrontées dans la mise en œuvre du RGPD.

Disponible (en anglais) sur: fra.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Rstreet

Analyse des dernières modifications apportées à la loi américaine sur les droits à la vie privée (Privacy Rights Act)

Le texte mis à jour du projet de discussion de l’American Privacy Rights Act (APRA) a été publié mardi soir, 36 heures seulement avant une évaluation cruciale au sein de la sous-commission « Innovation, données et commerce » de la commission de l’énergie et du commerce de la Chambre des représentants, qui aura lieu le 23 mai. Cette réunion permettra de connaître la position des députés sur le projet de loi et pourrait donner lieu à de nouvelles modifications.

Le texte original de l’APRA publié par la présidente de la commission de l’énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers (R-Wash.), et la présidente de la commission du commerce du Sénat, Maria Cantwell (D-Wash.), a reçu un soutien mitigé de la part des parties extérieures, mais un soutien général de la part des membres du Congrès lors de l’audition de la sous-commission. Le projet de discussion était structurellement basé sur la loi américaine sur la protection et la confidentialité des données (ADPPA) du 117e Congrès, avec plusieurs différences.

La dernière version cherche à répondre aux préoccupations soulevées par les différentes parties prenantes tout en préservant les principes fondamentaux du projet de loi, ainsi que le compromis délicat obtenu entre Rodgers et Cantwell. Si les changements sont nombreux, plusieurs d’entre eux méritent d’être suivis avant jeudi. Les changements concernent notamment la protection des mineurs, la gestion de la publicité, la minimisation des données, … Le détail et la liste complète sont disponibles ci-dessous !

Disponible (en anglais) sur: rstreet.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

Ministère de la Santé

Le Parlement européen a adopté définitivement hier le Règlement relatif à l’espace européen des données de santé, texte initialement proposé par la Commission européenne lors de la présidence française de l’Union européenne

Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années. Le règlement harmonise la règlementation à l’échelle européenne, ce qui constitue un enjeu majeur en termes de santé des populations partout en Europe, d’une part, et et en termes d’innovation d’autre part. Par exemple, le règlement renforce et harmonise, en complément du RGPD, les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données, information renforcée et facilitation de l’exercice des droits pour les personnes, règles de localisation des données.
Il prévoit également un cadre robuste de gouvernance européen et national pour le numérique en santé. Il requiert de créer, dans chaque Etat membre, les autorités nationales compétentes pour accompagner et contrôler la bonne application du règlement. Il renforce la gouvernance européenne du numérique en santé en remplaçant le réseau eHealth, co-présidé par la France, par un comité de l’EEDS avec une comitologie associant l’ensemble des parties prenantes aux décisions (patients, professionnels de santé, chercheurs, industriels, institutionnels, etc.). La Commission européenne mettra en place les infrastructures et services centraux supportant l’EEDS.

Disponible sur: sante.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

IAPP

Présentation d’un nouveau projet de loi fédérale sur la protection de la vie privée aux États-Unis

À la surprise générale, deux membres importants du Congrès américain ont rendu public, le 5 avril, un projet de loi fédérale bipartisane et bicamérale sur la protection de la vie privée.

Un peu plus de deux ans après la dernière tentative significative d’élaboration d’une loi nationale sur la protection de la vie privée, la présidente de la commission de l’énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers, et la sénatrice Maria Cantwell, présidente de la commission sénatoriale du commerce, des sciences et des transports, se sont exprimées officiellement dimanche sur le projet de loi nouvellement publié. Le projet de loi est également disponible sous la forme d’un projet de discussion section par section. Dans un développement surprenant rapporté pour la première fois fin avril, deux membres clés du Congrès américain ont rendu public un projet de loi fédéral bipartisan et bicaméral sur la protection de la vie privée.

Avec ses 53 pages, la proposition de loi américaine sur les droits à la vie privée comprend des exigences sur la minimisation des données, les droits des consommateurs à refuser la publicité ciblée et à consulter, corriger, exporter ou supprimer leurs données. En outre, le projet de loi contient des dispositions relatives à la sécurité des données, une section sur la « responsabilité exécutive » et un registre national des courtiers en données (également appelés « data brokers »). Des dispositions sont également prévues pour empêcher les organisations d’imposer des arbitrages obligatoires en cas d’atteinte importante à la vie privée.

Disponible (en anglais) sur: iapp.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Journal Officiel de l’UE

Le nouveau règlement sur la recherche automatisée et l’échange de données pour la coopération policière est publié au Journal officiel.

Cette nouvelle législation a pour objectif d’améliorer le cadre existant (« Prüm I ») qui permet d’ores et déjà aux services répressifs de consulter les bases de données nationales d’autres États membres en ce qui concerne : l’ADN, les fichiers des empreintes digitales ou encore les fichiers relatifs à l’immatriculation des véhicules. Les règles de ce nouveau règlement élargiront les catégories de données (majoritairement à caractère personnel) pour lesquelles des échanges automatisés seront automatisé : le partage des recherches d’images faciales et d’antécédents de police peuvent désormais être partagés.
De plus, si la législation nationale l’autorise, il sera également possible d’effectuer des recherches dans tous les fichiers concernés afin de retrouver des personnes disparues ou d’identifier des restes humains.
Enfin, Europol est également autorisé à consulter les bases de données nationales afin de recouper les informations qu’il aura reçues de pays tiers.

Disponible (en anglais) sur: eur-lex.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut