Dernières actualités : données personnelles

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission Européenne

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Numerama – Cyberguerre

L’ONU enquête sur le Pape pour une affaire d’écoutes téléphoniques peu glorieuse

Un entrepreneur britannique a été condamné par le Vatican pour avoir trompé le siège de l’Église catholique lors de la vente d’un bien immobilier. Le Pape aurait autorisé l’écoute téléphonique de l’homme d’affaires pour appuyer le procès.

Disponible sur: numerama.com

Agence européenne des droits fondamentaux (FRA)

Le RGPD en pratique : dans un rapport, l’Agence européenne des droits fondamentaux (FRA) met une nouvelle fois en lumière un manque de ressources des autorités

Avant la deuxième évaluation de la mise en oeuvre du RGPD en application de son article 97, la Commission européenne a demandé à la FRA de collecter des données sur les expériences, les défis et les pratiques identifiés par les autorités chargées de la protection des données dans la mise en œuvre du Règlement. En réponse à cette demande, entre juin 2022 et juin 2023, la FRA a entrepris 70 entretiens qualitatifs avec des représentants d’APD des 27 États membres de l’UE. Trois membres du personnel ont été interrogés séparément dans chaque APD, à l’exception de cinq APD, où moins de membres du personnel ont été interrogés.

Le rapport publié par la FRA examine certains des défis et des pratiques prometteuses identifiés et mis en évidence par le personnel des autorités de protection des données. Il ne fournit pas d’analyse juridique comparative, ni d’analyse approfondie du travail des autorités de protection des données sur la base de données qualitatives, telles que les budgets annuels des autorités de protection des données, le nombre de plaintes reçues ou le nombre d’enquêtes menées. L’objectif du rapport est de compléter ces données – disponibles dans les rapports des autorités de protection des données, du Comité européen de la protection des données (CEPD) et de la Commission européenne – par des exemples concrets et détaillés de pratiques développées et de difficultés rencontrées par les autorités de protection des données.

En particulier, quatre domaines clés liés aux défis rencontrés par les autorités chargées de la protection des données lors de la mise en œuvre du RGPD ont été identifiés : l’indépendance des autorités, leurs pouvoirs de surveillance et leurs pouvoirs consultatifs, et la coopération établie par les autorités de protection des données avec d’autres régulateurs au niveau national et avec d’autres autorités de protection des données et l’EDPB au niveau de l’UE.

Le rapport précise que tous ces domaines sont influencés, directement ou indirectement, par la disponibilité des ressources humaines, financières et techniques des APD. Alors que plusieurs rapports aux niveaux national et européen ont déjà souligné que les autorités de protection des données manquent de ressources dans l’ensemble de l’UE, l’étude de la FRA fournit une compréhension pratique des difficultés diverses et multiples auxquelles les autorités de protection des données sont confrontées dans la gestion quotidienne de l’exécution de leur mandat et dans l’application du droit à la protection des données dans l’UE. L’étude identifie également les solutions développées pour atténuer ces difficultés. En outre, elle recueille des détails sur les pratiques prometteuses que les autorités chargées de la protection des données ont développées pour atténuer les défis auxquels elles sont confrontées dans la mise en œuvre du RGPD.

Disponible (en anglais) sur: fra.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’EDPS a publié aujourd’hui ses lignes directrices sur l’intelligence artificielle générative et les données à caractère personnel pour les institutions, organes et organismes de l’UE (IUE)

AI

Les lignes directrices visent à aider les IUE à se conformer aux obligations en matière de protection des données énoncées dans le règlement (UE) 2018/1725, lors de l’utilisation ou du développement d’outils d’IA générative.

Wojciech Wiewiórowski, EDPS, a déclaré : « Les lignes directrices que j’ai publiées aujourd’hui sur l’IA générative sont une première étape vers des recommandations plus étendues en réponse au paysage évolutif des outils d’IA générative, que mon équipe et moi-même continuons à suivre et à analyser de près. Nos conseils publiés aujourd’hui ont été rédigés dans le but de couvrir le plus grand nombre possible de scénarios impliquant l’utilisation de l’IA générative, afin de fournir des conseils durables aux IUE pour qu’elles puissent protéger les informations personnelles et la vie privée des individus ».

Pour garantir leur application pratique par les institutions européennes, les lignes directrices mettent l’accent sur les principes fondamentaux de la protection des données, combinés à des exemples concrets, afin d’aider à anticiper les risques, les défis et les opportunités des systèmes et outils d’IA générative. Ainsi, les lignes directrices se concentrent sur une série de sujets importants, y compris des conseils sur la façon dont les IUE peuvent déterminer si l’utilisation de tels outils implique le traitement de données individuelles ; quand effectuer une évaluation de l’impact sur la protection des données ; et d’autres recommandations essentielles.

Disponible (en anglais) sur: edps.europa.eu Les lignes directrices sont également disponibles ici.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Rstreet

Analyse des dernières modifications apportées à la loi américaine sur les droits à la vie privée (Privacy Rights Act)

Le texte mis à jour du projet de discussion de l’American Privacy Rights Act (APRA) a été publié mardi soir, 36 heures seulement avant une évaluation cruciale au sein de la sous-commission « Innovation, données et commerce » de la commission de l’énergie et du commerce de la Chambre des représentants, qui aura lieu le 23 mai. Cette réunion permettra de connaître la position des députés sur le projet de loi et pourrait donner lieu à de nouvelles modifications.

Le texte original de l’APRA publié par la présidente de la commission de l’énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers (R-Wash.), et la présidente de la commission du commerce du Sénat, Maria Cantwell (D-Wash.), a reçu un soutien mitigé de la part des parties extérieures, mais un soutien général de la part des membres du Congrès lors de l’audition de la sous-commission. Le projet de discussion était structurellement basé sur la loi américaine sur la protection et la confidentialité des données (ADPPA) du 117e Congrès, avec plusieurs différences.

La dernière version cherche à répondre aux préoccupations soulevées par les différentes parties prenantes tout en préservant les principes fondamentaux du projet de loi, ainsi que le compromis délicat obtenu entre Rodgers et Cantwell. Si les changements sont nombreux, plusieurs d’entre eux méritent d’être suivis avant jeudi. Les changements concernent notamment la protection des mineurs, la gestion de la publicité, la minimisation des données, … Le détail et la liste complète sont disponibles ci-dessous !

Disponible (en anglais) sur: rstreet.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

Notre plan pour l’intelligence artificielle dans les institutions de l’UE

secretary-general and secretaries - general of the EU institutions

C’est en train de se produire : la loi européenne sur l’intelligence artificielle entrera en vigueur dans les prochaines semaines.

Les outils d’IA ont du potentiel, car ils offrent de nouvelles possibilités et améliorent la productivité dans toute une série de secteurs et de domaines, tels que les soins de santé, le développement durable, la recherche scientifique, les entreprises privées et les organisations publiques, y compris les institutions de l’UE. Cependant, les outils d’IA présentent également des risques ; s’ils sont mal utilisés, les personnes vulnérables peuvent être exploitées, par exemple.

En assumant le rôle de superviseur des institutions de l’UE en matière d’IA, le CEPD doit veiller à ce qu’elles soient préparées.
Chaque institution de l’UE, ses développeurs et ses utilisateurs doivent connaître les limites de ces outils. En d’autres termes, quand les utiliser et quand ne pas les utiliser.

Alors que la loi sur l’IA désormais adoptée se concentre sur la définition des grands principes de l’IA, offrant un certain degré de flexibilité pour que la réglementation soit réalisable à la lumière des défis et des développements à venir, dont certains restent inconnus, la mise en pratique de cette loi reste à définir. Le CEPD a élaboré un plan pour l’IA. Il se concentre sur trois éléments clés : la gouvernance, la gestion des risques et la supervision.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

Ministère de la Santé

Le Parlement européen a adopté définitivement hier le Règlement relatif à l’espace européen des données de santé, texte initialement proposé par la Commission européenne lors de la présidence française de l’Union européenne

Ce texte, très attendu en Europe et en France, permettra de donner une impulsion européenne à la politique ambitieuse du numérique en santé que l’on connaît en France depuis quelques années. Le règlement harmonise la règlementation à l’échelle européenne, ce qui constitue un enjeu majeur en termes de santé des populations partout en Europe, d’une part, et et en termes d’innovation d’autre part. Par exemple, le règlement renforce et harmonise, en complément du RGPD, les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données, information renforcée et facilitation de l’exercice des droits pour les personnes, règles de localisation des données.
Il prévoit également un cadre robuste de gouvernance européen et national pour le numérique en santé. Il requiert de créer, dans chaque Etat membre, les autorités nationales compétentes pour accompagner et contrôler la bonne application du règlement. Il renforce la gouvernance européenne du numérique en santé en remplaçant le réseau eHealth, co-présidé par la France, par un comité de l’EEDS avec une comitologie associant l’ensemble des parties prenantes aux décisions (patients, professionnels de santé, chercheurs, industriels, institutionnels, etc.). La Commission européenne mettra en place les infrastructures et services centraux supportant l’EEDS.

Disponible sur: sante.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

Médias sociaux décentralisés « pilotes » de l’EDPS : la fin d’une histoire à succès

computer and phone

Il y a deux ans, le CEPD s’est lancé dans une aventure pionnière en lançant deux plateformes de médias sociaux, EU Voice et EU Video. Le projet pilote s’est avéré fructueux en proposant des plateformes de médias sociaux alternatives, respectueuses de la vie privée et axées sur l’utilisateur. Il est temps d’examiner les résultats.
Le 28 avril 2022, le Contrôleur européen de la protection des données a lancé un projet pilote portant sur deux plateformes de médias sociaux : EU Voice et EU Video. Ces deux plateformes font partie des réseaux de médias sociaux gratuits, open-source et décentralisés, basés sur Mastodon et PeerTube. Au cours des deux dernières années, les institutions, organes et organismes de l’UE (IUE) ont eu la possibilité de créer des comptes sur les plateformes et de se connecter avec des utilisateurs enregistrés dans Fediverse, un réseau en ligne de plateformes et de services interconnectés les uns avec les autres, y compris les plateformes de médias sociaux. Initialement prévu pour une durée d’un an, le projet pilote d’EU Voice et d’EU Video a été prolongé d’une deuxième année, en raison de son succès auprès des institutions européennes et de ses utilisateurs. À la fin du projet pilote, EU Voice hébergeait 40 comptes institutionnels, dont des commissaires européens et des membres du Parlement européen, et EU Video 6 comptes, ce qui fait des institutions européennes le plus grand groupe d’organismes publics présents sur Fediverse à l’échelle mondiale.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Retour en haut