Dernières actualités : données personnelles

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

GPDP (autorité italienne)

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Commission européenne

La Commission envoie des conclusions préliminaires à Meta concernant son modèle « Pay or Consent » pour violation de la loi sur les marchés numériques (Digital Markets Act)

Ce 1er juillet 2024, la Commission annonce dans un communiqué de presse avoir informé Meta de ses conclusions préliminaires selon lesquelles son modèle publicitaire « pay or consent » n’est pas conforme à la loi sur les marchés numériques (DMA). Selon l’avis préliminaire de la Commission, ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée mais équivalente des réseaux sociaux de Meta.

En effet,  en vertu de l’article 5, paragraphe 2, du DMA, les « gatekeepers » doivent demander le consentement des utilisateurs pour combiner leurs données personnelles entre les services de la plateforme principale désignée et d’autres services, et si un utilisateur refuse ce consentement, il doit avoir accès à une alternative moins personnalisée mais équivalente. Les « gatekeepers » ne peuvent pas subordonner l’utilisation du service ou de certaines fonctionnalités au consentement de l’utilisateur. La Commission, qui a travaillé en collaboration avec les autorités de protection des données compétentes, estime, à titre préliminaire, que le modèle publicitaire « pay or consent » de Meta n’est pas conforme au RGPD, car il ne remplit pas les conditions nécessaires énoncées à l’article 5, paragraphe 2. En particulier, le modèle de Meta:

* ne permet pas aux utilisateurs d’opter pour un service qui utilise moins de données à caractère personnel, mais qui est par ailleurs équivalent au service basé sur les « annonces personnalisées ».
* ne permet pas aux utilisateurs d’exercer leur droit de consentir librement à la combinaison de leurs données personnelles.

Disponible sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

Commission de protection de la vie privée

Les amendes de l’autorité norvégienne prononcées contre Meta et Facebook ont été annulées

Dans une décision du 18 juin 2024, faisant suite à une décision de sanction prononcée par l’autorité de protection des données norvégienne qui a été contestée par la société par Facebook Norvège, la Commission de la protection des données a conclu « que la décision d’amende coercitive à l’encontre de Meta Ireland et de Facebook Norway doit être annulée car elle ne repose sur aucune base juridique« .

En cause ? Une erreur procédurale. Selon la décision,  cette affaire soulève un certain nombre de questions procédurales fondamentales liées aux recours de droit administratif contre de telles décisions. La Commission se contente ici de faire référence au désaccord entre l’autorité norvégienne de protection des données, Meta Ireland et Facebook Norway quant aux limitations applicables au traitement par la Commission du recours contre la décision relative à une amende coercitive. De l’avis de la Commission, rien dans les travaux préparatoires de la loi sur les données personnelles n’indique que le ministère avait également l’intention d’introduire la possibilité pour l’autorité de contrôle d’imposer une amende coercitive pour les décisions urgentes au titre du chapitre VII. Si l’intention était que l’article 29 de la loi sur les données à caractère personnel fournisse une telle base juridique, on peut raisonnablement s’attendre à ce que le ministère ait procédé à des évaluations et à des clarifications approfondies de la question de la compétence de la Commission dans de tels cas dans les travaux préparatoires de la loi sur les données à caractère personnel. Le principe de légalité impose également que des dispositions procédurales soient incluses dans la loi pour réglementer les dérogations aux règles générales sur les recours et les annulations du chapitre VI de la loi sur l’administration publique et la disposition spéciale de l’article 51, cinquième paragraphe, sur les recours contre les décisions d’exécution. De l’avis de la Commission, il s’agit de questions qui ne se prêtent pas à une clarification par la pratique des organes administratifs.

La Commission de la protection des données a ainsi conclu que l’article 29 de la loi sur les données personnelles doit être interprété de manière restrictive, de sorte que la disposition n’autorise pas l’autorité norvégienne de protection des données, en tant qu’autorité de contrôle concernée, à adopter une décision sur une amende coercitive pour assurer le respect d’une décision urgente prise en vertu de l’article 66, paragraphe 1 (à savoir la procédure d’urgence). La disposition n’autorise l’adoption d’une décision sur une amende coercitive que pour assurer le respect d’ordonnances dans des affaires non transfrontalières.

Disponible (en norvégien) sur: personvernnemnda.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut