Dernières actualités : données personnelles

PIPC (autorité coréenne)

 La PIPC  organise un comité d’experts sur le transfert de données à l’étranger pour évaluer la reconnaissance de l’équivalence

La Commission de protection des données personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des données personnelles ») poursuit ses travaux en la matière et a annoncé avoir tenu la troisième réunion du Comité d’experts (composé de 12 experts dans des domaines tels que l’université, le droit, la société civile et les organisations d’affaires) sur les transferts transfrontaliers de données personnelles le mardi 19 novembre, afin de procéder à une évaluation de la reconnaissance d’équivalence pour l’Union européenne (UE) par un comité d’experts. Le PIPC analyse le système juridique et le système de protection de l’Union européenne depuis février, date à laquelle il a préparé un plan visant à promouvoir la reconnaissance de l’équivalence de la protection des informations personnelles à l’UE, et l’évaluation du Comité d’experts marque le début du processus de collecte d’opinions publiques et privées.

Voilà un pas de plus vers la reconnaissance mutuelle d’adéquation !

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données pour une application efficace de la loi. S’agissant de ce premier sujet, globalement, l’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023 :

  • En ce qui concerne les aspects commerciaux, c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
  • En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du DPF souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du DPF. L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
  • En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.

Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.

Disponible sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

La Corée du Sud veut reconnaître l’UE « adéquate » afin de supprimer les obstacles à l’échange de données

En décembre 2021, l’Union européenne a publié une décision d’adéquation pour la Corée, reconnaissant le niveau de protection des données à caractère personnel en Corée comme équivalent à celui de l’Union européenne et autorisant le transfert de données à caractère personnel des États membres de l’UE vers la Corée (transferts offshore). Toutefois, comme il n’existait pas de système équivalent en Corée à l’époque, une décision mutuelle d’adéquation n’a pas pu être mise en œuvre et une décision unilatérale d’adéquation a été prise, qui n’a autorisé que le transfert de données à caractère personnel de l’UE vers la Corée.

La Corée du Sud a, depuis, modifié sa loi : ainsi, a l’occasion de la 46e Assemblée mondiale de la protection de la vie privée (GPA), le commissaire Ko a expliqué au ministre Reinders le fonctionnement du système de reconnaissance d’équivalence en Corée du Sud (équivalent du système d’adéquation), qui a été introduit par l’amendement de la loi sur la protection des informations personnelles l’année dernière, et les deux organisations ont convenu de continuer à renforcer leur coopération. La PIPC a choisi l’Union européenne comme premier pays à être considéré pour le système de reconnaissance d’équivalence afin de renforcer la coopération avec l’Union européenne, avec laquelle il a un partenariat stratégique de longue date et de confiance, et de soutenir la forte demande de transferts d’informations transfrontaliers sécurisés.

Pour rappel, l’Assemblée mondiale de la protection de la vie privée est la plus grande consultation internationale sur la protection de la vie privée, avec 140 organisations de 92 pays, dont la Corée, les États-Unis, l’Union européenne, le Royaume-Uni et le Japon, et se tient chaque année, la réunion de 2025 étant prévue à Séoul.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Retour en haut