Dernières actualités : données personnelles

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

Disponible sur: noyb.eu

Exprimez votre intérêt à participer à l’événement EDPB avec les parties prenantes sur les prochaines lignes directrices sur le modèle du « Pay or Okay »

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 18 novembre 2024 de 10h00 à 16h00 CET (heure exacte à confirmer), afin de recueillir les commentaires des parties prenantes dans le cadre des lignes directrices à venir sur l’application de la législation relative à la protection des données dans le contexte des modèles « Consent or Pay » (consentement ou paiement).

L’objectif de cet événement est de recueillir les points de vue pertinents des organisations qui ont une expertise dans les modèles « Consent or Pay », qui exigent que les personnes concernées choisissent entre consentir au traitement des données personnelles pour une finalité spécifique ou payer une redevance. Cet événement contribuera aux travaux en cours de l’EDPB sur les lignes directrices relatives aux modèles « Consent or Pay ».Ces lignes directrices s’inscrivent dans le prolongement de l’avis 08/2024 de l’EDPB, qui traitait du modèle « Consentement ou paiement » dans le contexte des grandes plateformes en ligne. Les lignes directrices auront un champ d’application plus large.

Pour plus d’informations rendez-vous ci-dessous !

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB va collaborer avec la Commission européenne pour élaborer des orientations sur l’interaction entre le GDPR et le DMA

Les services de la Commission chargés de l’application de la loi sur les marchés numériques (DMA) et le Conseil européen de la protection des données (EDPB) ont convenu de travailler ensemble pour clarifier et donner des orientations sur l’interaction entre la DMA et le GDPR. Ce dialogue renforcé entre les services de la Commission et l’EDPB se concentrera sur les obligations applicables aux contrôleurs numériques en vertu de la DMA, qui présentent une forte interaction avec le GDPR, car il est nécessaire d’assurer l’application cohérente des cadres réglementaires applicables aux contrôleurs numériques.

Selon la communication, il est essentiel de développer une interprétation cohérente de la DMA et du GDPR tout en respectant les compétences de chaque régulateur dans les domaines où le GDPR s’applique et est référencé dans la DMA afin de mettre en œuvre efficacement les deux cadres réglementaires et d’atteindre leurs objectifs respectifs et complémentaires.

Par ailleurs, le DMA a créé un groupe de haut niveau chargé de fournir à la Commission des conseils et une expertise afin de garantir que le DMA et les autres réglementations sectorielles applicables aux responsables du contrôle d’accès sont mis en œuvre de manière cohérente et complémentaire. La Commission et les représentants de l’EDPB et du CEPD se sont déjà engagés sur les obligations liées aux données et à l’interopérabilité au sein du groupe de haut niveau. Ce projet s’appuie sur cet engagement et approfondit la coopération en ce qui concerne les deux cadres réglementaires spécifiques.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Risques liés à l’IA : Reconnaissance optique de caractères et reconnaissance d’entités nommées

L’EDPC a lancé un projet viser à aider les responsables du traitement des données qui utilisent l’IA aux fins de reconnaissance optique de caractères et reconnaissance d’entités nommées à effectuer une évaluation des risques en matière de protection des données et les autorités chargées de la protection des données à évaluer la validité et l’efficacité de cette évaluation dans le cadre de leurs enquêtes. Pour les deux technologies, l’expert externe a identifié les risques spécifiques en matière de protection des données et de la vie privée posés par l’acquisition, le développement et l’utilisation de la technologie en question.

Le projet sur les risques liés à l’IA comprend plusieurs éléments livrables disponibles (en anglais) ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

EU-US Data Privacy Framework (DPF): L’EDPB publie une foire aux questions pour les personnes concernées mais et une autre pour les entreprises

Au cours de sa séance du 16 juillt 2024, l’EDPB a adopté 2 foires aux question afin d’aider les personnes concernées mais également les entreprises à « naviguer » parmi les règles relatives au Data Privacy Framework, qui encadre les transferts de données vers les Etats-Unis.  En guise d’introduction, l’EDPB rappelle que les entreprises qui se sont auto-certifiées dans le cadre du DPF doivent se conformer à ses principes, règles et obligations en matière de traitement des données à caractère personnel des personnes de l’EEE. La Commission européenne a estimé que les transferts de données à caractère personnel de l’EEE vers des entreprises certifiées au titre du DPF bénéficiaient d’un niveau de protection adéquat.

Dans ses FAQs, l’EDPB répond aux questions suivantes:
1- FAQ dédiée aux personnes concernées
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Comment puis-je bénéficier du cadre UE-États-Unis pour la protection des données personnelles ?
Q3. Comment déposer une plainte ?
Q4. Comment l’autorité nationale de protection des données traitera-t-elle ma plainte ?

2- FAQ dédiée aux entreprises
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Quelles sont les entreprises américaines éligibles au cadre UE-États-Unis de protection des données personnelles ?
Q3. Que faire avant de transférer des données à caractère personnel à une entreprise américaine qui est ou prétend être
certifiée au titre du cadre UE-États-Unis de protection des données à caractère personnel ?
Q4. Où puis-je trouver des conseils concernant la certification des filiales américaines d’entreprises européennes ?
entreprises européennes ?

Disponible (en anglais) sur: edpb.europa.eu (personnes concernées) et edpb.europa.eu (pour les entreprises)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte une déclaration sur le rôle des autorités de protection des données dans le cadre de la loi sur l’IA

Lors de sa dernière séance plénière, le Comité européen de la protection des données (CEPD) a adopté une déclaration sur le rôle des autorités de protection des données (APD) dans le cadre de la loi sur l’intelligence artificielle (AI Act). Selon l’EDPB, les autorités de protection des données disposent déjà d’une expérience et d’une expertise en ce qui concerne l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, et devraient donc être désignées comme autorités de surveillance du marché (MSA) dans un certain nombre de cas. Cela permettrait d’assurer une meilleure coordination entre les différentes autorités réglementaires, d’accroître la sécurité juridique pour toutes les parties prenantes et de renforcer la supervision et l’application de la loi sur l’IA et de la législation de l’UE sur la protection des données.

Dans sa déclaration, l’EDPB recommande ce qui suit :
* Comme l’indique déjà la loi sur l’IA, les autorités chargées de la protection des données devraient être désignées comme autorités de surveillance pour les systèmes d’IA à haut risque utilisés pour l’application de la loi, la gestion des frontières, l’administration de la justice et les processus démocratiques ;
* Les États membres devraient envisager de désigner les autorités de protection des données comme autorités de surveillance pour d’autres systèmes d’IA à haut risque, en tenant compte de l’avis de l’autorité nationale de protection des données, en particulier lorsque ces systèmes d’IA à haut risque appartiennent à des secteurs susceptibles d’avoir une incidence sur les droits et libertés des personnes physiques en ce qui concerne le traitement des données à caractère personnel ;
* Les autorités chargées de la protection des données, lorsqu’elles sont nommées en tant qu’autorités de surveillance, devraient être désignées comme points de contact uniques pour le public et les homologues au niveau des États membres et de l’UE ;
* Des procédures claires devraient être établies pour la coopération entre les ASM et les autres autorités de régulation chargées de superviser les systèmes d’IA, y compris les autorités de protection des données. En outre, une coopération appropriée doit être mise en place entre l’Office AI de l’UE et les DPA/EDPB.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.