Dernières actualités : données personnelles

CJUE – Arrêt C-4/23

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

NOYB – None of your business

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

cjeu

Disponible sur: noyb.eu

Contrôleur européen de la protection de données (EDPS)

L’EDPS dévoile un nouveau modèle pour des transferts plus sûrs de données à caractère personnel entre les institutions de l’UE et les organisations internationales

transfers of data

Le contrôleur européen a publié aujourd’hui son modèle d’arrangement administratif (modèle) pour les transferts de données à caractère personnel des institutions, organes et organismes de l’UE (IUE) vers les organisations internationales. Le modèle vise à aider les institutions européennes à se conformer à la législation européenne applicable en matière de protection des données, le règlement (UE) 2018/1725, lorsqu’elles doivent transférer des données à caractère personnel à des organisations internationales, dans le cadre de leur rôle.

Wojciech Wiewiórowski, EDPS, a déclaré : « En fonction de la nature de leur travail, les IUE peuvent être amenées à transférer des données à caractère personnel à des organisations internationales pour atteindre des objectifs importants, tels que la fourniture d’une assistance alimentaire ou la défense des droits des personnes, par exemple. Dans ce contexte, l’une des priorités de mon institution est de veiller à ce que les données personnelles des individus soient protégées conformément aux normes de l’UE, tant à l’intérieur qu’à l’extérieur de l’UE/Espace économique européen. Le nouveau modèle d’arrangement administratif permet aux institutions européennes de se préparer efficacement à d’éventuels transferts de données à caractère personnel vers des organisations internationales, et ce de manière globale ».

Pour assurer son application pratique par les IUE, le modèle met l’accent sur les principes fondamentaux de la protection des données et met en place les garanties nécessaires, afin d’assurer un niveau de protection essentiellement équivalent à celui garanti par la législation de l’UE. En tant que tels, les arrangements administratifs conclus par les IUE avec les organisations internationales en utilisant le modèle publié aujourd’hui continueront à nécessiter l’approbation du CEPD. Toutefois, son utilisation par les IUE facilitera grandement la procédure d’approbation, dans l’intérêt des deux parties et des personnes concernées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-757/22

Les associations de consommateurs peuvent poursuivre une entreprise pour un manque d’information préalable

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant Meta à une association allemande de consommateur, la Cour de Justice de l’UE a été amenée à préciser les capacités d’action des associations de consommateurs ou de toute autre entité habilitée à introduire des actions représentatives au titre du RGPD. En ce sens, l’article 80 du RGPD prévoit notamment que : « 2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

S’agissant de cet article 80 du RGPD, la CJUE a déjà eu l’occasion de préciser en 2022 qu’une action est possible en l’absence de tout mandat contre le responsable d’un traitement même en invoquant un fondement autre que le RGPD dès lors qu’il existe une violation affectant ou pouvant affecter les droits « RGPD » des personnes concernées (arrêt C-319/20). Cette fois,  la question portait sur le point de savoir si la condition de violation des droits de la personne « du fait de traitement » est remplie lorsqu’une telle action est fondée sur la violation de l’obligation incombant au responsable du traitement d’informer les personnes concernées.

Selon la Cour de Justice, « la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

Contrôleur européen de la protection de données (EDPS)

Notre plan pour l’intelligence artificielle dans les institutions de l’UE

secretary-general and secretaries - general of the EU institutions

C’est en train de se produire : la loi européenne sur l’intelligence artificielle entrera en vigueur dans les prochaines semaines.

Les outils d’IA ont du potentiel, car ils offrent de nouvelles possibilités et améliorent la productivité dans toute une série de secteurs et de domaines, tels que les soins de santé, le développement durable, la recherche scientifique, les entreprises privées et les organisations publiques, y compris les institutions de l’UE. Cependant, les outils d’IA présentent également des risques ; s’ils sont mal utilisés, les personnes vulnérables peuvent être exploitées, par exemple.

En assumant le rôle de superviseur des institutions de l’UE en matière d’IA, le CEPD doit veiller à ce qu’elles soient préparées.
Chaque institution de l’UE, ses développeurs et ses utilisateurs doivent connaître les limites de ces outils. En d’autres termes, quand les utiliser et quand ne pas les utiliser.

Alors que la loi sur l’IA désormais adoptée se concentre sur la définition des grands principes de l’IA, offrant un certain degré de flexibilité pour que la réglementation soit réalisable à la lumière des défis et des développements à venir, dont certains restent inconnus, la mise en pratique de cette loi reste à définir. Le CEPD a élaboré un plan pour l’IA. Il se concentre sur trois éléments clés : la gouvernance, la gestion des risques et la supervision.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Contrôleur européen de la protection de données (EDPS)

Médias sociaux décentralisés « pilotes » de l’EDPS : la fin d’une histoire à succès

computer and phone

Il y a deux ans, le CEPD s’est lancé dans une aventure pionnière en lançant deux plateformes de médias sociaux, EU Voice et EU Video. Le projet pilote s’est avéré fructueux en proposant des plateformes de médias sociaux alternatives, respectueuses de la vie privée et axées sur l’utilisateur. Il est temps d’examiner les résultats.
Le 28 avril 2022, le Contrôleur européen de la protection des données a lancé un projet pilote portant sur deux plateformes de médias sociaux : EU Voice et EU Video. Ces deux plateformes font partie des réseaux de médias sociaux gratuits, open-source et décentralisés, basés sur Mastodon et PeerTube. Au cours des deux dernières années, les institutions, organes et organismes de l’UE (IUE) ont eu la possibilité de créer des comptes sur les plateformes et de se connecter avec des utilisateurs enregistrés dans Fediverse, un réseau en ligne de plateformes et de services interconnectés les uns avec les autres, y compris les plateformes de médias sociaux. Initialement prévu pour une durée d’un an, le projet pilote d’EU Voice et d’EU Video a été prolongé d’une deuxième année, en raison de son succès auprès des institutions européennes et de ses utilisateurs. À la fin du projet pilote, EU Voice hébergeait 40 comptes institutionnels, dont des commissaires européens et des membres du Parlement européen, et EU Video 6 comptes, ce qui fait des institutions européennes le plus grand groupe d’organismes publics présents sur Fediverse à l’échelle mondiale.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

NOYB – None of your business

Le procureur général auprès de la CJUE : Facebook doit « minimiser » les données personnelles pour les publicités dans l’UE

Aujourd’hui, le procureur général a publié son avis dans l’affaire C-446/21, estimant que  » l’expression publique de son orientation sexuelle par l’utilisateur d’un réseau social rend cette donnée « manifestement publique », sans pour autant autoriser son traitement à des fins de publicité personnalisée ». L’avocat général propose également « à la Cour de juger que le RGPD s’oppose à ce que des données personnelles puissent être traitées à des fins de publicité ciblée sans limitation dans le temps. La juridiction nationale doit pouvoir estimer, sur base notamment du principe de proportionnalité, dans quelle mesure la période de conservation et la quantité des données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données pour une publicité personnalisée. L’association NOYB vous fait part de ses premières réactions.

Court of Justice of the European Union

Disponible sur: noyb.eu

Contrôleur européen de la protection de données (EDPS)

Rapport annuel de l’EDPS : la capacité d’adaptation dans un monde en mutation

people working

Présentant aujourd’hui son rapport annuel 2023, le Contrôleur européen de la protection des données (CEPD ou EDPS) Wojciech Wiewiórowski a souligné la capacité d’adaptation de son institution face à un paysage numérique et réglementaire en pleine évolution. Wojciech Wiewiórowski a déclaré : « L’année 2023 a été une année d’adaptabilité à la lumière des avancées numériques et réglementaires. Plus que jamais, la collaboration multilatérale et transfrontalière s’est avérée cruciale pour atteindre et élever les normes de protection des données dans l’UE et au-delà. En 2024, année qui coïncide avec le 20e anniversaire du CEPD, le rôle de mon institution est d’anticiper et de préparer les défis de la protection des données pour les deux prochaines décennies« .

S’exprimant devant la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen et lors de sa conférence de presse d’aujourd’hui, le Contrôleur Wojciech Wiewiórowski a détaillé ses actions démontrant cette importante compétence. Pour en savoir plus, consultez l’article ci-dessous !

Disponible (en anglais) sur: edps.europa.eu Le rapport complet est également disponible .
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Contrôleur européen de la protection de données (EDPS)

20 Exposés – Koen Lenaerts : Président de la Cour de justice de l’Union européenne

Koen Lenaerts, President of the Court of Justice of the European Union

Dans cet épisode, l’invité est Koen Lenaerts, président de la Cour de justice de l’Union européenne. Cette interview d’une vingtaine de minutes est notamment l’occasion de passer en revue certaines décisions importantes, ou encore d’évoquer les problématiques futures liées à l’IA.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données

Action coordonnée pour l’application de la législation: le droit d’accès aux données à caractère personnel

phone, lock, password to symbolise the right of access

Le Contrôleur européen participe à l’action coordonnée d’exécution du Comité européen de la protection des données (CEPD) sur la manière dont le droit d’accès des personnes est abordé spécifiquement dans les institutions, organes et organismes de l’UE, aux côtés des 27 autres autorités de protection des données (APD) dans l’ensemble de l’Espace économique européen (EEE).

Le droit d’accès est au cœur de la protection des données, permettant aux particuliers de vérifier si leurs données à caractère personnel sont traitées de manière conforme par des organisations ou des IUE, ce qui permet souvent l’exercice de leurs autres droits, tels que le droit de rectification ou d’effacement des données. Il s’agit donc de l’un des droits les plus fréquemment exercés en matière de protection des données et pour lequel les APD reçoivent de nombreuses plaintes chaque année.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut