Dernières actualités : données personnelles

CJUE – Arrêt C-446/21

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-21/23

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

NOYB – None of your business

CJUE : Meta doit « minimiser » l’utilisation de données personnelles pour les publicités

Dans l’arrêt rendu aujourd’hui dans l’affaire C-446/21 (Schrems contre Meta), la Cour de justice de l’Union européenne (CJUE) a pleinement soutenu une action en justice intentée contre Meta au sujet de son service Facebook. La Cour s’est prononcée sur deux questions : d’une part, la limitation massive de l’utilisation des données personnelles pour la publicité en ligne. Deuxièmement, la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication. NOYB vous fait part de ses commentaires sur cette décision.

cjeu

Disponible sur: noyb.eu

CJUE – Arrêt 461/22

Curatelle: selon la CJUE, un ancien curateur traitant les données de la personne protégée doit être qualifié de responsable de traitement

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant ce qui semble être des particuliers, la Cour de Justice de l’UE a été amenée à préciser si un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, des données à caractère personnel en sa possession concernant cette personne. La détermination du rôle de cet ancien curateur n’est pas sans conséquences puisqu’elle emporte la nécessite de respecter l’intégralité des obligations du RGPD ou non.

Dans un premier temps, en réponse à des doutes exprimés par la juridiction de renvoi, la CJUE écarte l’exception domestique en précisant que le RGPD est bien applicable dans la mesure où le curateur exerce ses fonctions à titre professionnel, et ce même si le curateur est une personne proche de la personne concernée.

Dans un second temps, et sans réellement se prononcer sur le « rôle RGPD » du curateur lorsqu’il exerce toujours ses fonctions, elle observe  en tout cas qu’un « ancien curateur est une personne tierce à l’égard d’une personne qui a été placée sous sa curatelle par le passé « . Dès lors, et de manière assez mécanique, la CJUE estime qu’ « un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, de données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

Contrôleur européen de la protection de données (EDPS)

L’EDPS a publié aujourd’hui ses lignes directrices sur l’intelligence artificielle générative et les données à caractère personnel pour les institutions, organes et organismes de l’UE (IUE)

AI

Les lignes directrices visent à aider les IUE à se conformer aux obligations en matière de protection des données énoncées dans le règlement (UE) 2018/1725, lors de l’utilisation ou du développement d’outils d’IA générative.

Wojciech Wiewiórowski, EDPS, a déclaré : « Les lignes directrices que j’ai publiées aujourd’hui sur l’IA générative sont une première étape vers des recommandations plus étendues en réponse au paysage évolutif des outils d’IA générative, que mon équipe et moi-même continuons à suivre et à analyser de près. Nos conseils publiés aujourd’hui ont été rédigés dans le but de couvrir le plus grand nombre possible de scénarios impliquant l’utilisation de l’IA générative, afin de fournir des conseils durables aux IUE pour qu’elles puissent protéger les informations personnelles et la vie privée des individus ».

Pour garantir leur application pratique par les institutions européennes, les lignes directrices mettent l’accent sur les principes fondamentaux de la protection des données, combinés à des exemples concrets, afin d’aider à anticiper les risques, les défis et les opportunités des systèmes et outils d’IA générative. Ainsi, les lignes directrices se concentrent sur une série de sujets importants, y compris des conseils sur la façon dont les IUE peuvent déterminer si l’utilisation de tels outils implique le traitement de données individuelles ; quand effectuer une évaluation de l’impact sur la protection des données ; et d’autres recommandations essentielles.

Disponible (en anglais) sur: edps.europa.eu Les lignes directrices sont également disponibles ici.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Contrôleur européen de la protection de données (EDPS)

Notre plan pour l’intelligence artificielle dans les institutions de l’UE

secretary-general and secretaries - general of the EU institutions

C’est en train de se produire : la loi européenne sur l’intelligence artificielle entrera en vigueur dans les prochaines semaines.

Les outils d’IA ont du potentiel, car ils offrent de nouvelles possibilités et améliorent la productivité dans toute une série de secteurs et de domaines, tels que les soins de santé, le développement durable, la recherche scientifique, les entreprises privées et les organisations publiques, y compris les institutions de l’UE. Cependant, les outils d’IA présentent également des risques ; s’ils sont mal utilisés, les personnes vulnérables peuvent être exploitées, par exemple.

En assumant le rôle de superviseur des institutions de l’UE en matière d’IA, le CEPD doit veiller à ce qu’elles soient préparées.
Chaque institution de l’UE, ses développeurs et ses utilisateurs doivent connaître les limites de ces outils. En d’autres termes, quand les utiliser et quand ne pas les utiliser.

Alors que la loi sur l’IA désormais adoptée se concentre sur la définition des grands principes de l’IA, offrant un certain degré de flexibilité pour que la réglementation soit réalisable à la lumière des défis et des développements à venir, dont certains restent inconnus, la mise en pratique de cette loi reste à définir. Le CEPD a élaboré un plan pour l’IA. Il se concentre sur trois éléments clés : la gouvernance, la gestion des risques et la supervision.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Le procureur général auprès de la CJUE : Facebook doit « minimiser » les données personnelles pour les publicités dans l’UE

Aujourd’hui, le procureur général a publié son avis dans l’affaire C-446/21, estimant que  » l’expression publique de son orientation sexuelle par l’utilisateur d’un réseau social rend cette donnée « manifestement publique », sans pour autant autoriser son traitement à des fins de publicité personnalisée ». L’avocat général propose également « à la Cour de juger que le RGPD s’oppose à ce que des données personnelles puissent être traitées à des fins de publicité ciblée sans limitation dans le temps. La juridiction nationale doit pouvoir estimer, sur base notamment du principe de proportionnalité, dans quelle mesure la période de conservation et la quantité des données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données pour une publicité personnalisée. L’association NOYB vous fait part de ses premières réactions.

Court of Justice of the European Union

Disponible sur: noyb.eu

Contrôleur européen de la protection de données (EDPS)

Le texte complet de la décision du Contrôleur européen concernant l’utilisation de Microsoft 365 par la Commission européenne est désormais disponible sur le site de l’EDPS (au total, 180 pages).

Selon un article sur LinkedIn de Thomas Zerdick (attention, lien tracké), chef de service à l’EDPS, les points d’attention du contrôleur ont été les suivants :
* La limitation des finalités : Évaluer l’adhésion de la Commission européenne au principe de limitation de la finalité tel qu’il est inscrit dans le « RGPD des institutions de l’UE » (Règlement 2018/1725) garantissant que les données ne sont traitées que pour des finalités déterminées, explicites et légitimes.
* L’encadrement des transferts internationaux : Évaluer la conformité du traitement avec les exigences du Règlement en matière de transferts internationaux de données, en particulier dans le contexte de l’arrêt Schrems II. Cet aspect est crucial, étant donné la surveillance accrue des transferts de données en dehors de l’UE/EEE.
* Divulgations non autorisées : Enquêter sur les garanties contractuelles contre les divulgations non autorisées de données à caractère personnel.

Toujours selon l’auteur, dans sa décision, le CEPD impose des mesures correctives à la Commission. Notez que le #EUDPR ne permet pas au CEPD d’imposer immédiatement une amende administrative, mais seulement lorsqu’une institution, un organe, un bureau ou une agence de l’UE ne se conforme pas à un ordre du CEPD.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut