Dernières actualités : données personnelles

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les modèles « Consent or Pay » devraient offrir un véritable choix

Bruxelles, le 17 avril – Lors de sa dernière session plénière, l’EDPB a adopté un avis à la suite d’une demande au titre de l’art. 64(2) du RGPD par les autorités de protection des données (DPA) néerlandaises, norvégiennes et hambourgeoises. L’avis porte sur la validité du consentement au traitement des données à caractère personnel à des fins de publicité comportementale dans le contexte des modèles « consentement ou paiement » déployés par les grandes plateformes en ligne.

En ce qui concerne les modèles de « consentement ou paiement » mis en œuvre par les grandes plateformes en ligne (le terme n’ayant pas la même définition que pour le DMA/DSA), l’EDPB considère que, dans la plupart des cas, il ne leur sera pas possible de se conformer aux exigences relatives à un consentement valable s’ils ne donnent aux utilisateurs que le choix entre consentir au traitement des données à caractère personnel à des fins de publicité comportementale et payer une redevance. L’EDPB considère que les grandes plateformes en ligne devraient envisager de fournir aux individus une « alternative équivalente » qui n’implique pas le paiement d’une redevance. Si les responsables du traitement choisissent de faire payer l’accès à l' »alternative équivalente », ils doivent envisager sérieusement d’offrir une alternative supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de moins ou pas de données à caractère personnel. Il s’agit d’un facteur particulièrement important dans l’évaluation d’un consentement valable au titre du RGPD.

[Ajout contextuel Portail RGPD: Le CEPD semble ne pas totalement fermer la porte à la pratique du « Pay or Okay », mais il semble chercher à la restreindre autant que possible, quitte à la rendre quasiment impraticable. Il précise néanmoins que, le cas échéant, les autorités devront procéder à des analyses au cas par cas, en ce compris l’évaluation du caractère approprié et proportionnel du montant fixé par le responsable de traitement. D’après certaines analyses, cela pourrait être un moyen pour le CEPD d’éviter l’annulation de son avis par le CJUE au motif qu’il ne serait pas compétent pour interdire la pratique de manière générale (tout comme le Conseil d’Etat avait annulé les lignes directrices de la CNIL en matière de cookies sur ce fondement il y a quelques années).]

Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.