Dernières actualités : données personnelles

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les États-Unis prolongent finalement de 2 ans la loi FISA : les services secrets américains pourront continuer à nous espionner jusqu’en 2026

La loi d’espionnage FISA, qui autorise le Renseignement américain à collecter les communications de non citoyens américains à l’étranger – ce qui comprend bien les Européens – a finalement été prolongé de deux ans. Le projet de loi était vivement critiqué par les défenseurs de la vie privée des Américains. Avec ce texte, davantage de sociétés devraient coopérer avec le Renseignement américain, selon des juristes. Pour les défenseurs des droits européens, c’est une mauvaise nouvelle. Le FBI, la NSA ou la CIA pourront continuer à nous espionner, jusqu’en 2026.

À côté de la question de son renouvellement, les critiques s’étaient intensifiées outre-Atlantique, lorsque la chambre basse a ajouté un amendement qui « forcerait tout le monde à devenir des espions de la NSA », selon ses opposants. Une disposition du projet de loi vise en effet à étendre le champ d’application des « fournisseurs de services de communications électroniques », la catégorie d’entreprises qui doit coopérer avec le Renseignement américain. Cet amendement a bien été voté dans le projet de loi au Sénat, selon le texte accessible ce samedi 20 avril sur le site du Sénat américain.

[Ajout contextuel Portail RGPD: Cette proposition d’extension a déjà été discutée en décembre à l’occasion du renouvellement de la loi jusqu’en avril, mais n’était alors pas passée avec le texte final. L’idée était d’étendre le texte à « tout fournisseur de services qui a accès à des communications électroniques ou par fil, soit au moment où ces communications sont transmises, soit au moment où ces communications sont stockées », alors qu’il était jusqu’alors concentrée sur les fournisseurs de télécommunications ou de moyens de communications. Le champ est également étendu aux « équipements qui sont ou peuvent être utilisés pour transmettre ou stocker ces communications » , ce qui inclurait notamment les serveurs.
Cette réforme a finalement été remise sur la table, et est cette fois passée. Comme mentionné en décembre, celle-ci pourrait bien sonner la fin prochaine de la décision d’adéquation des Etats-Unis. Plus d’éléments sont disponibles sur l’article précédent.]

Disponible  sur: 01net.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

🚨 Fausse alerte :  La Chambre a adopté une prolongation de deux ans de la Section 702 de la FISA à l’occasion un vote extrêmement serré (une égalité 212-212 ), et a rejeté des réformes essentielles pour mettre fin à l’abus rampant de la loi qui a été bien documenté.

Selon l’association, la surveillance sans mandat prévue par la FISA 702 est censée ne viser que des sujets étrangers, mais dans la pratique, elle englobe un très grand nombre de communications d’Américains. Cela permet aux agences de renseignement d’exploiter une faille dans les recherches : le FBI, la CIA et la NSA effectuent des « recherches sur des personnes américaines » dans les dossiers FISA 702 afin d’extraire délibérément des messages privés d’Américains, le tout sans mandat ni approbation d’un tribunal. Cette faille a conduit à des abus systémiques, impliquant des milliers de requêtes inappropriées chaque année, y compris celles visant des manifestants, des donateurs de campagne, des journalistes, des législateurs et, dans un cas, les rencontres en ligne d’un analyste.

Disponible (en anglais) sur: cdt.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Présentation d’un nouveau projet de loi fédérale sur la protection de la vie privée aux États-Unis

À la surprise générale, deux membres importants du Congrès américain ont rendu public, le 5 avril, un projet de loi fédérale bipartisane et bicamérale sur la protection de la vie privée.

Un peu plus de deux ans après la dernière tentative significative d’élaboration d’une loi nationale sur la protection de la vie privée, la présidente de la commission de l’énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers, et la sénatrice Maria Cantwell, présidente de la commission sénatoriale du commerce, des sciences et des transports, se sont exprimées officiellement dimanche sur le projet de loi nouvellement publié. Le projet de loi est également disponible sous la forme d’un projet de discussion section par section. Dans un développement surprenant rapporté pour la première fois fin avril, deux membres clés du Congrès américain ont rendu public un projet de loi fédéral bipartisan et bicaméral sur la protection de la vie privée.

Avec ses 53 pages, la proposition de loi américaine sur les droits à la vie privée comprend des exigences sur la minimisation des données, les droits des consommateurs à refuser la publicité ciblée et à consulter, corriger, exporter ou supprimer leurs données. En outre, le projet de loi contient des dispositions relatives à la sécurité des données, une section sur la « responsabilité exécutive » et un registre national des courtiers en données (également appelés « data brokers »). Des dispositions sont également prévues pour empêcher les organisations d’imposer des arbitrages obligatoires en cas d’atteinte importante à la vie privée.

Disponible (en anglais) sur: iapp.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ».

Comme annoncé hier sur le Portail RGPD, les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ». D’après eWatchers, le décret donnera le pouvoir à l’Administration états-unienne de s’opposer aux transferts de gros volumes de données personnelles vers certains pays jugés « préoccupants », la Chine (dont Hong Kong et Macao), la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela, lorsque le transfert « présente un risque inacceptable pour la sécurité nationale des États-Unis ». Les États-Unis jugent, en effet, que « les gouvernements de ces pays peuvent chercher à accéder à des données personnelles sensibles et à les utiliser d’une manière qui n’est pas conforme aux valeurs démocratiques, à la protection de la vie privée et aux autres droits et libertés de l’homme ».

Plus d’informations sont disponibles ci-dessous.

Disponible sur: ewatchers.org Le texte complet de l’Executive Order est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le président Biden publie un décret (« Executive Order ») visant à protéger les données personnelles sensibles des Américains

Aujourd’hui, le président Biden publiera un décret visant à protéger les données personnelles sensibles des Américains contre l’exploitation par des pays dits « préoccupants ». Ce décret, qui constitue la mesure la plus importante jamais prise par un président pour protéger la sécurité des données des Américains, autorise le procureur général à empêcher le transfert à grande échelle de données personnelles d’Américains vers des pays préoccupants et prévoit des garanties pour d’autres activités susceptibles de permettre à ces pays d’accéder à des données sensibles d’Américains.

Selon la Maison Blanche, le décret se concentre sur les informations les plus personnelles et les plus sensibles des Américains, notamment les données génomiques, les données biométriques, les données de santé personnelle, les données de géolocalisation, les données financières et certains types d’informations personnelles identifiables. Les acteurs malveillants peuvent utiliser ces données pour suivre les Américains (y compris les militaires), s’immiscer dans leur vie privée et transmettre ces données à d’autres courtiers en données et à des services de renseignement étrangers. Ces données peuvent permettre une surveillance intrusive, des escroqueries, du chantage et d’autres violations de la vie privée.

Disponible sur: whitehouse.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée..