Dernières actualités : données personnelles

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

La Commission envoie des conclusions préliminaires à Meta concernant son modèle « Pay or Consent » pour violation de la loi sur les marchés numériques (Digital Markets Act)

Ce 1er juillet 2024, la Commission annonce dans un communiqué de presse avoir informé Meta de ses conclusions préliminaires selon lesquelles son modèle publicitaire « pay or consent » n’est pas conforme à la loi sur les marchés numériques (DMA). Selon l’avis préliminaire de la Commission, ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée mais équivalente des réseaux sociaux de Meta.

En effet,  en vertu de l’article 5, paragraphe 2, du DMA, les « gatekeepers » doivent demander le consentement des utilisateurs pour combiner leurs données personnelles entre les services de la plateforme principale désignée et d’autres services, et si un utilisateur refuse ce consentement, il doit avoir accès à une alternative moins personnalisée mais équivalente. Les « gatekeepers » ne peuvent pas subordonner l’utilisation du service ou de certaines fonctionnalités au consentement de l’utilisateur. La Commission, qui a travaillé en collaboration avec les autorités de protection des données compétentes, estime, à titre préliminaire, que le modèle publicitaire « pay or consent » de Meta n’est pas conforme au RGPD, car il ne remplit pas les conditions nécessaires énoncées à l’article 5, paragraphe 2. En particulier, le modèle de Meta:

* ne permet pas aux utilisateurs d’opter pour un service qui utilise moins de données à caractère personnel, mais qui est par ailleurs équivalent au service basé sur les « annonces personnalisées ».
* ne permet pas aux utilisateurs d’exercer leur droit de consentir librement à la combinaison de leurs données personnelles.

Disponible sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.