Dernières actualités : données personnelles

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La décision de l’autorité dans l’affaire de la divulgation de données incorrectes sur les défauts de paiement est devenue définitive

En novembre 2021, l’autorité a ordonné au « Registre judiciaire » de corriger ses pratiques concernant [son absence de] contrôle de l’exactitude des informations sur les défauts de paiement communiquées aux agences de crédit. En deux mots, les informations fondées sur des jugements dans des affaires civiles étaient inscrites comme des défauts de paiement dans le registre de crédit, ce qui portait préjudice aux personnes concernées.

Après avoir mené l’enquête, l’autorité a estimé que les informations fondées sur des jugements dans des affaires civiles n’auraient pas dû être inscrites comme défauts de paiement dans le registre de crédit notamment dans la mesure où cette inscription ne démontre pas l’insolvabilité ou la mauvaise volonté de paiement d’une personne dans les cas où l’obligation de paiement est légitimement contestée. Elle a également constaté que Registre judiciaire avait communiqué aux agences de crédit des informations qui ne répondaient pas aux conditions requises par la loi sur le crédit pour les inscriptions de défauts de paiement. Ainsi, l’autorité a adressé un avertissement au Registre judiciaire pour traitement non conforme des données personnelles au regard du règlement sur la protection des données.

Au cours des péripéties judiciaires qui s’en sont suivies, le tribunal administratif d’Helsinki a maintenu la décision de l’autorité telle quelle, et la Cour suprême administrative n’a pas accordé d’autorisation de recours en août 2024 dans cette affaire. Par conséquent, la décision de l’Adjoint au délégué à la protection des données est devenue définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne ouvre une consultation publique sur un projet de modifications des CCT (SCCs en anglais)

La Commission européenne lance une consultation publique sur les nouvelles CCT de l’UE – en vue d’une adoption au 2e trimestre 2025. Les nouvelles CCT ont pour ambition de couvrir la situation où l’importateur de données est situé dans un pays tiers mais est directement soumis au RGPD – une lacune dans les CCT actuelles qui a été une nouvelle fois mise en lumière par l’amende récente d’Uber. Pour rappel, l’autorité néerlandaise avait constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. (société néerlandaise) et UBER TECHNOLOGIES INC. (société américaine) sont responsables conjoints font l’objet de transferts vers les États-Unis en l’absence de garanties appropriées entre le 6 août 2021 et le 21 novembre 2023.

Le projet des nouvelles CCT n’est pas encore disponible au public, mais il s’agit très certainement d’une affaire à suivre.

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.