Dernières actualités : données personnelles

En Pologne, le ministère public est sommé d’enquêter sur la fuite de données de Pandabuy[.]com

L’UODO a annoncé aujourd’hui que le tribunal de district de Varsovie-Śródmieście a décidé que le parquet de district de Varsovie-Śródmieście-Północ doit traiter le cas de la commission présumée d’un crime par les auteurs de la publication des données des clients polonais de la plateforme de vente pandabuy[.]com. Lorsque, à la fin du mois de mars 2024, les données des clients polonais (y compris les noms, prénoms et adresses de livraison) ayant fuité de la boutique Pandaby[.]com ont été publiées en ligne sur une carte interactive de la Pologne, le président de l’UODO en a informé le bureau du procureur du district de Śródmieście-Północ de Warszawa.

Dans l’avis de suspicion d’infraction par les créateurs des sites web : « lista-drillowcow[.]pl », “lista drillowcow[.]club” et “lista-drillowcow[.]xyz”, qui contenaient les données des clients du magasin, le président de l’UODO a souligné que la publication de ces données avait eu lieu sans base légale (ce qui, en Pologne, est susceptible d’une amende, d’une peine de restriction de liberté ou d’une peine d’emprisonnement pouvant aller jusqu’à deux ans). Toutefois, le ministère public a d’abord refusé d’ouvrir une enquête sur cette affaire. Le président de l’UODO a donc décidé de déposer une plainte contre cette décision auprès du tribunal, qui, le 15 octobre 2024, l’a prise en compte et a décidé annulé la décision du parquet.

De l’avis du tribunal de district de Varsovie-Śródmieście, les informations et les documents présentés par le président de l’Office pour la protection des données personnelles témoignent d’un soupçon raisonnable de commettre une infraction en vertu de l’article 107, paragraphe 1, de la loi sur la protection des données personnelles [concernant la nécessité d’une base légale pour traiter des données personnelles]. Le tribunal a également admis que les informations présentées par l’UODO ont été confirmées par la police, et par conséquent, le tribunal a estimé que le refus du procureur d’engager des poursuites n’était pas justifié.

Une affaire à suivre, donc !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net part à l’ « assaut contre la vidéosurveillance algorithmique dans nos villes »

La question de pérenniser ou non l’expérimentation de la vidéosurveillance algorithmique (VSA) fait actuellement beaucoup de bruit dans le débat public. Si l’on entend principalement les ministres et préfets au niveau national, c’est aussi – et surtout – à l’échelle locale que ces enjeux se cristallisent. Profitant de l’engouement des Jeux Olympiques et du cadre législatif créé à l’occasion de cet évènement, de nombreuses communes tentent de légitimer et normaliser leurs usages de cette technologie, qui restent pourtant totalement illégaux. Ces manœuvres, qui doivent être révélées et dénoncées, constituent aussi pour les habitant⋅es un levier d’action majeur pour faire entendre leurs voix et exiger l’interdiction de la VSA dans nos villes.

Lorsque nous avons lancé notre campagne contre la VSA au printemps dernier, nous l’affirmions haut et fort : ce qui se joue avec la loi sur les Jeux Olympiques est une grande hypocrisie. La vidéosurveillance algorithmique s’est déployée depuis quasiment une dizaine d’années en toute illégalité dans les villes et les collectivités locales, qui ont acheté des logiciels de VSA à des entreprises de surveillance en quête de profit. Marseille, Reims, Vannes ou encore Moirans… nous avons documenté au fil des mois comment les villes se dotaient de ces outils de surveillance en toute illégalité. La loi JO vient donc légitimer une pratique existante en masquant l’étendue de cette réalité. En effet, le périmètre prévu par la loi ne prévoit la détection que de huit types d’analyses d’images. Or, les entreprises de VSA n’ont jamais caché qu’elles savaient déjà faire bien plus : reconnaissance d’émotions, reconnaissance faciale ou encore suivi et identification des personnes au travers d’attributs physiques… Le rôle de la loi JO apparaît alors comme évident : il s’agissait surtout de créer une première étape pour sortir cette technologie de l’illégalité et amorcer un projet plus large de surveillance de l’espace public.

Disponible sur: laquadrature.net

Intelligence artificielle : la réunion du G7 sur la protection de la vie privée débute

Les travaux du G7 Privacy se sont ouverts aujourd’hui à Rome avec le discours du président du Garante per la protezione dei dati, Pasquale Stanzione. Le thème de la réunion, « La protection de la vie privée à l’ère des données », verra la participation du Collège de l’autorité italienne et des autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que du Conseil européen de la protection des données (CEPD) et du Contrôleur européen de la protection des données (CEPD).

« La protection des données » , a déclaré Pasquale Stanzione, “est de plus en plus une condition préalable à tout autre droit ou liberté, car dans une réalité de plus en plus ”guidée par les données », où nous sommes ce qu’Internet dit que nous sommes, la protection des données est le fondement de l’autodétermination, du libre développement de la personnalité. Mais c’est aussi un présupposé de l’égalité, car elle est incompatible avec toute forme de discrimination et constitue une véritable garantie d’égalité des chances pour tous. C’est encore plus vrai à l’ère des technologies de l’information et de la domination des algorithmes, qui, tout en offrant des opportunités extraordinaires de développement et de progrès avant tout social, requièrent néanmoins une réglementation adéquate pour éviter que l’État de droit ne soit remplacé par l’algocratie”.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024.  N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Commission européenne publie son second rapport sur la mise en oeuvre du RGPD

Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Dans ce nouveau rapport (suivant celui qui a été réalisé en 2020), la Commission estime que pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:
* une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;
* une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;
* une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;
* une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;
* poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Disponible sur: ec.europa.eu

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Protection des données : Le Conseil adopte une position sur les règles d’application du RGPD

Le Conseil de l’UE est parvenu, ce 13 juin 2024,  à un accord sur la position commune des États membres concernant une nouvelle loi qui améliorera la coopération entre les autorités nationales chargées de la protection des données lorsqu’elles appliquent le règlement général sur la protection des données (RGPD).

Selon le communiqué, une fois adopté, le règlement fournira notamment des outils permettant d’accélérer le processus de traitement des plaintes transfrontalières déposées par des citoyens ou des organisations, ainsi que les enquêtes de suivi. Ceci est notamment dû à l’harmonisation des conditions de recevabilité d’une action transfrontalière. Partout dans l’UE où un citoyen dépose une plainte relative à un traitement transfrontalier de données, la recevabilité sera jugée sur la base des mêmes informations. Il clarifie également les délais et les étapes de la procédure d’enquête et d’adoption d’un avis contraignant par le Comité européen de la protection des données (CEPD), l’organisation qui réunit toutes les autorités nationales chargées de la protection des données, en cas de désaccord entre les autorités chargées de la protection des données. Enfin, le nouveau règlement harmonisera les exigences et les procédures permettant au plaignant d’être entendu en cas de rejet d’une plainte et fournira des règles communes sur l’implication du plaignant dans la procédure.

En quelques mots, la position du Conseil maintient l’orientation générale de la proposition de règlement mais modifie le projet sur les points suivants :
* Des délais plus clairs : les États membres introduisent des délais spécifiques qui visent à accélérer le processus de coopération ;
* Coopération renforcée et efficace : le Conseil soutient la nouvelle procédure de coopération renforcée entre les autorités chargées de la protection des données, mais prévoit également la possibilité de ne pas appliquer toutes les règles supplémentaires lorsqu’une affaire est plus simple et plus directe. Cela permet aux autorités chargées de la protection des données d’éviter la charge administrative et d’agir rapidement dans les cas non litigieux et de tirer parti des règles de coopération supplémentaires nouvellement introduites pour les enquêtes plus complexes.
* Mécanisme de résolution rapide : le Conseil introduit un mécanisme de résolution anticipée qui permet aux autorités de résoudre une affaire avant d’entamer les procédures standard de traitement d’une plainte transfrontalière. Cela peut être le cas lorsque l’entreprise ou l’organisation en question a remédié à l’infraction ou lorsqu’un règlement à l’amiable de la plainte a été trouvé.

Disponible (en anglais) sur: consilium.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Le RGPD en pratique : dans un rapport, l’Agence européenne des droits fondamentaux (FRA) met une nouvelle fois en lumière un manque de ressources des autorités

Avant la deuxième évaluation de la mise en oeuvre du RGPD en application de son article 97, la Commission européenne a demandé à la FRA de collecter des données sur les expériences, les défis et les pratiques identifiés par les autorités chargées de la protection des données dans la mise en œuvre du Règlement. En réponse à cette demande, entre juin 2022 et juin 2023, la FRA a entrepris 70 entretiens qualitatifs avec des représentants d’APD des 27 États membres de l’UE. Trois membres du personnel ont été interrogés séparément dans chaque APD, à l’exception de cinq APD, où moins de membres du personnel ont été interrogés.

Le rapport publié par la FRA examine certains des défis et des pratiques prometteuses identifiés et mis en évidence par le personnel des autorités de protection des données. Il ne fournit pas d’analyse juridique comparative, ni d’analyse approfondie du travail des autorités de protection des données sur la base de données qualitatives, telles que les budgets annuels des autorités de protection des données, le nombre de plaintes reçues ou le nombre d’enquêtes menées. L’objectif du rapport est de compléter ces données – disponibles dans les rapports des autorités de protection des données, du Comité européen de la protection des données (CEPD) et de la Commission européenne – par des exemples concrets et détaillés de pratiques développées et de difficultés rencontrées par les autorités de protection des données.

En particulier, quatre domaines clés liés aux défis rencontrés par les autorités chargées de la protection des données lors de la mise en œuvre du RGPD ont été identifiés : l’indépendance des autorités, leurs pouvoirs de surveillance et leurs pouvoirs consultatifs, et la coopération établie par les autorités de protection des données avec d’autres régulateurs au niveau national et avec d’autres autorités de protection des données et l’EDPB au niveau de l’UE.

Le rapport précise que tous ces domaines sont influencés, directement ou indirectement, par la disponibilité des ressources humaines, financières et techniques des APD. Alors que plusieurs rapports aux niveaux national et européen ont déjà souligné que les autorités de protection des données manquent de ressources dans l’ensemble de l’UE, l’étude de la FRA fournit une compréhension pratique des difficultés diverses et multiples auxquelles les autorités de protection des données sont confrontées dans la gestion quotidienne de l’exécution de leur mandat et dans l’application du droit à la protection des données dans l’UE. L’étude identifie également les solutions développées pour atténuer ces difficultés. En outre, elle recueille des détails sur les pratiques prometteuses que les autorités chargées de la protection des données ont développées pour atténuer les défis auxquels elles sont confrontées dans la mise en œuvre du RGPD.

Disponible (en anglais) sur: fra.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Déclaration du commissaire Breton sur les mesures annoncées par LinkedIn pour se conformer aux dispositions du DSA sur la publicité ciblée

La Commission prend note de l’annonce faite par LinkedIn de la désactivation totale de la fonctionnalité permettant aux annonceurs de cibler les utilisateurs de LinkedIn avec des publicités sur la base de leur appartenance à des groupes LinkedIn dans le marché unique de l’UE.

Cette décision fait suite à la demande d’information de la Commission visant à vérifier la conformité de cette fonctionnalité avec la loi sur les services numériques, à la suite d’une plainte déposée par des organisations de la société civile. Selon la plainte, grâce à cette fonctionnalité, LinkedIn pourrait avoir donné aux annonceurs la possibilité de cibler les utilisateurs de LinkedIn sur la base de catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement général sur la protection des données, telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, telles qu’elles ressortent de la participation des utilisateurs à des groupes LinkedIn. Si elle était confirmée, cette possibilité aurait pu constituer une violation de l’interdiction de présenter des publicités ciblées fondées sur des catégories particulières de données à caractère personnel prévue par le règlement général sur la protection des données.

Thierry Breton, commissaire européen chargé du marché intérieur, a déclaré :
« À la suite d’une plainte de la société civile, nous avons demandé en mars à LinkedIn d’expliquer comment il respecte l’interdiction de présenter des publicités ciblées fondées sur des données personnelles sensibles, telles que l’orientation sexuelle, les opinions politiques ou la race, imposée par la DSA. En conséquence, LinkedIn interrompt volontairement la fonctionnalité en question. La Commission surveillera la mise en œuvre effective de l’engagement public de LinkedIn afin de garantir le respect total de l’ASD. Nous resterons vigilants, mais il est positif de voir que l’ASD apporte des changements qu’aucune autre loi n’a atteints jusqu’à présent, en Europe et au-delà. »

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.