Dernières actualités : données personnelles

La Tribune

« L’alliance entre @MistralAI et @Microsoft met fin à l’illusion de l’indépendance technologique européenne. »

Selon le média, « alors qu’il défendait mordicus l’open source comme valeur cardinale pour s’imposer face aux géants américains, le champion français de l’intelligence artificielle, Mistral AI, a développé son plus puissant modèle de langage de manière fermée, et a conclu un partenariat pour l’heure exclusif avec Microsoft pour sa distribution, laissant même l’Américain entrer symboliquement à son capital. Si ce virage stratégique aux allures de séisme fait sens d’un point de vue économique et bénéficie du soutien de la France, il rend furieux à Bruxelles et parmi les défenseurs de l’IA européenne. Par ricochet, l’entrée de Mistral, comme OpenAI avant lui, dans le giron du géant Microsoft, est une claque pour la souveraineté numérique européenne, et acte la position déjà dominante des Américains dans la course à l’intelligence artificielle ».

Cette annonce aurait provoqué un tollé à la Commission européenne. « Les législateurs ont été pris par surprise lundi, lorsque Microsoft a annoncé qu’elle avait investi 15 millions d’euros (16 millions de dollars) dans la société Mistral, basée à Paris, et qu’elle mettrait bientôt les modèles d’IA de la société à disposition » via sa plateforme Azure, explique l’agence de presse Reuters. En particulier, les députés européens dénoncent « le double jeu joué par Mistral durant les discussions sur l’AI Act », qui se présentait comme « un champion européen à protéger ».

Disponible sur: latribune.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour de cassation

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse,  « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne.  » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.

Contrôleur européen de la protection de données

Action coordonnée pour l’application de la législation: le droit d’accès aux données à caractère personnel

phone, lock, password to symbolise the right of access

Le Contrôleur européen participe à l’action coordonnée d’exécution du Comité européen de la protection des données (CEPD) sur la manière dont le droit d’accès des personnes est abordé spécifiquement dans les institutions, organes et organismes de l’UE, aux côtés des 27 autres autorités de protection des données (APD) dans l’ensemble de l’Espace économique européen (EEE).

Le droit d’accès est au cœur de la protection des données, permettant aux particuliers de vérifier si leurs données à caractère personnel sont traitées de manière conforme par des organisations ou des IUE, ce qui permet souvent l’exercice de leurs autres droits, tels que le droit de rectification ou d’effacement des données. Il s’agit donc de l’un des droits les plus fréquemment exercés en matière de protection des données et pour lequel les APD reçoivent de nombreuses plaintes chaque année.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Conseil d’Etat : La protection des données personnelles à l’épreuve du fichage des intervenants audiovisuels

Conseil d’Etat : La protection des données personnelles à l’épreuve du fichage des intervenants audiovisuels

Par Haas Avocats

Saisi par Reporter Sans Frontières, le Conseil d’Etat a rendu, le 13 février 2024, une décision qualifiée « d’historique » en matière de communication audiovisuelle1.

Disponible sur: haas-avocats.com

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Le CLOUD fiché par la CNIL !

Le CLOUD fiché par la CNIL !

Par Haas Avocats

La CNIL publie deux fiches pour éclairer les acteurs ayant recours au CLOUD et notamment au chiffrement et l’utilisation d’outils de sécurité et de performance.

Disponible sur: haas-avocats.com

NOYB – None of your business

28 ONG demandent aux autorités de protection des données de l’UE de rejeter le « Pay or Okay » sur Meta

Le Comité européen de la protection des données (CEPD) publiera bientôt ce qui devrait être son avis le plus important à ce jour

Bathtup Pay or Okay

Disponible sur: noyb.eu

APD (autorité belge)

L’autorité de protection des données belge sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence

L’APD a imposé [le 16 janvier] à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.

[Ajout contextuel Portail RGPD: Au point 109 (lu via une traduction), l’APD belge indique que la « conformité avec le principe d’exactitude des données ne saurait justifier une collecte non restreinte des données personnelles, l’objectif principal de la collecte étant de créer une base de données aussi complète et précise que possible. Dès lors, la nécessité de traiter et d’enrichir les données dans les bases de données pour la conformité avec le principe d’exactitude n’a pas été démontré ». Ainsi, le principe d’exactitude trouve sa limite dès lors que son application nécessiterait une collecte de données trop importante. ]

Disponible sur: autoriteprotectiondonnees.be. La décision complète (en néerlandais) est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-33/22

Une commission d’enquête parlementaire doit en principe respecter le règlement général sur la protection des données

Dans un arrêt publié hier, la Cour de Justice de l’UE a estimé que « même une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôler le pouvoir exécutif doit, en principe, respecter le RGPD. » Selon elle: « ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité« .
De plus, lorsqu’il n’y a, dans cet État membre, qu’une seule autorité de contrôle, celle-ci est, en principe,  compétente pour contrôler le respect du RGPD par la commission d’enquête. En revanche, lorsque la commission d’enquête exerce effectivement une activité visant comme telle à préserver la sécurité nationale, elle n’est pas soumise au RGPD ni, par conséquent, au contrôle de l’autorité de contrôle.

[Ajout contextuel Portail RPGD: Cet arrêt est particulièrement intéressant car, dans cette affaire, l’APD autrichienne a rejeté la réclamation d’un particulier au motif que le principe de la séparation des pouvoirs s’oppose à ce que cette autorité, en tant que branche du pouvoir exécutif, contrôle le respect du RGPD par la commission d’enquête, laquelle relève du pouvoir législatif. Dès lors, nous pouvons en conclure que le principe de la séparation des pouvoirs ne fait pas obstacle à l’application du RGPD et au contrôle de son application par l’autorité compétente (même unique).]

Disponible sur: curia.europa.eu. L’arrêt concerné (C-33/22) est également publié sur le site CURIA (associé à d’autres documents tels que des résumés).

Retour en haut