Dernières actualités : données personnelles

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Modèle du « Pay or Okay » : NOYB poursuit le DPA de Hambourg

À la suite d’une plainte déposée par le noyb, l’autorité de protection des données de Hambourg (Allemagne) a déclaré que l’utilisation des systèmes controversés « Pay or Okay » était autorisée. Toutefois, la procédure soulève des questions considérables : Bien que l’autorité ait été en dialogue actif avec le magazine d’information DER SPIEGEL, elle n’a pas entendu la personne concernée une seule fois au cours de la procédure. De nombreux faits pertinents n’ont jamais été examinés. Dans une affaire parallèle, l’autorité aurait même activement motivé une entreprise à réclamer de l’argent pour avoir dit « non » à la bannière de cookies. La personne concernée a donc intenté une action en justice contre l’autorité de protection des données auprès du tribunal administratif de Hambourg.

Disponible sur: noyb.eu

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-757/22

Les associations de consommateurs peuvent poursuivre une entreprise pour un manque d’information préalable

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant Meta à une association allemande de consommateur, la Cour de Justice de l’UE a été amenée à préciser les capacités d’action des associations de consommateurs ou de toute autre entité habilitée à introduire des actions représentatives au titre du RGPD. En ce sens, l’article 80 du RGPD prévoit notamment que : « 2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

S’agissant de cet article 80 du RGPD, la CJUE a déjà eu l’occasion de préciser en 2022 qu’une action est possible en l’absence de tout mandat contre le responsable d’un traitement même en invoquant un fondement autre que le RGPD dès lors qu’il existe une violation affectant ou pouvant affecter les droits « RGPD » des personnes concernées (arrêt C-319/20). Cette fois,  la question portait sur le point de savoir si la condition de violation des droits de la personne « du fait de traitement » est remplie lorsqu’une telle action est fondée sur la violation de l’obligation incombant au responsable du traitement d’informer les personnes concernées.

Selon la Cour de Justice, « la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-741/21

Dans un arrêt C-741/21 du 11 avril 2024, la Cour de Justice de l’UE continue de bâtir le régime de responsabilité lié à la protection des données personnelles.

Dans ce nouvel arrêt, elle a estimé que:
* une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne (solution déjà dégagée par l’arrêt C-300/21, et notamment confirmée par l’arrêt C-687/21) ;
* il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 de l’article 82, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité;
* pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.

Disponible sur: curia.europa.eu.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-768/21

Selon l’avocat général Pikamäe, l’autorité de contrôle est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.

Dans l’affaire dont il est question, le commissaire à la protection des données a constaté une violation de la protection des données prévue par le règlement général sur la protection des données (RGPD), mais a conclu qu’il n’y avait pas lieu d’intervenir à l’encontre de la Caisse d’épargne, qui avait déjà pris des mesures disciplinaires à l’encontre de l’employée concernée. L’avocat général Priit Pikamäe estime, au contraire, que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.

À cet égard, le RGPD exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises 2 et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise. Toujours selon l’avocat général, ces principes s’appliqueraient également au régime des amendes administratives.

Disponible (en anglais) sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut