Dernières actualités : données personnelles

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut