Dernières actualités : données personnelles

NOYB – None of your business

La Cour fédérale allemande réalise un virement de jurisprudence en matière d’indemnisation des préjudices en lien avec le RGPD

Dans un arrêt de principe d’hier, la Cour fédérale de justice a jugé que la simple perte de contrôle de ses propres données personnelles peut constituer un préjudice indemnisable au titre du RGPD, à condition que ce préjudice soit dû à une violation du Règlement. Ce faisant, la Cour suprême allemande a décidé de suivre la jurisprudence de la CJUE (voir C-200/23) alors qu’elle y était jusqu’à présent plutôt hostile (comme le décrit NOYB dans l’article). D’autres préjudices, tels que l’utilisation abusive des données ou d’autres conséquences négatives, ne sont pas nécessaires pour accorder des dommages-intérêts aux personnes concernées en vertu du GDPR. Même si la Cour fédérale allemande traitait spécifiquement d’une violation de données sur Facebook, les déclarations contenues dans l’arrêt peuvent probablement s’appliquer à d’autres scénarios dans lesquels les personnes concernées sont illégalement privées du contrôle de leur vie privée.

Dans son article, NOYB se félicite ainsi de la décision importante rendue hier par la Cour fédérale de justice allemande dans une affaire concernant Facebook.
Bundesgerichtshof Deutschland

Disponible sur: noyb.eu

ICO (autorité anglaise)

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d’assistance au contentieux). Ce Code de conduite est le fruit de l’article 40 du « UK GDPR » [équivalent de l’article 40 du RGPD européen], selon lequel les organisations peuvent créer des codes de conduite qui identifient et abordent les questions de protection des données qui sont importantes pour leur secteur. Ce code, auquel les enquêteurs du secteur privé peuvent adhérer, apportera certitude et assurance à ceux qui utilisent leurs services, en garantissant que les enquêteurs se conforment aux exigences du GDPR britannique.

Il aidera les enquêteurs à relever le défi de mener des enquêtes tout en respectant le droit à la vie privée des personnes. Le code aborde les principales questions de protection des données auxquelles est confronté le secteur des enquêtes privées. Par exemple, les rôles et responsabilités des membres du code lorsqu’ils agissent en tant que contrôleurs de données, contrôleurs conjoints ou processeurs, et quand et comment réaliser une évaluation de l’impact de la protection des données. Il aide également les membres du code à identifier et à documenter la base légale correcte pour le traitement invisible – y compris la surveillance secrète, les dispositifs de repérage, les vérifications d’antécédents et la surveillance des médias sociaux. D’autres conseils sont également inclus, avec des exemples, pour tracer et localiser légalement des personnes.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF)

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé par la Commission et la présidence du Conseil) sur l’accès aux données pour une application efficace de la loi. S’agissant de ce premier sujet, globalement, l’EDPB salue les efforts déployés par les autorités américaines et la Commission européenne pour mettre en œuvre le DPF et prend note de plusieurs évolutions intervenues depuis l’adoption de la décision d’adéquation en juillet 2023 :

  • En ce qui concerne les aspects commerciaux, c’est-à-dire l’application et le respect des exigences applicables aux entreprises autocertifiées au titre de ce cadre, l’EDPB note que le ministère américain du commerce a pris toutes les mesures pertinentes pour mettre en œuvre le processus de certification. Il s’agit notamment de développer un nouveau site web, de mettre à jour les procédures, de nouer le dialogue avec les entreprises et de mener des activités de sensibilisation.
  • En outre, le mécanisme de recours pour les citoyens de l’UE a été mis en œuvre et des orientations complètes sur le traitement des plaintes ont été publiées de part et d’autre de l’Atlantique. Toutefois, le faible nombre de plaintes reçues jusqu’à présent dans le cadre du DPF souligne l’importance pour les autorités américaines de lancer des activités de surveillance concernant la conformité des entreprises certifiées par le CPD avec les principes fondamentaux du DPF. L’EDPB encourage les autorités américaines à élaborer des orientations clarifiant les exigences que les entreprises certifiées par le CPD devraient respecter lorsqu’elles transfèrent des données à caractère personnel qu’elles ont reçues d’exportateurs de l’UE. Des directives des autorités américaines sur les données relatives aux ressources humaines seraient également les bienvenues. L’EDPB se déclare disposé à fournir un retour d’information sur ces documents d’orientation.
  • En ce qui concerne l’accès des autorités publiques américaines aux données à caractère personnel transférées de l’UE vers des organisations certifiées, l’EDPB s’est concentré sur la mise en œuvre effective des garanties introduites par le décret présidentiel 14086 dans le cadre juridique américain, telles que les principes de nécessité et de proportionnalité et le nouveau mécanisme de recours. Le comité estime que les éléments du mécanisme de recours sont en place; dans le même temps, elle renouvelle son appel à la Commission européenne pour qu’elle contrôle le fonctionnement pratique des différentes garanties, par exemple la mise en œuvre des principes de nécessité et de proportionnalité. L’EDPB recommande également à la Commission de suivre les évolutions futures liées à la loi américaine sur la surveillance du renseignement étranger, en particulier compte tenu de la portée étendue de l’article 702 après sa réautorisation par le Congrès des États-Unis au début de cette année.

Enfin, le comité recommande que le prochain réexamen de la décision d’adéquation UE-États-Unis ait lieu dans un délai de trois ans ou moins.

Disponible sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité norvégienne)

L’autorité norvégienne adresse une réprimande à Disqus

Aujourd’hui, l’autorité norvégienne de protection des données a annoncé avoir adressé un blâme à Disqus. Cette décision fait suite à la divulgation par l’entreprise, sans base légale, de données personnelles sur des personnes concernées en Norvège.

Disqus est une société américaine qui propose, entre autres, des solutions de champs de commentaires et de la publicité programmatique pour les sites web. Entre juillet 2018 et décembre 2019, Disqus a fourni ses services à plusieurs sites norvégiens, dont TV2, Adressa, et Khrono, sans se conformer aux règles de confidentialité de l’UE. La solution utilisée collectait des données telles que les adresses IP, les identifiants d’utilisateur et l’activité des visiteurs, qui étaient partagées en temps réel avec le siège de Disqus, Zeta Global, basé en dehors de l’Espace économique européen (EEE). Disqus n’a pas recueilli de consentement valide de la part des utilisateurs pour ce traitement. Au cours de son enquête, l’autorité norvégienne de protection des données a appris que Disqus avait supposé à tort que le règlement général sur la protection des données ne s’appliquait pas en Norvège grâce à des articles parus dans les médias en 2019. 

L’enquête menée par l’autorité norvégienne a permis de confirmer les faits :
* Disqus a traité les données des utilisateurs sans base légale valide, en violation de l’article 6(1) du RGPD.  En particulier, Disqus n’a pas obtenu un consentement valable pour le traitement des données, se basant uniquement sur les réglages de cookies dans le navigateur, ce qui ne respecte pas les exigences de consentement libre, informé et spécifique du RGPD.
* Les données collectées étaient transmises en temps réel à Zeta Global, aux Etats-Unis, sans garantie de protection adéquate des informations pour les utilisateurs en Norvège.

Dans le cadre de cette affaire, en 2021, l’autorité norvégienne de protection des données avait averti Disqus d’une possible amende de 25 millions de NOK (environ 2 millions d’euros) pour ces violations du RGPD liées à la collecte et à la transmission non autorisée de données personnelles de visiteurs norvégiens vers la société mère, Zeta Global. Suite à de nombreux échanges, l’autorité norvégienne de protection des données a finalement décidé de réprimander Disqus pour les manquements constatés, sans infliger d’amende. Cette décision est fondée sur la durée de traitement de l’affaire et sur le fait que Disqus a supprimé les données concernées. Toutefois, l’Autorité a rappelé à Disqus ses obligations et a averti qu’une récidive pourrait entraîner des sanctions financières.

Disponible (en norvégien) sur: datatilsynet.no
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C‑507/23

En cas de violation de données, des excuses peuvent suffire à réparer le dommage moral, mais la bonne foi du responsable de traitement n’importe pas

Dans un arrêt publié ce jour, la Cour a d’abord rappelé qu’une violation de dispositions du RGPD ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. S’agissant de ce dommage, la CJUE a alors ajouté que : 
1- La présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
2- Le RGPD s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Retour en haut