Dernières actualités : données personnelles

Commission européenne

13 septembre 2024

La Commission européenne ouvre une consultation publique sur un projet de modifications des CCT (SCCs en anglais)

La Commission européenne lance une consultation publique sur les nouvelles CCT de l’UE – en vue d’une adoption au 2e trimestre 2025. Les nouvelles CCT ont pour ambition de couvrir la situation où l’importateur de données est situé dans un pays tiers mais est directement soumis au RGPD – une lacune dans les CCT actuelles qui a été une nouvelle fois mise en lumière par l’amende récente d’Uber. Pour rappel, l’autorité néerlandaise avait constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. (société néerlandaise) et UBER TECHNOLOGIES INC. (société américaine) sont responsables conjoints font l’objet de transferts vers les États-Unis en l’absence de garanties appropriées entre le 6 août 2021 et le 21 novembre 2023.

Le projet des nouvelles CCT n’est pas encore disponible au public, mais il s’agit très certainement d’une affaire à suivre.

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

26 août 2024

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Commission européenne

25 août 2024

Cadre de protection des données entre l’UE et les États-Unis : consultation publique sur son fonctionnement

Le 10 juillet 2023, la Commission européenne a adopté une décision d’adéquation (C(2023) 4745 final) sur le cadre UE-États-Unis de protection des données (DPF). Ce nouveau cadre vise à fournir une protection solide aux Européens et à apporter une sécurité juridique aux transferts transatlantiques de données à caractère personnel. Sur la base de la décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines qui participent au cadre.

Ce cadre a apporté des améliorations significatives par rapport au mécanisme de transfert précédent (le bouclier de protection de la vie privée UE-États-Unis). Il a notamment introduit de nouvelles garanties contraignantes et exécutoires pour répondre à toutes les préoccupations soulevées par la Cour de justice des Communautés européennes dans l’arrêt Schrems II. Il s’agit notamment de limiter l’accès des agences de renseignement américaines aux données de l’UE à ce qui est nécessaire et proportionné, et de créer un mécanisme de recours indépendant et impartial doté de pouvoirs d’arbitrage et de réparation (par la création de la Cour de contrôle de la protection des données) ouvert aux particuliers de l’UE. Les garanties relatives à l’accès des gouvernements aux données complètent les obligations que les entreprises américaines qui importent des données de l’UE doivent respecter pour bénéficier de la décision d’adéquation, et qui sont mises en œuvre par la Commission fédérale du commerce des États-Unis.

Cette décision garantit que les données à caractère personnel peuvent circuler librement de l’UE vers les entreprises participantes aux États-Unis. La décision (conforme au règlement général sur la protection des données) prévoit un réexamen périodique. Le premier doit avoir lieu dans un délai d’un an afin d’évaluer si toutes les parties du cadre sont en place et fonctionnent comme prévu. Ce rapport présentera les résultats et les conclusions du premier examen.
Afin de construire ce rapport, la Commission a lancé un appel à contributions, ouvert jusqu’au 6 septembre 2024. N’hésitez pas à participer !

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

31 juillet 2024

L’EDPS dévoile un nouveau modèle pour des transferts plus sûrs de données à caractère personnel entre les institutions de l’UE et les organisations internationales

Le contrôleur européen a publié aujourd’hui son modèle d’arrangement administratif (modèle) pour les transferts de données à caractère personnel des institutions, organes et organismes de l’UE (IUE) vers les organisations internationales. Le modèle vise à aider les institutions européennes à se conformer à la législation européenne applicable en matière de protection des données, le règlement (UE) 2018/1725, lorsqu’elles doivent transférer des données à caractère personnel à des organisations internationales, dans le cadre de leur rôle.

Wojciech Wiewiórowski, EDPS, a déclaré : « En fonction de la nature de leur travail, les IUE peuvent être amenées à transférer des données à caractère personnel à des organisations internationales pour atteindre des objectifs importants, tels que la fourniture d’une assistance alimentaire ou la défense des droits des personnes, par exemple. Dans ce contexte, l’une des priorités de mon institution est de veiller à ce que les données personnelles des individus soient protégées conformément aux normes de l’UE, tant à l’intérieur qu’à l’extérieur de l’UE/Espace économique européen. Le nouveau modèle d’arrangement administratif permet aux institutions européennes de se préparer efficacement à d’éventuels transferts de données à caractère personnel vers des organisations internationales, et ce de manière globale ».

Pour assurer son application pratique par les IUE, le modèle met l’accent sur les principes fondamentaux de la protection des données et met en place les garanties nécessaires, afin d’assurer un niveau de protection essentiellement équivalent à celui garanti par la législation de l’UE. En tant que tels, les arrangements administratifs conclus par les IUE avec les organisations internationales en utilisant le modèle publié aujourd’hui continueront à nécessiter l’approbation du CEPD. Toutefois, son utilisation par les IUE facilitera grandement la procédure d’approbation, dans l’intérêt des deux parties et des personnes concernées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

European Data Protection Board (EDPB)

17 juillet 2024

EU-US Data Privacy Framework (DPF): L’EDPB publie une foire aux questions pour les personnes concernées mais et une autre pour les entreprises

Au cours de sa séance du 16 juillt 2024, l’EDPB a adopté 2 foires aux question afin d’aider les personnes concernées mais également les entreprises à « naviguer » parmi les règles relatives au Data Privacy Framework, qui encadre les transferts de données vers les Etats-Unis. En guise d’introduction, l’EDPB rappelle que les entreprises qui se sont auto-certifiées dans le cadre du DPF doivent se conformer à ses principes, règles et obligations en matière de traitement des données à caractère personnel des personnes de l’EEE. La Commission européenne a estimé que les transferts de données à caractère personnel de l’EEE vers des entreprises certifiées au titre du DPF bénéficiaient d’un niveau de protection adéquat.

Dans ses FAQs, l’EDPB répond aux questions suivantes:
1- FAQ dédiée aux personnes concernées
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Comment puis-je bénéficier du cadre UE-États-Unis pour la protection des données personnelles ?
Q3. Comment déposer une plainte ?
Q4. Comment l’autorité nationale de protection des données traitera-t-elle ma plainte ?

2- FAQ dédiée aux entreprises
Q1. Qu’est-ce que le cadre UE-États-Unis de protection des données personnelles ?
Q2. Quelles sont les entreprises américaines éligibles au cadre UE-États-Unis de protection des données personnelles ?
Q3. Que faire avant de transférer des données à caractère personnel à une entreprise américaine qui est ou prétend être
certifiée au titre du cadre UE-États-Unis de protection des données à caractère personnel ?
Q4. Où puis-je trouver des conseils concernant la certification des filiales américaines d’entreprises européennes ?
entreprises européennes ?

Disponible (en anglais) sur: edpb.europa.eu (personnes concernées) et edpb.europa.eu (pour les entreprises)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

2 juillet 2024

Transferts données hors UE via des fonctionnalités proposées par Meta : Freepik reçoit un avertissement par l’autorité espagnole

Il y a quelques jours, l’autorité suédoise condamnait une banque pour l’utilisation du « pixel Meta » de manière illicite qui avait résulté en une rupture de la confidentialité des données. Cette fois-ci, c’est à l’autorité espagnole d’avertir le célèbre site d’images libres de droit Freepik pour des inconformités en lien avec « Facebook Login ». Comme souvent, cette affaire commence par une plainte, en l’occurrence par une personne représentée par l’association NOYB, et au sein de laquelle il était déclaré que certaines données personnelles (y compris l’adresse IP et les « cookies ») traitées par Freepik ont été transférées à Facebook Inc. aux États-Unis via la fonctionnalité « Facebook Login » en l’absence de base juridique (au moins) entre 2020 et 2022, dans la mesure où la CJUE avait invalidé le Privacy Shield dans l’arrêt C-311/18 (« Schrems II ») dès juillet 2020 et qu’aucun autre mécanisme de transfert n’était applicable ou appliqué.

Au cours de l’enquête ouverte par les agents de l’AEPD dans le cadre d’un groupe de travail « TF101 » mis en place afin de traiter les 101 plaintes déposées par NOYB dont celle-ci, Meta a tenté d’argumenter que ces transferts étaient encadrés par des clauses contractuelles types (CCT), mais cet argument a été rejeté par l’AEPD en partie parce qu’ « au moins jusqu’au 10 juillet 2023, Freepik et Meta Platforms, Inc se sont appuyés sur […] le Privacy Shield pour effectuer les transferts de données mentionnés. Toutefois, la CJUE, dans son arrêt du 16 juillet 2020, C-311/18, a déclaré que cette décision d’adéquation n’assurait pas un niveau de protection adéquat des personnes physiques en raison de la réglementation américaine pertinente et de la mise en œuvre de programmes de surveillance officiels fondés, entre autres, sur la section 702 de la FISA et l’E.O.12333 en liaison avec la PPD-28, et a annulé ladite décision d’adéquation. » L’AEPD précise également qu’elle « croit savoir que Meta Platforms, Inc. avait l’obligation de fournir aux autorités américaines les données à caractère personnel en vertu de la section 1881.a du code américain ».

Le rejet de cet argument a également impacté Freepik qui s’est vu reprocher le fait de ne pas avoir suffisamment vérifié la conformité du transfert réalisé par le biais de son site internet sur lequel était installé « Facebook Login » : l’AEPD estime en effet que « les transferts internationaux effectués dans le cadre des activités de Freepik n’étaient pas conformes aux éléments requis par l’article 44 du RGPD, [et qu’] il incombait à Freepik de vérifier qu’ils l’étaient et de cesser d’utiliser les services en question s’ils ne l’étaient pas ». Les faits évoqués dans la plainte ayant pu être vérifiés par l’autorité espagnole, Freepik a écopé d’un avertissement.

[Ajout contextuel Portail RGPD: Il y a un autre point qui est intéressant dans cette affaire, cette fois de procédure: l’AEPD écrit que « Le 27 octobre 2022, les travaux du groupe de travail TF101 n’ont pas été achevés, c’est pourquoi il a été déclaré que la procédure d’enquête préliminaire était caduque, car plus de douze mois se sont écoulés. Une nouvelle procédure d’enquête a alors été ouverte, l’infraction n’étant pas prescrite. » L’AEPD semble ainsi disposer de délais spécifiques pour traiter des plaintes (et notamment de délais de prescription stricts), ce qui n’est pas le cas en France, la CNIL se fondant sur le principe du « délai raisonnable » à défaut de règle plus précise (tel que précisé dans sa Délibération SAN-2020-018 du 8 décembre 2020 disponible ici, ou dans notre section « Jurisprudence »).]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

19 juin 2024

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

29 avril 2024

Règles d’entreprises contraignantes (BCR) : la CNIL publie un outil d’auto-évaluation

Afin d’accompagner les groupes souhaitant mettre en place des BCR, la CNIL met à leur disposition un outil leur permettant de tester par eux-mêmes le niveau de maturité de leur projet.

Disponible sur: CNIL.fr

Comité européen sur la protection des données (EDPB)

24 avril 2024

Note d’information sur les transferts de données en vertu du GDPR vers les États-Unis après l’adoption de la décision d’adéquation le 10 juillet 2023

Le CEPD a publié ce jour plusieurs documents concernant le cadre relatif au transfert vers les Etats-Unis, parmi lesquels une note d’information (et un guide de procédure) à propos des mécanismes de recours pour les personnes de l’UE/EEE en cas de violation présumée de la législation américaine concernant leurs données collectées par les autorités américaines compétentes en matière de sécurité nationale. L’objectif de ces documents est d’aider les personnes concernées à exercer leurs droits et leur donner de l’information sur les différents processus.

En guise d’introduction, le CEPD rappelle qu’un des éléments importants du cadre juridique américain, sur lequel se fonde la décision d’adéquation, est le décret 14086 intitulé « Enhancing Safeguards for United States Signals Intelligence Activities “2 (”E.O. 14086″), signé par le président américain Biden le 7 octobre 2022 et accompagné de règlements adoptés par le procureur général des États-Unis, ainsi que de politiques et de procédures pertinentes adoptées par le bureau du directeur du renseignement national et les agences de renseignement des États-Unis.
Ce décret a établi un nouveau mécanisme de recours dans le domaine de la sécurité nationale pour traiter et résoudre les plaintes des personnes concernées dans l’UE et l’EEE, alléguant l’accès et l’utilisation illicites de données par les activités de renseignement d’origine électromagnétique des États-Unis à leurs données personnelles qui ont été transmises de l’UE et de l’EEE vers les États-Unis. Ce mécanisme de recours s’applique quel que soit l’outil de transfert utilisé pour transférer les données à caractère personnel des plaignants vers les États-Unis ».

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

01net

21 avril 2024

Les États-Unis prolongent finalement de 2 ans la loi FISA : les services secrets américains pourront continuer à nous espionner jusqu’en 2026

La loi d’espionnage FISA, qui autorise le Renseignement américain à collecter les communications de non citoyens américains à l’étranger – ce qui comprend bien les Européens – a finalement été prolongé de deux ans. Le projet de loi était vivement critiqué par les défenseurs de la vie privée des Américains. Avec ce texte, davantage de sociétés devraient coopérer avec le Renseignement américain, selon des juristes. Pour les défenseurs des droits européens, c’est une mauvaise nouvelle. Le FBI, la NSA ou la CIA pourront continuer à nous espionner, jusqu’en 2026.

À côté de la question de son renouvellement, les critiques s’étaient intensifiées outre-Atlantique, lorsque la chambre basse a ajouté un amendement qui « forcerait tout le monde à devenir des espions de la NSA », selon ses opposants. Une disposition du projet de loi vise en effet à étendre le champ d’application des « fournisseurs de services de communications électroniques », la catégorie d’entreprises qui doit coopérer avec le Renseignement américain. Cet amendement a bien été voté dans le projet de loi au Sénat, selon le texte accessible ce samedi 20 avril sur le site du Sénat américain.

[Ajout contextuel Portail RGPD: Cette proposition d’extension a déjà été discutée en décembre à l’occasion du renouvellement de la loi jusqu’en avril, mais n’était alors pas passée avec le texte final. L’idée était d’étendre le texte à « tout fournisseur de services qui a accès à des communications électroniques ou par fil, soit au moment où ces communications sont transmises, soit au moment où ces communications sont stockées », alors qu’il était jusqu’alors concentrée sur les fournisseurs de télécommunications ou de moyens de communications. Le champ est également étendu aux « équipements qui sont ou peuvent être utilisés pour transmettre ou stocker ces communications » , ce qui inclurait notamment les serveurs.
Cette réforme a finalement été remise sur la table, et est cette fois passée. Comme mentionné en décembre, celle-ci pourrait bien sonner la fin prochaine de la décision d’adéquation des Etats-Unis. Plus d’éléments sont disponibles sur l’article précédent.]

Disponible sur: 01net.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.