Dernières actualités : données personnelles

CNIL

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER

Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs. La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Celle-ci a été partagée à l’autorité néerlandaise en application des différentes procédures de coopération entre les autorités européennes.

À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées [dans la mesure où Uber n’utilisait plus les clauses contractuelles types]. Elle conclut à un manquement à l’article 44 du RGPD.

Disponible sur: CNIL.fr

Comité européen sur la protection des données (EDPB)

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Center for Democracy & Technology

🚨 Fausse alerte :  La Chambre a adopté une prolongation de deux ans de la Section 702 de la FISA à l’occasion un vote extrêmement serré (une égalité 212-212 ), et a rejeté des réformes essentielles pour mettre fin à l’abus rampant de la loi qui a été bien documenté.

Selon l’association, la surveillance sans mandat prévue par la FISA 702 est censée ne viser que des sujets étrangers, mais dans la pratique, elle englobe un très grand nombre de communications d’Américains. Cela permet aux agences de renseignement d’exploiter une faille dans les recherches : le FBI, la CIA et la NSA effectuent des « recherches sur des personnes américaines » dans les dossiers FISA 702 afin d’extraire délibérément des messages privés d’Américains, le tout sans mandat ni approbation d’un tribunal. Cette faille a conduit à des abus systémiques, impliquant des milliers de requêtes inappropriées chaque année, y compris celles visant des manifestants, des donateurs de campagne, des journalistes, des législateurs et, dans un cas, les rencontres en ligne d’un analyste.

Disponible (en anglais) sur: cdt.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Forbes

Les législateurs de la Chambre des représentants rejettent la mesure de renouvellement de la loi FISA

Le 10 avril, les législateurs de la Chambre des représentants ont voté contre une mesure de procédure qui aurait lancé le débat sur la réautorisation de l’article 702 de la loi sur la surveillance du renseignement étranger, quelques heures après que l’ancien président Donald Trump a encouragé les législateurs à « TUER FISA ».

L’article rappelle que le « Congrès a autorisé pour la première fois la section 702 de la FISA en 2008, selon le bureau du directeur du renseignement national, dans le but de surveiller les non-citoyens en dehors des États-Unis. La loi est devenue de plus en plus controversée depuis sa création, les critiques affirmant que sa nature à large portée peut conduire à la collecte de données sur les citoyens américains, selon NBC News. Un rapport de mai 2023 de la Cour de surveillance du renseignement étranger a révélé que le FBI avait abusé de l’outil près de 300 000 fois entre 2020 et début 2021, notamment en collectant des informations sur les émeutiers du 6 janvier et les manifestants de Black Lives Matter. »

[Ajout contextuel Portail RGPD: Il y a quelques mois, la loi FISA a fait l’objet d’un renouvellement jusqu’au 19 avril 2024, qui a été l’occasion de déposer projet de réforme prévoyant de l’étendre considérablement (qui n’a finalement pas été voté).  S’il s’avérait que la loi FISA était effectivement abandonnée, il est possible que la décision d’adéquation dont bénéficie actuellement les Etats-Unis, le « Data Privacy Framework », ne soit pas une fois de plus annulé par la Cour de Justice de l’UE (dans les années qui viennent).  Reste toutefois la question de l’Executive Order 12333 n qui permet aux Etats-Unis d’accéder à toutes les données en transit vers les Etat-Unis, en particulier via les câbles sous-marins permettant de relier les différents continents. ]

Disponible (en anglais) sur: forbes.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut