Privacy : un tour du monde des actualités de janvier

Les initiatives s'enchaînent pour rendre les Gafam conformes aux réglementations de protection des consommateurs. Aux Etats-Unis, des voix se lèvent même contre la publicité ciblée, tandis qu'en Europe c'est un projet de loi sur les services numériques beaucoup moins hostile à la publicité personnalisée que le Parlement vient d'approuver.

En matière de protection de la vie privée, l’année démarre très fort de l’autre côté de l’Atlantique avec une véritable déferlante d’introductions et de réintroductions de projets de loi portant sur la protection de la vie privée dans différents États. Dans ce contexte, la demande pour une réglementation nationale unifiée prend de l’ampleur dans le pays. 

La ruée des États américains vers les règlementations de la protection de vie privée

L’année 2022 a démarré fort aux États-Unis pour le respect de la vie privée avec une véritable déferlante d’introductions et de réintroductions de projets de loi pour encadrer ce sujet. Cela a été observé en Alaska, en Floride, en Indiana, au Vermont, en Virginie (pour la modification d’une loi déjà adoptée), à Washington, au Mississippi, au Nebraska et en Pennsylvanie. Cela s’ajoute aux précédents dépôts et pré-dépôts dans le Maryland, New York et Oklahoma. L’année dernière, 26 États et le District de Columbia avaient envisagé d’adopter une législation sur la protection de la vie privée.

Même si ces nombreuses législations s’inspirent majoritairement des trois lois sur la protection de la vie privée en vigueur dans le pays (celles de Californie, de Virginie et du Colorado), ces textes contiennent des différences importantes. Les contextes sont si diversifiés que des voix se lèvent pour demander une loi fédérale traitant du sujet. Une coalition de 97 organisations américaines, dont l’Interactive Advertising Bureau (IAB) et l’Association National Advertisers (ANA), ont envoyé à la mi-janvier une lettre au Congrès exhortant les parlementaires à adopter une législation nationale sur la protection de la vie privée. La lettre soulignait notamment qu’un patchwork de lois étatiques rend la conformité difficile pour les petites entreprises. Une situation qui deviendra encore plus complexe si la Federal Trade Commission (FTC) décide de lancer elle aussi de son côté une règlementation sur la privacy, une option qui est à l’étude. 

L’étau se resserre autour des GAFAM

Les procureurs généraux du district de Columbia, de l’Indiana, du Texas et de l’État de Washington ont déposé fin janvier une action en Justice contre Google pour fausses déclarations, omissions et pratiques commerciales déloyales concernant la collecte et l’utilisation des données de localisation. 

Dans une initiative coordonnée, ces autorités allèguent notamment que Google ne précise pas clairement que les consommateurs peuvent s’opposer à la conservation et à l’utilisation de leurs informations de localisation. Plus encore, Google conditionnerait inutilement l’utilisation des produits et services au fait de consentir à la collecte et à l’utilisation des données de localisation. 

Ce n’est pas la première fois que des actions sont déposées contre Google pour des accusations similaires. En Arizona, une plainte déposée contre Google en mai 2020 portant sur les contrôles de localisation a été autorisée à être jugée. 

Plus tôt dans le mois, c’est en France que Google a dû écoper d’une amende de 150 millions d’euros, tout comme Facebook, qui s’est vu infliger une pénalité de 60 millions d’euros. La CNIL, autorité française de protection des données, a déclaré que ces sanctions sont motivées par le fait que les sites google.fr, youtube.com et facebook.com ne permettent pas de refuser les cookies aussi simplement que de les accepter.

Enfin, au Luxembourg, le président du tribunal administratif a suspendu partiellement la décision de la Commission nationale pour la protection des données (CNPD) qui donnait six mois à Amazon pour se mettre en conformité avec le Règlement général sur la protection des données (RGPD). Le tribunal a considéré que la décision de la CNPD n’avait pas été formulée en termes suffisamment clairs pour permettre à Amazon de remédier à ses violations. 

Cette ordonnance administrative permettra à Amazon et à d’autres entreprises de disposer d’une compréhension plus précise de l’interprétation que fait la CNPD d’une base juridique conforme, des mesures de transparence et des mécanismes respectueux des droits des utilisateurs en matière de publicité comportementale. La CNPD avait rendu cette décision l’été dernier estimant qu’Amazon avait enfreint plusieurs dispositions du RGPD en matière de traitement des données personnelles à des fins de publicité personnalisée.

Aux États-Unis, un projet de loi et une pétition pour interdire la publicité ciblée

La publicité personnalisée est devenue la cible à la fois d’un projet de loi et d’une pétition de l’autre côté de l’Atlantique. Le premier, déposé en janvier, vise à interdire les « facilitateurs de publicité » – des acteurs recevant une contrepartie monétaire pour la diffusion de publicités et la collecte d’informations personnelles à cette fin – de cibler ou de permettre sciemment à un annonceur ou à un tiers de diffuser des publicités à des individus ou appareils connectés sur la base de leurs informations personnelles. Seraient autorisés le ciblage contextuel ou basé sur un lieu reconnu comme étant associé à l’individu ou à l’appareil ou sur des données fournies par un annonceur (et attestées comme ne provenant pas d’un tiers). De nombreux acteurs et représentants de l’industrie publicitaire, dont l’IAB, se sont prononcés contre ce projet de loi. 

À peine quelques jours plus tard, c’était au tour de l’ANA de demander à la FTC le rejet de la pétition de l’association Accountable Tech pour l’interdiction de la « publicité de surveillance ». La FTC a par ailleurs annoncé publiquement son intention de proposer une réglementation concernant des pratiques de sécurité en ligne jugées laxistes, des atteintes à la vie privée et la prise de décision algorithmique, sans pour autant donner plus de précisions sur son contenu.

En Europe, un projet de loi sur les services numériques beaucoup moins hostile à la publicité personnalisée

En Europe le projet de loi sur les services numériques, approuvé courant janvier par le Parlement européen, comporte des restrictions beaucoup moins strictes à l’égard de la publicité numérique que celles réclamées au départ. 

Dans sa forme actuelle, la législation donne aux utilisateurs la possibilité de refuser certains types de tracking directement via les paramètres du navigateur. Les internautes pourront également connaître les caractéristiques qui sont retenues pour la diffusion de publicités ciblées les concernant. Enfin, le texte bannit le recours aux « dark patterns », ces pièges qui incitent les utilisateurs à s’inscrire ou à payer pour un produit ou un service sans en être conscients. 

Plusieurs mois de débats entre le Parlement et le Conseil européens seront sans doute nécessaires avant qu’une version définitive de ce texte ne soit connue.

Vers plus de clarté sur les limites du droit d’accès aux données

Le Comité européen de la protection des données (CEPD) a récemment adopté des lignes directrices sur le droit d’accès aux données, prévu dans le RGPD. Ces orientations arrivent à point nommé. Le RGPD permet à un responsable du traitement de refuser les demandes de droit d’accès si ces dernières sont injustifiées ou excessives, sans pour autant en fournir plus de précisions.

Les prochaines orientations du CEPD, qui feront l’objet d’une période de consultation publique, permettront aux entreprises et autorités de contrôle de mieux comprendre ce qui peut être considéré injustifié ou excessif.

En France, les conditions de la réutilisation des données par des sous-traitants expliquées par la CNIL 

Dans le même mois, la CNIL a publié des lignes directrices définissant les conditions dans lesquelles un sous-traitant peut réutiliser les données traitées pour le compte d’un responsable du traitement. En particulier, pour qu’un sous-traitant réutilise des données à caractère personnel traitées pour le compte d’un responsable de traitement, ce dernier doit en informer les personnes concernées et obtenir une autorisation écrite pour chaque autorisation de traitement spécifique. De plus, une telle autorisation ne peut être accordée que si le traitement ultérieur est compatible avec la finalité pour laquelle les données ont été initialement collectées.

Vers une loi de protection de données en Jordanie

De nombreux pays dans le monde se mettent pour la première fois sur le chemin de l’adoption de  législations complètes sur la protection de la vie privée. La Jordanie en fait partie. Le ministère jordanien de l’Économie numérique et de l’Entrepreneuriat a présenté début janvier son projet de loi sur la protection des données personnelles. En plus d’établir des restrictions et des obligations pour la sauvegarde et le traitement des données personnelles, ce dernier vise à étendre les droits individuels en la matière.