Privacy : un tour du monde des actualités de février

Les mesures, décisions et débats qui font bouger la protection de la vie privée sur la planète.

Les Autorités de protection de données (APD), très actives en Europe, voient leurs décisions en partie contestées en Belgique et en Norvège. De l’autre côté de la Manche, les engagements de Google sur la Privacy Sandbox sont accueillis favorablement, tandis que Meta doit faire face à un certain nombre d’échecs judiciaires en Australie et aux États-Unis.

Le TCF va évoluer en Europe même si l’IAB Europe fait appel de la décision de l’ADP belge

L’IAB Europe a annoncé le 11 février son intention de faire appel de la décision de l’Autorité de protection des données (APD) belge selon laquelle le Transparency and Consent Framework (TCF) viole certains aspects du Règlement général sur la protection des données (RGPD). Le désaccord de l’IAB Europe porte surtout sur la décision de l’APD de la considérer coresponsable du traitement des données avec les utilisateurs du TCF dans le cadre de l’Open RTB. 

Pour l’APD, l’IAB Europe est responsable du traitement de la « TC string », qui de plus constitue, selon l’autorité, une donnée personnelle. Le régulateur estime que l’IAB Europe aurait dû à ce titre assumer un certain nombre de responsabilités. L’APD a également fait part dans sa décision du fait que les fondements juridiques offerts par le TCF pour le traitement des données personnelles par les fournisseurs d’adtech étaient insuffisants.

L’IAB Europe dispose de deux mois pour proposer un plan de mesures correctives afin de remédier à la situation. Parmi ces corrections, il est attendu que l’IAB Europe établisse une base légale pour le traitement et la diffusion des préférences des utilisateurs. L’organisme doit également proscrire l’usage du principe de « l’intérêt légitime » comme base pour le traitement des données personnelles par les organisations participant au TCF. Enfin, elle est tenue de soumettre ces dernières à un contrôle strict pour garantir la conformité au RGPD.

Même si la décision de l’APD belge n’est pas contraignante pour les éditeurs ou les autres participants au TCF, elle aura sans doute des conséquences à l’avenir et notamment sur la base juridique sur laquelle s’appuyer pour traiter des données à caractère personnel à l’aide du TCF.

L’IAB Europe dispose de six mois pour mettre en œuvre ces mesures à partir de la validation de son plan d’action. L’organisme note dans une déclaration récente que « la version du TCF qui émergera de ce processus sera encore plus forte ». 

En Europe des associations militent pour la suppression des données collectées via le TCF

Le Conseil irlandais pour les libertés civiles (ICCL) et l’Electronic privacy information center (EPIC) ont envoyé des lettres aux PDG de P&G, Unilever, Bank of America, Ford, GM, IBM et Mastercard leur demandant de supprimer toutes les données collectées via le TCF de l’IAB Europe. Cette initiative fait suite à la décision de l’ADP belge concernant l’IAB Europe : ces associations en ont déduit que les données collectées via le TCF doivent être supprimées.

Rien de tel pour l’IAB Europe : non seulement aucun des annonceurs (ou tout autre participant au TCF) ne sont concernés par la décision de l’APD comme cette dernière n’a pas ordonné à IAB Europe de cesser d’utiliser le TCF. 

La place de la protection des données du « Brexit freedoms bill » au Royaume-Uni

Le Premier ministre britannique Boris Johnson a annoncé l’arrivée prochaine d’un « Brexit Freedoms Bill », conçu pour faciliter le remplacement de la législation européenne devenue obsolète. La protection des données est annoncée comme un des domaines clés. 

Dans un document de nature politique, le gouvernement britannique présente ses plans pour un nouveau « régime de données » qui « contribuera à stimuler la croissance, l’innovation et la concurrence dans tout le pays et à renforcer la réputation mondiale du Royaume-Uni en tant que plaque tournante pour les entreprises data driven responsables ». Le gouvernement indique par ailleurs qu’il publiera ce printemps sa réponse à la consultation menée l’automne dernier sur la protection des données. Cela aura lieu avant l’introduction d’une législation en la matière.

Cette consultation avait notamment permis de faire remonter certains problèmes et de formuler des recommandations. Diverses options sont explorées comme l’autorisation du recours aux cookies d’analyse ou la collecte et le stockage d’informations sans le consentement de l’utilisateur pour des fins limitées. Il est également envisagé de s’appuyer sur les navigateurs, les applications logicielles, les paramètres de l’appareil voire des tiers de confiance pour gérer les préférences de consentement individuelles. 

Dans sa réponse à cette consultation, le Bureau du Commissaire à l’information (autorité indépendante) a cependant déjà fait savoir que la mise en œuvre de certaines des propositions du gouvernement (y compris les mécanismes alternatifs de consentement aux cookies) nécessiterait une coopération internationale.

Concurrence : des points pour Google et sa Privacy Sandbox

L’autorité britannique de la concurrence et des marchés (CMA) a annoncé le 11 février dernier qu’elle a accepté les engagements pris par Google au sujet de la Privacy Sandbox, mettant ainsi fin à cette enquête. C’était la deuxième fois que Google soumettait des propositions pour répondre aux préoccupations exprimées par l’autorité à ce sujet. 

Google a notamment accepté de clarifier les limites internes des données qu’il peut utiliser, de fournir une plus grande certitude aux tiers développant des technologies alternatives et de faire régulièrement rapport à la CMA sur la manière dont il prend en compte les opinions des tiers. Google doit respecter ces engagements pendant six ans à compter de l’acceptation par la CMA.

À noter que l’entreprise a annoncé en février son intention d’appliquer la Privacy Sandbox également sur Android. L’objectif est de fonctionner sans identifiants inter-applications. 

Norvège : Grindr et le sujet épineux des données sensibles

L’application de rencontres Grindr a déclaré à la presse avoir déposé un recours contestant l’amende de 6,3 millions d’euros qui lui a été infligée par l’Autorité de protection des données (APD) norvégienne. L’APD norvégienne a allégué que le service partageait des informations sensibles avec des réseaux publicitaires tiers en violation du RGPD. Grindr aurait conditionné l’accès à la version gratuite du service à l’accord de l’utilisateur pour la collecte et le partage d’informations à des fins publicitaires, ce qui, selon la DPA, aurait dû être facultatif en raison de la nature sensible des données.

Grindr conteste que les données partagées avec des tiers constituent des « informations sensibles » en vertu du RGPD, arguant que la décision de la DPA est basée sur des « hypothèses mal fondées, catégoriques et discriminatoires » concernant les utilisateurs du service et que l’utilisation du service ne révèle pas l’orientation sexuelle.

La question de savoir si des déductions sensibles constituent des informations sensibles n’est pas claire dans le cadre du RGPD comme dans la plupart des lois qui imposent des restrictions à l’utilisation d’informations sensibles. 

Cette question s’applique à l’industrie de la publicité au-delà des sites de rencontres, d’autant que les individus sont regroupés au sein de segments basés sur des déductions potentiellement sensibles (par exemple, les individus dont l’historique de navigation indique qu’ils pourraient souffrir de certaines affections de santé, appartenir à une origine ethnique précise ou disposer d’une orientation sexuelle ou religion donnée).

Cambridge Analytica : l’appel de Facebook rejeté par la cour australienne 

Dans une affaire intentée par le Commissaire à l’information australien contre Facebook Inc. à la suite du scandale de Cambridge Analytica, un tribunal australien a rejeté la demande de Facebook d’exclure les ordonnances signifiées contre lui à l’étranger.

La Cour a jugé que la loi australienne sur la protection de la vie privée s’applique à la conduite extraterritoriale de Facebook, ce dernier ayant collecté en Australie les informations personnelles faisant l’objet de la plainte. 

Ce cas est important. Il démontre que la loi australienne sur la protection de la vie privée est aussi applicable aux entreprises situées en dehors de l’Australie lorsqu’elles ciblent les consommateurs australiens à de fins de publicité numérique.

Facebook paye 90 millions de dollars pour une ancienne affaire de suivi d’utilisateurs déconnectés aux États-Unis

Facebook a accepté de régler une amende de 90 millions de dollars et mettre ainsi fin à un procès de 2012 concernant le suivi d’utilisateurs sur le web alors qu’ils étaient déconnectés. Cela se faisait sur des sites web contenant des boutons « J’aime » de Facebook et sans le consentement de l’utilisateur.  Facebook a accepté de supprimer les données collectées à tort.

La plainte avait été déposée devant un tribunal fédéral américain (dans le district nord de la Californie). Les faits s’étaient produits entre 2010 et 2011. Bien qu’une législation complète sur la protection de la vie privée exigeant un consentement volontaire n’existait pas, et n’existe d’ailleurs toujours pas aux États-Unis, Facebook est accusé d’avoir violé la loi fédérale sur l’écoute électronique. Cette dernière interdit l’interception d’une communication électronique sans le consentement préalable de l’une des parties. 

Le transfert de données UE/États-Unis « hautement prioritaire »

Margrethe Vestager, vice-présidente exécutive de la stratégie numérique de la Commission européenne, a déclaré à la presse qu’un accord de transfert de données avec les États-Unis était une « affaire hautement prioritaire » tout en reconnaissant que ce ne serait pas facile « de ne pas obtenir un arrêt Schrems III négatif ».

La commissaire faisait allusion à l’arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE) qui a invalidé le précédent accord pour les transferts de données transatlantiques, le Privacy Shield. À cette occasion, la CJUE a estimé que les lois américaines en matière de surveillance ne se limitaient pas suffisamment au strict nécessaire et n’offraient pas de recours effectifs aux personnes concernées, comme l’exige la Charte des droits fondamentaux de l’UE. La Cour a également indiqué que, lorsque la législation du pays destinataire d’un transfert de données n’assure pas une protection adéquate, les entreprises doivent prévoir des garanties supplémentaires ou suspendre les transferts.

Le Conseil du commerce et de la technologie entre les États-Unis et l’Union européenne doit se réunir en mai.

Privacy : les projets de loi progressent un peu partout aux États-Unis

L’Arizona, le Connecticut, l’Iowa et le Wisconsin, entre autres, ont présenté de nouveaux projets de loi complets sur la protection de la vie privée en février. Bien que la législation de certains États comme l’Alaska et Hawaï ait ralenti, 23 États plus le district de Columbia disposent maintenant d’une législation complète et active sur la protection de la vie privée.