Privacy : un tour du monde des actualités de Novembre

Les dernières semaines ont été mouvementées en matière de respect de la vie privée des internautes. Aux États-Unis, l'opt-out global refait surface en même temps que trois projets de loi fédérale sont introduits au Congrès. Partout dans le monde, les débats s'animent autour de la prise en compte du respect de la vie privée dans le développement de solutions basées sur l'intelligence artificielle.

En Chine, ce même mois de novembre a vu l’entrée en vigueur de la loi sur la protection des informations personnelles, adoptée en août dernier. Et ce n’est pas tout : ce tour du monde des dernières actualités en matière de privacy est là pour permettre aux marques et aux éditeurs de connaître l’essentiel de ce qui est à retenir de ces dernières semaines.

L’opt-out global refait surface aux États-Unis

L’adoption d’un système d’opt-out global fait partie d’une des principales recommandations du groupe de travail chargé d’étudier les bonnes pratiques en matière de protection de la vie privée en vue de l’implémentation du Consumer Data Protection Act de l’État de Virginie (VCDPA). 

Ces recommandations seront présentées lors de la prochaine session législative. Elles exhortent l’industrie de la publicité à « autoriser les consommateurs à exiger des entreprises qu’elles respectent un cadre de désinscription global en tant qu’étape unique leur permettant de se retirer de la collecte de données » et à « encourager le développement de logiciels et extensions de navigateur permettant aux utilisateurs de se retirer universellement de la collecte de données, plutôt qu’individuellement à partir de chaque site web ». 

À ce jour aux États-Unis, seul l’État du Colorado dispose d’une loi sur la protection de la vie privée qui oblige explicitement (à première vue) les entreprises à respecter un paramètre d’opt-out global. 

En Belgique, le transparency & consentment framework (TCF) de l’IAB Europe en question

L’IAB Europe a annoncé que l’Autorité de protection de données (APD) belge lui a fait part d’un projet de décision concernant des infractions au RGPD commis par l’IAB Europe dans le cadre du transparency & consentment framework (TCF). Les homologues européens de l’APD belge sont invités à examiner le texte et à donner leur avis sous 30 jours. Si une décision finale est rendue en ce sens, l’IAB Europe disposera de six mois pour corriger les infractions présumées. Ce sera pour l’institution une opportunité de collaborer avec une APD afin d’établir des pratiques qui pourraient servir de base à un code de conduite officiel de l’industrie.

Cette mesure de l’APD belge a eu lieu alors que la même autorité est l’objet d’un avis de la Commission européenne à la Belgique. La Commission européenne estime que l’indépendance totale de l’Autorité de protection de données belge n’est pas assurée. La Belgique dispose de deux mois pour prendre les mesures nécessaires.

Aux États-Unis, trois importants projets de loi fédéraux sur la vie privée 

Le Congrès des États-Unis se voit doté en cette fin d’année de trois importants projets de loi fédérale concernant la vie privée. Le premier, réintroduit au Sénat, porte sur l’implémentation du Digital Accountability and Transparency to Advance (DATA) Privacy Act. Le second, annoncé à la Chambre des représentants, servira à mettre en œuvre le Control Our Data Act. Enfin, un troisième projet a été réintroduit au Sénat fin novembre prévoyant notamment la création d’une Digital Privacy Agency (DPA).

Bien que tous traitent de la vie privée au niveau fédéral, ces textes portent sur des aspects très différents. Le projet de loi de la Chambre entend créer une norme nationale sur le respect de la vie privée qui prévaudrait sur la loi des États. Dans l’autre sens, le projet de loi DATA Privacy Act au Sénat permettrait aux États d’imposer des exigences supplémentaires et plus strictes que les fédérales. Quant au troisième projet, c’est le seul qui prévoit la possibilité que des actions privées soient introduites en Justice pour obtenir le respect de la loi. 

Le ciblage et l’intelligence artificielle au cœur des mesures et des débats, y compris sur Facebook

Meta, la société mère de Facebook, a annoncé le 9 novembre son intention de supprimer dès le 19 janvier 2022 les options de ciblage avancé relatives à des sujets sensibles (santé, origine ethnique, affiliation politique, religion ou orientation sexuelle). Dix jours plus tard, 48 associations de défense des consommateurs consignaient une lettre exhortant Facebook à « mettre immédiatement fin à toute publicité de surveillance destinée aux enfants et aux adolescents, y compris l’utilisation de l’intelligence artificielle pour optimiser la diffusion de publicités spécifiques aux jeunes les plus vulnérables ». La lettre accuse Facebook d’avoir fait des déclarations trompeuses en annonçant ses plans de limiter le ciblage publicitaire aux enfants, puisque les données sur leur comportement en ligne continueraient d’alimenter l’apprentissage automatique des algorithmes de ciblage.

Le rôle de l’intelligence artificielle (IA) en matière de respect de la vie privée est de plus en plus mis en évidence. L’IAB US vient notamment de publier un rapport sur les biais de l’intelligence artificielle pour le marketing. Le document encourage les entreprises à prendre en compte, lors du développement de l’IA, outre le volume et la qualité des données ou la puissance de calcul, également le respect de la vie privée, la confiance des audiences, la sécurité des données et les risques juridiques et réglementaires. Plus tôt, en octobre, l’IA avait été identifiée comme un domaine d’intérêt de politique publique par la Global Privacy Assembly. Des propositions, du conseil et des livres blancs sur l’IA se multiplient au Royaume-Uni, à Hong Kong, aux États-Unis et dans bien d’autres pays. Ce n’est probablement qu’une question de temps avant que des règlementations en la matière ne voient le jour.

La loi sur la protection des données personnelles en vigueur en Chine

Les entreprises chinoises n’ont eu qu’un peu plus de deux mois pour se conformer à la loi sur la protection des informations personnelles (PIPL) entrée en vigueur le 1er novembre. Aucune réglementation ni directive officielle ne leur a été fournie pour cela.

La PIPL est une loi complète, similaire à bien des égards au Règlement général sur la protection de données (RGPD) en vigueur en Europe, y compris pour ce qui est de sa portée extraterritoriale (elle s’applique également aux entreprises chinoises travaillant en dehors de la Chine).

Si la PIPL requiert le consentement pour le traitement des données personnelles, elle ne pose pas de base juridique équivalente à « l’intérêt légitime » du RGPD. En réalité, elle prévoit une exception un peu « fourre-tout » pour « d’autres circonstances stipulées par les lois et les règlements administratifs ». 

Au Danemark, attention à la combinaison entre données d’achat et de navigation

Au Danemark, les entreprises faisant appel à des fournisseurs tiers pour les aider à combiner les informations d’achat avec des données de comportement en ligne à de fins de ciblage marketing doivent redoubler leurs précautions. Ce type de traitement de données est qualifié de potentiellement intrusif par l’APD danoise dans un guide qu’elle vient de publier. Les entreprises ont tout intérêt à renforcer la surveillance de leurs sous-traitants, au-delà des engagements contractuels de garantie de sécurité et de conformité.

Israël souhaite renforcer les compétences de son Autorité de protection de la vie privée 

Le Comité ministériel israélien sur la législation a approuvé début novembre une proposition visant à promouvoir des amendements à la loi sur la protection de la vie privée en vigueur dans le pays. Parmi ces derniers, il est question d’élargir les compétences administratives de l’Autorité de protection de la vie privée, y compris le pouvoir d’imposer des sanctions financières.

La loi israélienne sur la protection de la vie privée comporte certaines similitudes avec le RGPD, notamment l’obligation d’obtenir un consentement éclairé pour collecter des données personnelles auprès des personnes concernées. La loi en vigueur prévoit déjà certaines amendes administratives, mais les modifications proposées renforceraient ces prérogatives afin d’inciter davantage les entreprises concernées à adopter des pratiques conformes à la loi.