Privacy : un tour du monde des actualités de mars

L'annonce d'un accord de principe pour le retour des transferts des données transatlantiques a lieu alors même que Google décide de faire évoluer son outil d'analytics.

En France, les développeurs mobiles sont encouragés à renforcer leur conformité.

Que retenir des déclarations sur un accord de principe entre les États-Unis et l’Europe pour les transferts de données transatlantiques ?

Lors de sa conférence de presse avec la présidente de la Commission européenne Ursula von der Leyen le 25 mars dernier, le président américain Joe Biden Jr. a annoncé l’obtention d’une « avancée majeure au sujet des flux de données transatlantiques » avec un « nouvel accord [qui] renforcera le cadre du Privacy Shield, favorisera la croissance et l’innovation en Europe et aux États-Unis et aidera les entreprises, petites et grandes, à être compétitives au sein de l’économie numérique », ce qui « permettra à la Commission européenne d’autoriser à nouveau les transferts de données transatlantiques ». Ursula von der Leyen a pour sa part qualifié l’accord comme un « accord de principe », indiquant que ses détails ne sont pas encore définis.

La version précédente du Privacy Shield a été invalidée par la Cour de justice de l’Union européenne (CJUE) sur la base du constat que les lois américaines en matière de surveillance ne sont pas suffisamment limitées à ce qui est strictement nécessaire et n’offrent pas des recours effectifs aux personnes concernées, comme l’exige le Charte des droits fondamentaux de l’UE.

Même si la conférence de presse n’a pas permis de préciser l’impact que ce nouvel accord aura sur les lois américaines sur la surveillance, il semble à ce stade que cette décision ouvrira bel et bien la voie aux entreprises de l’UE pour transférer des données personnelles aux États-Unis.

En route vers Google Analytics 4

Google a annoncé qu’il commencera à supprimer l’année prochaine Universal Analytics, la génération précédente d’Analytics, pour faire passer les entreprises à Google Analytics 4. Ce dernier ne stockera plus les adresses IP. Dans son annonce, Google note que « ces solutions et ces contrôles sont particulièrement nécessaires dans le paysage international actuel du respect des données personnelles, où les utilisateurs attendent plus de protection de leur vie privée et de contrôle sur leurs données ».

Cette annonce intervient quelques semaines après que les plaintes du défenseur de la vie privée None of Your Business (NOYB) ont entraîné des décisions des autorités de protection des données françaises et autrichiennes à l’égard de l’outil d’analytics. Ces dernières estiment que l’utilisation de Google Analytics viole le RGPD en raison du transfert d’une combinaison d’identifiants uniques (y compris de l’adresse IP) à Google aux États-Unis sans mesures supplémentaires efficaces. L’annonce de Google est probablement, au moins en partie, une réaction à ces décisions.

La CNIL, autorité française de protection des données, a notamment constaté que la combinaison d’identifiants uniques avec d’autres éléments (tels que les métadonnées du navigateur ou de l’appareil et l’adresse IP) et la possibilité de lier ces informations à un compte Google rendent une personne identifiable. De plus, pour la CNIL la réponse de Google n’indiquait pas clairement si sa fonction d’anonymisation de l’IP était efficace pour empêcher l’accès potentiel à l’intégralité de l’adresse IP avant qu’elle ne soit raccourcie.

Les développeurs mobiles encouragés à renforcer leur conformité en France

Dans son plan stratégique pour 2022-2024, publié récemment, la Commission nationale informatique et libertés (CNIL) élit comme une de ses priorités les actions réglementaires ciblées sur des sujets à fort enjeu pour la vie privée. Parmi ces dernières, elle cite l’objectif de rendre visible les flux de données dans les applications des smartphones et de renforcer la conformité des applications mobiles et de leurs écosystèmes afin de mieux protéger la vie privée des utilisateurs de smartphones.

Les développeurs et autres acteurs de l’écosystème des applications mobiles ont sans doute tout intérêt à s’inspirer de ces déclarations du régulateur français et renforcer leur conformité, notamment pour ce qui est de la transparence des flux de données. Cela leur permettrait d’anticiper et de se préparer à des contrôles plus approfondis dans ce domaine dans les années à venir.

À ce sujet, la CNIL a publié fin 2021 un guide RGPD pour les développeurs qui fournit des conseils étape par étape et des exemples de conformité. Consulter ce document peut être un bon point de départ pour les développeurs souhaitant renforcer leur conformité.

Le contrôleur européen de la protection des données met en garde contre les risques de la publicité ciblée

En indiquant dans un post récent que la transparence ne suffit pas pour faire face aux risques associés à la publicité ciblée, Wojciech Wiewiórowski, le contrôleur européen de la protection des données, nous laisse entendre que le projet de proposition de loi adopté fin janvier par le Parlement européen pour la Législation sur les services numériques ne va pas assez loin pour lui. 

Ce projet, qui sera désormais discuté au niveau du Conseil européen, donne aux utilisateurs la possibilité de refuser certains types de tracking directement à partir des paramètres du navigateur et permet aux utilisateurs de s’enquérir sur les caractéristiques les concernant utilisées par l’industrie pour leur diffuser des publicités ciblées. Ces restrictions sont en réalité beaucoup moins strictes à l’égard de la publicité numérique que certaines propositions antérieures, qui allaient jusqu’à suggérer d’interdire complètement la publicité numérique.

Dans son billet, Wojciech Wiewiórowski suggère de restreindre davantage les catégories de données pouvant être traitées à cette fin, notamment pour protéger les populations vulnérables, comme les enfants. Le contrôleur européen a également déclaré que des incitations réglementaires pour favoriser des formes de publicité moins intrusives ne nécessitant pas de suivi de l’interaction de l’utilisateur avec le contenu seraient les bienvenues.

Dark patterns sur les réseaux sociaux : des recommandations pour ne pas se laisser piéger 

Le Comité européen de la protection des données (CEPD) a publié ses recommandations pour reconnaître et éviter les dark patterns (« interfaces truquées » en français), dans les plateformes de médias sociaux. Le document est ouvert aux commentaires jusqu’au 2 mai 2022.

Ces recommandations s’intéressent à de nombreux types de dark patterns impliquant des risques pour la protection des données personnelles. On y retrouve, par exemple, les dark patterns « sans issue », quand l’utilisateur se voit proposer une option liée à la protection des données lors du processus d’inscription qu’il ne peut retrouver plus tard ; les informations trompeuses, comme présenter aux utilisateurs un lien pour retirer leur consentement au ciblage publicitaire qui dirige vers une page avec des explications générales au lieu de leur permettre de le retirer directement ; ou encore les dark patterns « qui entravent », comme ne pas fournir d’accès direct à l’opt-out alors que le consentement (opt-in) ne nécessite qu’un clic. 

Bien que ces directives soient spécifiques aux médias sociaux, elles fournissent des informations qui peuvent être appliquées à d’autres plateformes et contextes.

En Arabie saoudite, nouveau délai pour l’application complète de la loi sur la protection des données

L’Autorité saoudienne des données et de l’intelligence artificielle a publié un tweet annonçant le report jusqu’au 17 mars 2023 de l’application complète de la loi saoudienne sur la protection des données personnelles. La décision a été prise en réponse aux commentaires des parties prenantes. 

Approuvée en septembre 2021, la loi devait entrer en vigueur le 13 mars dernier, ne donnant aux entités couvertes que six mois pour se préparer. Conçue pour protéger contre la collecte et le traitement sans consentement des données personnelles, la loi étend les droits des utilisateurs à voir, accéder ou restreindre le traitement des données personnelles et à connaître les finalités de leur traitement.