Privacy : un tour du monde des actualités d'avril

Les mesures, décisions et débats qui font bouger la protection de la vie privée sur la planète.

Le respect des citoyens mène l’actualité européenne, partagée entre l’accord politique trouvé au sujet de la loi sur les services numériques (DSA), la décision de la Cour de justice de l’UE (CJUE) favorable aux actions de justice collectives générales et beaucoup de précaution vis-à-vis d’un possible retour des transferts des données transatlantiques.

Les principales obligations imposées par la loi sur les services numériques en Europe

Le mois d’avril a été notamment marqué en Europe par l’accord politique trouvé entre les États membres de l’UE et le Parlement européen au sujet de la loi sur les services numériques (DSA). Ce texte est le deuxième pilier d’un cadre législatif conçu pour équilibrer la protection des utilisateurs et l’innovation dans l’économie numérique. Parmi les obligations imposées par le DSA, qui diffèrent selon la taille des entreprises, les plus strictes s’adressent aux plateformes en ligne et aux moteurs de recherche comptant plus de 45 millions d’utilisateurs actifs par mois. Ces derniers devront notamment offrir aux utilisateurs un système de recommandation de contenu sans profilage. Dans le cas des plus petites plateformes fournissant des services dans l’UE,  l’utilisation des données personnelles des mineurs à des fins de publicité ciblée et le recours aux interfaces truquées seront interdits. La loi sur les services numériques doit désormais être soumise à l’approbation formelle et à l’adoption par le Conseil et le Parlement.

La Cour de justice de l’UE ouvre la porte aux actions collectives sans plaignant spécifique

Une décision récente de la Cour de justice de l’UE (CJUE) pourra entraîner une augmentation des actions intentées au niveau national par des groupes de défense des consommateurs dans le cadre du RGPD. Questionnée par la Cour fédérale de justice allemande quant à savoir si la Fédération des organisations de consommateurs allemandes avait qualité pour intenter une action contre Facebook devant un tribunal civil allemand sur la base de violations de la loi allemande sur la protection des données, sans pour autant disposer d’un mandat d’une personne spécifique, la CJUE a répondu « oui ». Cela signifie que les organismes, organisations et associations à but non lucratif pourront désormais intenter des actions en Justice, lorsque l’État membre le permet, sur la base d’une violation générale du RGPD ou de la loi locale sur la protection des données, sans nécessité de nommer de plaignants spécifiques lésés.

Transfert de données UE-États-Unis : au-delà de l’accord de principe, la garantie du respect des droits des citoyens 

S’il a salué l’accord de principe entre l’Union européenne et les États-Unis pour le retour d’un transfert de données transatlantiques, le Comité européen de la protection des données (CEPD) a rappelé dans une déclaration qu’il faudra surmonter un certain nombre d’obstacles avant que cette annonce ne devienne un cadre juridique sur lequel compter. Notamment, l’organisme indique qu’il compte bien examiner cette proposition pour s’assurer qu’elle répond aux préoccupations soulevées par la Cour de justice de l'Union européenne (CJUE) dans la décision Schrems II 2020, et notamment à deux d’entre elles. Tout d’abord, la garantie que la collecte de données à caractère personnel à des fins de sécurité nationale soit limitée, si elle a lieu, à ce qui est strictement nécessaire. Que les droits des citoyens à un recours effectif et à un procès équitable soient respectés.

Avant d’adopter une éventuelle nouvelle décision d’adéquation, la Commission européenne sera tenue de demander l’avis du CEPD. Par ailleurs, d’ici à ce qu’un accord officiel soit conclu, les entreprises transférant des données de l’UE vers les États-Unis devront continuer à procéder à des évaluations de transfert avant de les concrétiser, conformément à l’arrêt Schrems II de la Cour de justice de l’UE. C’est ce qu’a rappelé à ce sujet récemment l’Autorité danoise de protection des données (Datatilsynet), en indiquant que l’accord de principe signé par la Commission européenne et les autorités américaines « ne peut encore être utilisé en pratique par les entreprises danoises ».

Vers plus de coopération entre les APD européennes

Le Comité européen de la protection des données (CEPD) a annoncé qu’il mettra prochainement en œuvre de nouvelles mesures pour renforcer la coopération entre les autorités de protection des données (APD) européennes dans leur application du RGPD. Parmi ces dernières, la proposition d’un plan d’action pour la coopération entre les APD concernées par un certain nombre d’affaires transfrontalières d’importance stratégique.

Le RGPD contient en effet divers mécanismes de coopération et de cohérence pour harmoniser le niveau de protection qu’il offre dans l’ensemble des États membres. Par exemple, les autorités de contrôle doivent se consulter mutuellement avant de rendre une décision qui concerne des personnes dans plusieurs États membres. Le CEPD a justement pour mission de de veiller à l’application cohérente du règlement. 

L’IAB Europe soumet un plan d’action à l’autorité belge tout en contestant sa décision

IAB Europe a annoncé avoir soumis à l’Autorité belge de protection de données (APD) un plan d’action pour traiter les domaines du Transparency and Consent Framework (TCF) identifiés comme étant non conformes. Si l’APD approuve ce plan d’action, l’IAB Europe disposera de six mois pour le mettre en œuvre. À noter cependant que l’IAB Europe a également fait appel de cette décision.

IA et RGPD : l’éclairage de la Cnil

Comment concilier profilage en ligne et respect de la vie privée ? Dans le dossier que l’autorité française de protection des données (Cnil) a publié récemment sur l’intelligence artificielle (« Intelligence artificielle, de quoi parlons-nous ? »), un chapitre est dédié à ce sujet. On y retrouve une présentation détaillée des méthodes de profilage et des conseils aux entreprises pour que cela se fasse dans le respect du droit. Parmi ces recommandations, on peut citer l’importance de : minimiser les données collectées à des fins de profilage ; être transparent en informant les utilisateurs sur le profil qui leur correspond ; analyser les catégories de données collectées pour identifier si elles pourraient conduire à des discriminations et permettre aux utilisateurs de prendre le contrôle du profil qui les caractérise. 

La prospection commerciale dans le viseur de la Cnil

La Cnil a annoncé avoir mis en demeure trois organismes pour transmission de données personnelles sans base légale valable à des tiers partenaires à des fins de prospection commerciale par téléphone, email ou SMS. Les organisations disposent de trois mois pour se mettre en conformité afin d’éviter les amendes. À noter que l’autorité avait publié en début d’année des orientations et des FAQ concernant le traitement des données dans le cadre d’activités commerciales, dont une rubrique spécifiquement consacrée à la prospection. Ces orientations rappellent, entre autres, que pour ce type de transfert de données, le consentement doit être obtenu de façon à s’assurer que l’utilisateur comprend l’étendue des conséquences de son choix. 

Google Play lance une section sur la sécurité des données

Google Play inclut désormais une section « Sécurité des données » dans les listes d’applications pour les appareils Android. Cette dernière affiche aux utilisateurs des informations indiquant si l’application collecte des données et à quelles fins, si les données sont partagées avec des tiers, si cette collecte est nécessaire au fonctionnement de l’application ainsi que des informations sur les pratiques de sécurité de l’application. Les développeurs d’applications devront fournir ces informations d’ici le 20 juillet.

Bien que toutes les applications (y compris la section sur la sécurité des données) passent par un processus de révision, Google note sur une page d’aide aux développeurs que le processus de révision « n’est pas conçu pour vérifier l’exactitude et l’exhaustivité de vos déclarations de sécurité des données ». Il appartient à chaque développeur de s’assurer que ces déclarations correspondent avec précision aux pratiques de collecte de données sur l’application, y compris par des tiers.

« Tout refuser » : Google salué en Europe, l’industrie de la publicité invitée à faire de même

Stephen Bonner, directeur exécutif du bureau du commissaire à l’information du Royaume-Uni, a publié une déclaration saluant l’ajout par Google d’une option « tout refuser » aux bannières de consentement aux cookies. Le représentant de l’autorité britannique a également indiqué qu’il s’attend à voir l’industrie de la publicité en ligne suivre cet exemple.

Google a modifié son approche du consentement aux cookies en réaction à la fois aux sanctions qui lui ont été imposées par la Cnil plus tôt cette année et à un avis de l’Autorité de protection des données de Hambourg début avril. Cette dernière avait en effet informé Google que son moteur de recherche et ses bannières de consentement sur YouTube n’étaient pas conformes aux exigences de protection des données. La DPA de Hambourg a également notifié d’autres médias pour des problèmes similaires, indiquant une attente de l’autorité à l’égard de l’ensemble de l’industrie.

Un forum mondial sur les règles transfrontalières de respect de la vie privée lancé entre pays américains et asiatiques

Les États-Unis avec le Canada, le Japon, la République de Corée, les Philippines, Singapour et Taïwan, ont fondé un forum mondial sur les règles de confidentialité transfrontalières. L’objectif annoncé est de faciliter la protection et la libre circulation des données et diffuser les meilleures pratiques en matière de privacy et d'interopérabilité.