Privacy : un tour du monde des actualités de mai

Les mesures, décisions et débats qui font bouger la protection de la vie privée sur la planète

Twitter sanctionné aux États-Unis, Google en Espagne, 30 sites web mis en demeure en Grèce : les autorités des deux côtés de l’Atlantique continuent de prendre des mesures fortes pour assurer la protection de données personnelles tandis que de nouvelles règlementations et orientations sont adoptées.

Que retenir des critères de la Cnil pour les cookies walls ?

La Cnil a publié des critères d’appréciation de la légalité de la pratique des sites internet qui conditionnent l’accès à un service à l’acceptation de cookies ou autres traceurs sur le terminal de l’utilisateur. C’est ce que l’on nomme le « cookie wall » (ou « mur de traceurs »). La légalité s’évalue en fonction de différents facteurs selon la Cnil : s’il existe ou non des alternatives équitables pour accéder au contenu, si le paiement éventuel exigé des utilisateurs qui refusent les cookies constitue un « prix raisonnable », si le cookie wall est limité aux finalités permettant une juste rémunération et si la sélection de l’alternative payante entraîne une limitation appropriée des traceurs inutiles.

Le RGPD exige que le consentement soit « librement donné » ainsi qu’une « indication non ambiguë de la volonté de la personne concernée ». Il prévoit également que « le consentement est présumé ne pas être donné librement... si l’exécution d’un contrat, y compris la fourniture d’un service, dépend du consentement, et bien que ce consentement ne soit pas nécessaire pour une telle exécution ». Cependant, le texte ne précise pas dans quelle mesure une rémunération peut être demandée comme alternative au consentement.

La Cour de justice de l’Union européenne a estimé qu’un « mur de traceurs » sans option alternative au consentement est interdit, sans pour autant prendre une position claire sur la manière et dans quelle mesure les paywalls s’inscrivent dans les exigences du RGPD  et de la directive ePrivacy.

Tant que ces précisions ne seront pas publiées, les entreprises doivent s’appuyer sur les avis de leurs autorités de protection des données locales pour évaluer la légalité des paywalls. Pour ce qui est de la France, les orientations de la Cnil indiquent que les paywalls « raisonnables » sont autorisés.

Google sanctionné par l’autorité espagnole de protection de données

L’Autorité espagnole de protection des données (AEPD) a sanctionné Google d’une amende de 10 millions d’euros pour avoir envoyé au projet Lumen des demandes de suppression de contenus d’utilisateurs avec leurs informations d’identification associées. Lumen est une base de données tierce qui collecte, analyse et publie des demandes de suppression de contenus en ligne afin d’étudier, de faciliter et d’orienter le public sur ces demandes.

L’AEPD a allégué que Google a transmis ces informations sans base légale valable. En plus de l’amende, Google est tenu de corriger ses manquements et de supprimer toutes les données personnelles communiquées au Lumen Project. Google s’était appuyé sur l’intérêt légitime comme base juridique valable pour ce partage de données, puisque son objectif était de fournir au public la transparence des demandes de suppression de contenus pour la prévention de la fraude. L’AEPD a cependant rejeté cette défense. Selon l’autorité espagnole, ce n’était pas nécessaire de communiquer des données personnelles pour atteindre l’objectif. De plus, ce traitement des données n’était pas prévu et le formulaire de demande ne permettait pas de s’y opposer.

Twitter sanctionné : quelle leçon retenir ?

La Federal Trade Commission (FTC) a ordonné à Twitter de payer 150 millions de dollars pour avoir utilisé des numéros de téléphone et des adresses e-mail à de fins d’activation de publicités ciblées alors que ces informations avaient été initialement collectées sous prétexte de protéger les comptes des utilisateurs.

La plateforme sociale était déjà sous le viseur d’une ordonnance de la FTC datant de 2011 qui lui interdisait spécifiquement de déguiser ses pratiques en matière de protection de données personnelles et de sécurité. En plus de payer l’amende, Twitter est condamné à cesser d’utiliser des données collectées de manière trompeuse et à apporter plusieurs ajustements internes.

Ce cas souligne l’importance pour les entreprises de disposer d’un programme complet de protection des données personnelles, qui prenne en compte tout type d’utilisation des données, offre de la transparence aux utilisateurs à ce sujet et mette en œuvre et maintienne des contrôles internes pour s’assurer que la politique est suivie tout au long du cycle de vie de ces données.

Aux États-Unis, un cinquième État adopte une loi complète sur la protection des données

Cela s’est passé dans l’État du Connecticut le 4 mai dernier : la loi concernant la protection des données personnelles et la surveillance en ligne a été adoptée. Son entrée en vigueur est prévue le  1er juillet 2023. Le Connecticut est le cinquième État américain à promulguer une loi complète sur les données après la Californie, la Virginie, le Colorado et l’Utah.

Bien que ce texte soit composé presque entièrement d’éléments empruntés à d’autres lois en vigueur dans les autres États américains ou au RGPD, il vient ajouter de la complexité à la conformité à la privacy en mélangeant ces éléments de manière univoque. Par exemple, comme d’autres lois d’États américains, la loi du Connecticut n’exige le consentement volontaire que dans certaines circonstances, comme lors du traitement de données révélant d’un état de santé ou de croyances religieuses. Mais la loi emprunte au RGPD une exigence supplémentaire pour offrir un mécanisme permettant de révoquer le consentement aussi simplement que pour le fournir. 

Au fur et à mesure que de nouvelles lois sont adoptées, ces complexités obligent les entreprises à choisir entre l’adoption de processus distincts pour chaque juridiction ou un processus unique qui se plie aux exigences de chaque nouvelle loi.

Vers plus de contrôle de la protection de la vie privée sur les « edtech »

Les technologies de l’éducation (edtech) sont dans le viseur de la Federal Trade Commission (FTC) aux États-Unis. L’organisme s’est récemment engagé à appliquer pleinement les limitations de la règlementation COPPA à l’égard des opérateurs d’edtech et leur capacité à collecter, utiliser et conserver les données personnelles des enfants, y compris à l’école et dans les lieux d’apprentissage. La COPPA est la loi sur la protection de la vie privée en ligne des enfants.

La FTC va notamment interdire la collecte obligatoire de données personnelles inutiles comme condition de participation à la technologie éducative, l’utilisation commerciale ou secondaire (au-delà de la fourniture du service) des données collectées avec l’autorisation de l’école et la conservation des données plus longtemps que nécessaire, entre autres points. 

30 sites web épinglés par l’autorité grecque de protection des données

L’Autorité grecque de protection des données a envoyé des lettres à 30 sites web pour des pratiques de consentement qualifiées de non conformes aux recommandations de la DPA. L’autorité a constaté que sur ces sites les utilisateurs n’étaient pas en mesure de refuser le consentement avec le même nombre d’actions, et au même niveau et que les boutons et les polices pour ces actions n’étaient pas de la même taille, du même ton ni de la couleur pour offrir le même confort de lecture.

La DPA a recommandé que les bannières de cookies affichent les options « Pas d'accord » ou « Rejeter » plutôt que « Accepter » et « Plus d’options » et que le bouton « Accepter » ne soit pas mis en surbrillance avec une couleur qui favorise ce choix. Les sites ayant reçu cette lettre disposent de 15 jours pour se conformer. La DPA a déclaré qu’ils pourraient se voir imposer des sanctions en cas de non-conformité.

Ces recommandations et mesures sont en cohérence avec celles appliquées dans d’autres pays sur le continent européen, comme cela a été le cas des sanctions imposées à Google par l’Autorité française de protection des données et des avis émis à l’attention de Google et d’autres médias par l’Autorité de protection des données de Hambourg, obligeant finalement Google à ajouter un bouton « tout rejeter » à ses bannières de consentement aux cookies. À la suite de cette affaire, le bureau du Commissaire à l’information du Royaume-Uni (ICO) a notamment publié une déclaration applaudissant le changement et ajoutant que l’ICO s’attend à voir l’industrie de la publicité en ligne « suivre l’exemple de Google ».

Le Royaume-Uni en route vers un nouveau cadre pour les données

Le « discours de la Reine » 2022, adressé aux deux chambres du Parlement britannique le 10 mai, confirme l’intention de ce gouvernement de réformer le régime de protection des données en vigueur. Aucun autre détail n’a été fourni dans le discours. Selon différentes sources, le projet de loi sur la réforme des données sera probablement publié cet été dans le cadre d’un ensemble plus large de réformes de la protection des données. 

Le document politique publié par le gouvernement britannique fin janvier 2022 faisait déjà état des projets pour un nouveau « régime de données » qui « contribuerait à stimuler la croissance, l’innovation et la concurrence dans tout le pays et à renforcer la réputation mondiale du Royaume-Uni en tant que plaque tournante pour les entreprises responsables axées sur les données, auxquelles les consommateurs font confiance pour offrir des services de haute qualité en matière de protection des données ». Une consultation réalisée ce printemps cite l’impact sur les données de mesure d’audience et le nombre de cookies contextuels sur les sites web comme des problèmes à résoudre. La réponse du gouvernement britannique abordera probablement ces problèmes.

Une boîte à outils pour mieux appréhender les risques liés à l’intelligence artificielle

Le bureau du Commissaire à l’information du Royaume-Uni (ICO) a publié une boîte à outils d’identification et évaluation des risques d’atteinte à la protection des données liés à l’intelligence artificielle. L’objectif est de fournir une aide pratique aux organisations dans l’évaluation et la réduction des risques d’atteinte aux droits et aux libertés individuels à chaque étape du cycle de vie du développement de systèmes d’IA. Bien que l’utilisation de cette boîte à outils ne soit pas obligatoire (ni destinée à remplacer les évaluations d'impact formelles), l’ICO souligne que le fait de documenter l’évaluation des risques et les mesures prises pour les atténuer peut aider l’entreprise à démontrer sa conformité à la loi sur la protection des données en vigueur au Royaume-Uni.

Google met à jour son calendrier de tests et d’aperçus de la Privacy Sandbox pour les développeurs sur Android

Google a mis à jour son calendrier pour la publication d’aperçus pour les développeurs à mesure qu’il conçoit, construit et teste de nouvelles solutions pour la Privacy Sandbox sur Android. L’outil démarre tardivement pour Android comparé à Chrome. 

Un premier aperçu pour les développeurs, sur les API SDK Runtime et Topics, a été publié fin avril. D’autres, pour les API Fledge et Attribution Reporting devraient être disponibles en juin. Les SDK Runtime et Topics continueront d’être mis à jour à partir de juillet 2022. Une version bêta de la Privacy Sandbox pour Android devrait être disponible sur les appareils mobiles grand public d’ici la fin de l’année.