- Un député français conteste le cadre de transfert de données UE-USA
- Google doit payer 93 millions de dollars dans le cadre d'un accord sur les données de localisation
- TikTok condamné à une amende de 345 millions d'euros pour avoir mal géré les données d'enfants
- La surveillance étrangère au Royaume-Uni viole la CEDH
- Google et X font l'objet d'une action collective aux Pays-Bas
- Le "Google Privacy Sandbox" désormais largement disponible
- L'EDPB se penche sur le cas de la publicité Meta
- Le Congrès américain propose d'interdire la publicité pour la surveillance
- La loi européenne sur la gouvernance des données est désormais applicable
- Le projet de loi britannique sur la sécurité en ligne devient une loi
- Le PCLOB se prononce sur la loi FISA
- L'autorité finlandaise de protection des données autorise les transferts de données pour une entreprise russe
Un député français conteste le cadre de transfert de données UE-USA
Le 6 septembre, Philippe Latombe, député français et membre de la CNIL, a déposé une demande d'annulation du cadre de protection des données UE-USA devant la Cour de justice de l'UE, comme l'a d'abord rapporté Politico.
Compte tenu de l'histoire juridique mouvementée des transferts de données entre l'UE et les États-Unis, une action en justice contre le nouveau cadre transatlantique de protection des données était largement attendue. Il n'est toutefois pas certain que la Cour examinera le bien-fondé de l'affaire, car les exigences procédurales pour une action directe sont plutôt strictes.
Nous avons analysé cette nouvelle plus en détail sur notre blog.
Google doit payer 93 millions de dollars dans le cadre d'un accord sur les données de localisation
Google a conclu ** un accord de 93 millions de dollars** avec le ministère de la justice de Californie concernant des allégations de collecte illégale de données de localisation d'utilisateurs. L'entreprise a également été sommée de faire preuve d'une plus grande transparence dans le traitement des données de localisation.
Google aurait suivi et stocké des données de localisation à des fins de profilage et de publicité sans le consentement de l'utilisateur. Selon l'avocat général Rob Bonta, l'entreprise a également ignoré les préférences des utilisateurs qui ont désactivé le paramètre "historique de localisation" de leurs appareils et choisi de ne pas recevoir de publicité ciblée basée sur la localisation.
TikTok condamné à une amende de 345 millions d'euros pour avoir mal géré les données d'enfants
Le 1er septembre, l'autorité irlandaise de protection des données (DPC) a infligé à TikTok une amende de 345 millions d'euros pour le traitement des données d'utilisateurs mineurs. Le Comité européen de protection des données a été directement impliqué, comme c'est souvent le cas lorsque l'autorité irlandaise de protection des données traite avec les grandes entreprises technologiques.
Selon le CPD, TikTok n'a pas pris en compte l'impact sur la vie privée de ses paramètres par défaut pour les comptes d'enfants. En outre, la fonction de jumelage familial de la plateforme a créé de sérieux risques pour les utilisateurs mineurs, car elle a été mise en œuvre sans processus de vérification.
La surveillance étrangère au Royaume-Uni viole la CEDH
Le 12 septembre, la Cour européenne des droits de l'homme (CEDH) a condamné le Royaume-Uni pour avoir surveillé des ressortissants étrangers sans prévoir de recours judiciaire.
En l'espèce, le Royaume-Uni a mis en place une surveillance numérique à l'encontre de deux journalistes étrangers. Les deux journalistes ont porté l'affaire devant l'Investigatory Powers Tribunal du Royaume-Uni, mais n'ont pas été entendus parce qu'ils ne résidaient pas au Royaume-Uni. Dans son arrêt, la Cour européenne des droits de l'homme a estimé que le Royaume-Uni avait violé la Convention européenne des droits de l'homme en refusant d'agir aux journalistes.
L'absence d'un système de recours efficace est un aspect problématique des transferts de données à caractère personnel entre l'UE et les États-Unis, et l'une des principales raisons pour lesquelles la Cour de justice de l'UE a invalidé deux cadres de transfert de données avec les États-Unis dans le passé. Ce manque de recours pourrait-il devenir un problème pour les transferts de données entre l'UE et le Royaume-Uni ?
Google et X font l'objet d'une action collective aux Pays-Bas
Google fait l'objet d'une action collective aux Pays-Bas pour violation présumée de la vie privée. L'affaire a été introduite par l'association néerlandaise de consommateurs Consumentenbond et le groupe de défense de la vie privée Privacy Protection Foundation.
Comme indiqué dans un communiqué de presse commun, les plaintes portent sur le transfert illégal de données personnelles en dehors de l'UE, la collecte illégale de données de localisation et l'utilisation délibérée de schémas sombres pour manipuler les utilisateurs afin qu'ils consentent à des pratiques de collecte de données très invasives.
X Corp (anciennement connu sous le nom de Twitter) fait également l'objet d'une action collective concernant la collecte illégale de données, menée par l'organisation néerlandaise à but non lucratif SDBN.
Selon SDBN, l'application Twittter (aujourd'hui X) et la plateforme d'application mobile MoPub (actuellement détenue par une autre société) ont collecté des données personnelles sans recueillir le consentement éclairé des utilisateurs. Il convient de noter que les traceurs MoPub sont intégrés dans un très grand nombre d'applications gratuites, y compris des services très répandus tels que Shazam, Duolingo et Grindr.
Le "Google Privacy Sandbox" désormais largement disponible
En septembre, l'API de l'outil Privacy Sandbox de Google a été mise à la disposition des développeurs. La publication de l'API est une étape importante dans la stratégie annoncée par Google pour éliminer progressivement les cookies tiers de son propre environnement.
L'outil Google Privacy Sandbox utilise les informations de navigation pour classer les utilisateurs dans des groupes en fonction de leur localisation, de leur démographie et de leurs centres d'intérêt. L'idée de base de l'Environnement de test est que le partage des données relatives à ces groupes, et rien d'autre, permet une publicité ciblée efficace avec un impact moindre sur la vie privée de l'utilisateur par rapport aux stratégies de suivi traditionnelles basées sur les cookies.
Le "Privacy Sandbox" est un système de préservation de la vie privée qui a suscité un certain nombre de critiques. Voyons si le "Sandbox" tiendra réellement ses promesses ou s'il ne sera qu'un simple vernis pour le modèle commercial hautement invasif de Google.
L'EDPB se penche sur le cas de la publicité Meta
Le 28 septembre, l'autorité norvégienne de protection des données a demandé au Comité européen de protection des données de prendre une décision contraignante sur le ciblage publicitaire sur Facebook et Instagram. L'autorité cherche à confirmer l'interdiction temporaire des publicités personnalisées de Meta imposée il y a plusieurs mois par le biais d'une procédure d'urgence. Peu avant cette interdiction, la Cour de justice de l'Union européenne avait jugé illégal le modèle publicitaire de Meta.
L'affaire porte essentiellement sur l'absence de consentement de l'utilisateur au profilage et à la publicité ciblée. Cette affaire mérite d'être suivie de près, car elle pourrait déboucher sur des interdictions dans d'autres pays européens et avoir une incidence générale sur le modèle commercial "payez avec vos données" qui alimente de nombreuses plateformes en ligne.
Pour plus d'informations, n'hésitez pas à consulter notre blog sur l'arrêt du Bundeskartellamt de la Cour de justice.
Le Congrès américain propose d'interdire la publicité pour la surveillance
Le 18 septembre, des représentants démocrates ont présenté au Congrès américain la loi sur l'interdiction de la publicité liée à la surveillance (Banning Surveillance Advertising Act).
Ce projet de loi vise à interdire la publicité basée sur des informations achetées à des courtiers en données ainsi que sur des informations protégées telles que la race et la religion. Selon la représentante Anna Eshoo, la publicité basée sur la surveillance est "un modèle commercial toxique qui cause des dommages irréparables aux consommateurs, aux entreprises et à la démocratie américaine".
La situation de la vie privée aux États-Unis est loin d'être rose. Le Congrès a tenté de faire adopter une réglementation fédérale sur la protection de la vie privée (l'ADPPA), mais les négociations autour de la proposition ont été ralenties au point d'en devenir infructueuses. La loi sur l'interdiction de la publicité pour la surveillance pourrait jouer un rôle crucial dans la protection des droits à la vie privée jusqu'à ce que l'ADPPA arrive (si tout va bien).
La loi européenne sur la gouvernance des données est désormais applicable
La loi européenne sur la gouvernance des données (DGA) est entrée en vigueur en septembre, après une période de grâce de 15 mois.
Cette loi vise à promouvoir l'espace européen des données en permettant aux entreprises et aux organismes publics de partager des données personnelles et non personnelles avec des intermédiaires de confiance, qui mettront ensuite ces données à la disposition d'autres entités sous certaines conditions. Par exemple, les fabricants peuvent confier leurs données à des intermédiaires de confiance.
Toutefois, la DGA ne crée aucune obligation de partage des données pour les organisations. Selon toute vraisemblance, le succès de l'Espace numérique des données dépendra de la capacité de la Commission à convaincre les grandes entreprises de partager leurs données.
Le projet de loi britannique sur la sécurité en ligne devient une loi
Le projet de loi britannique controversé sur la sécurité en ligne a été voté par le Parlement le 19 septembre et entrera bientôt en vigueur. Ce projet de loi prévoit des obligations de modération de contenu pour les plateformes en ligne et des mesures contre la diffusion de matériel pédopornographique (appelé " matériel pédopornographique " ou "CSAM") par l'intermédiaire des plateformes de messagerie personnelle.
La controverse entourant le projet de loi porte sur l'obligation faite aux plateformes de messagerie personnelle d'identifier et de retirer les contenus illicites, y compris le matériel pédopornographique. Cette obligation pourrait contraindre les entreprises à rompre le cryptage de bout en bout en mettant en place un système d'analyse côté client pour leurs services, ce qui soulève des questions de sécurité et de protection de la vie privée. Les groupes de défense de la vie privée et plusieurs plateformes de messagerie se sont vivement opposés au projet de loi, Whatsapp et Signal allant jusqu'à annoncer qu'ils quitteraient le marché britannique si le projet de loi était adopté.
Le PCLOB se prononce sur la loi FISA
Dans le même ordre d'idées, leConseil de surveillance de la vie privée et des libertés civiles (PCLOB) a examiné les activités de surveillance à l'étranger menées par la NSA en vertu de l'article 702 de la loi FISA, l'une des lois autorisant la surveillance des citoyens étrangers. Le rapport du Conseil souligne que certaines formes d'opérations de collecte de données - en particulier les "US person queries" et les "batch queries" - sont potentiellement très intrusives et pourraient être limitées sans que cela n'affecte gravement l'efficacité de la surveillance à l'étranger.
Laréautorisation de la FISA doit bientôt être soumise au Congrès et le rapport de la Commission pourrait avoir une incidence sur le processus de négociation. La situation mérite d'être suivie, car les opérations menées dans le cadre de la FISA sont au cœur de problèmes juridiques vieux de dix ans concernant les transferts de données entre l'Union européenne et les États-Unis.
L'autorité finlandaise de protection des données autorise les transferts de données pour une entreprise russe
Le 27 septembre, l'autorité finlandaise de protection des données a suspendu l' interdiction temporaire de transfert de données prononcée en août à l'encontre de Yango, une application russe de covoiturage.
La décision initiale portait sur une nouvelle loi russe qui permet aux agences de surveillance de demander des données personnelles à certaines entreprises. Après un examen plus approfondi, l'autorité finlandaise a estimé que la loi russe ne s'appliquait pas aux services de covoiturage.