Bienvenue dans l'édition de janvier 2023 du Mensuel de la protection de la vie privée. Une fois par mois, nous aborderons brièvement certaines des nouvelles les plus importantes en matière de protection de la vie privée.
Que s'est-il passé le mois dernier ? Découvrons-le !
- La Commission européenne rédige un projet de décision d'adéquation
- L'UE signe une déclaration sur les droits numériques
- De nouveaux problèmes juridiques pour Meta
- La Slovénie adopte une loi sur la protection des données personnelles
- Office 365 n'est pas conforme au GDPR selon les organismes de surveillance allemands
- Le Sénat américain vote l'interdiction de TikTok sur les appareils du gouvernement fédéral
- Meta interdit les sociétés de surveillance pour compte d'autrui
- Règlements records pour Epic Games
- Un organisme de surveillance britannique dénonce les entreprises responsables de violations de données
La Commission européenne rédige un projet de décision d'adéquation
Le 13 décembre, la Commission européenne a publié un projet de décision d'adéquation pour les États-Unis. La prochaine étape de la procédure sera un avis non contraignant du Comité européen de la protection des données. Enfin, le projet sera voté par les États membres et formellement adopté par la Commission.
L'approbation du projet est pratiquement certaine, étant donné les longues négociations entre l'UE et les États-Unis sur le cadre transatlantique de protection des données personnelles. Toutefois, il est également pratiquement certain que la décision d'adéquation à venir fera l'objet d'un examen juridique de la part de la Cour de justice. La CJUE a déjà invalidé deux cadres de transfert de données dans les affaires Schrems I et II, et il est difficile de dire comment se déroulera une affaire "Schrems III" - mais le Comité européen de la protection des données pourrait nous donner du recul dans son prochain avis.
L'UE signe une déclaration sur les droits numériques
Le 15 janvier, la déclaration sur les droits et principes numériques européens a été signée par la Commission européenne, le Conseil de l'Europe et le président du Parlement européen. La déclaration vise à promouvoir une transition numérique basée sur une vision centrée sur l'humain.
Elle repose sur six principes (l'être humain au centre, la solidarité et l'inclusion, la liberté de choix, la participation, la sûreté et la sécurité, la durabilité) et vise à compléter la stratégie numérique de l'UE. En termes pratiques, la déclaration n'est pas contraignante, mais elle pourrait servir d'inspiration et de point de référence pour l'interprétation du GDPR et du cadre de protection des données de l'UE en général.
De nouveaux problèmes juridiques pour Meta
Le 22 décembre, Meta Platforms a accepté un ** règlement de 725 millions de dollars** pour un recours collectif concernant l'affaire Cambridge Analytica. Facebook a déjà été condamné à une amende colossale de 5 milliards de dollars par la Commission fédérale du commerce des États-Unis dans le cadre de ce scandale, en plus de payer une amende de 500 000 livres à l'organisme britannique de protection de la vie privée.
En outre, le 4 janvier, l'autorité de surveillance irlandaise a condamné Meta Platforms Ireland à une amende totale de 390 millions d'euros pour avoir illégalement ciblé les utilisateurs de Facebook et d'Instagram avec des publicités personnalisées. L'amende fait suite à une décision du Comité européen de protection des données dans le cadre du mécanisme de règlement des différends du GDPR. Nous avons couvert la décision du CEPD de manière plus approfondie sur notre blog.
Enfin, la Cour de justice de l'UE a rejeté une action intent ée par Whatsapp Ireland, filiale de Meta, contre une décision de l'EDPB. La procédure concerne une amende de 225 euros imposée par le DPC en 2021. L'action a été rejetée pour des raisons de procédure, car la décision de l'EDPB n'est contraignante que pour le DPC et ne concerne pas directement Whatsapp.
La Slovénie adopte une loi sur la protection des données personnelles
Le 15 décembre, l'Assemblée nationale de la République de Slovénie a adopté la loi sur la protection des données personnelles.
La Slovénie est soumise au GDPR depuis son entrée en vigueur, car les règlements de l'UE sont directement applicables. Cependant, le GDPR demande une mise en œuvre nationale de règles spécifiques, et le manque de mise en œuvre rendait l'application problématique. Avec la nouvelle loi, la Slovénie est enfin devenue le dernier État membre de l'UE à mettre en œuvre le GDPR dans sa législation nationale.
Office 365 n'est pas conforme au GDPR selon les organismes de surveillance allemands
La Conférence allemande sur la protection des données a souligné dans un rapport récent que la suite Office 365 de Microsoft n'est pas conforme à certaines dispositions clés du GDPR.
La Conférence allemande sur la protection des données (DSK) est un comité formé par l'autorité fédérale de protection des données de l'Allemagne et par les autorités de protection des données des différents États allemands. Le rapport a été publié fin novembre et est le résultat de deux années de consultations entre un groupe de travail de la DSK et Microsoft elle-même. Le rapport met en évidence plusieurs problèmes de conformité, notamment des garanties insuffisantes pour les transferts de données entre l'UE et les États-Unis, l'absence de politiques de conservation des données et un manque général de clarté quant au rôle de Microsoft en tant que responsable du traitement ou sous-traitant en ce qui concerne les opérations individuelles de traitement des données.
Microsoft a récemment annoncé qu'elle mettrait en œuvre son programme de délimitation des frontières de l'UE en 2023 afin de réduire les transferts de données vers l'UE. Cette initiative de Microsoft pourrait être déterminante pour la mise en conformité avec le GDPR. Toutefois, les nouvelles politiques de Microsoft concernant les données européennes devront certainement être examinées de près, car certains transferts de données vers les États-Unis resteront probablement nécessaires dans certains scénarios.
Le rapport du groupe de travail est disponible sur le site web de la DSK (en allemand uniquement).
Le Sénat américain vote l'interdiction de TikTok sur les appareils du gouvernement fédéral
Le 14 décembre, le Sénat américain a voté à l'unanimité un projet de loi visant à interdire aux fonctionnaires fédéraux de télécharger l'application TikTok sur leurs appareils. Pour devenir une loi, la proposition doit encore être approuvée par le Congrès et signée par le président des États-Unis.
Les politiciens américains des deux partis craignent que TikTok ne soit utilisé par le gouvernement chinois pour collecter des informations de renseignement. En outre, l'application fait l'objet d'un examen de sécurité par le Comité sur les investissements étrangers aux États-Unis (CFIUS), après que ByteDance, propriétaire de TikTok, a racheté l'application musical.ly en 2019 et fusionné sa base d'utilisateurs avec celle de TikTok.
Meta interdit les sociétés de surveillance pour compte d'autrui
Le 14 décembre, Meta a annoncé qu'elle interdisait à sept sociétés de surveillance d'accéder à Facebook, les empêchant ainsi de promouvoir leurs services sur le réseau social. L'entreprise a également présenté un document d'orientation exhortant les gouvernements à prendre des mesures contre l'industrie de la surveillance.
Selon Meta, les logiciels espions et les sociétés de surveillance à façon constituent une menace importante pour la vie privée et la société. De nombreuses entreprises de ce type sont présentes sur Facebook, et certaines d'entre elles mènent leurs activités sur la plateforme, en utilisant de faux comptes et des liens vers des logiciels espions pour espionner leurs marques. Bien que Meta ait donné la priorité à la lutte contre les logiciels espions sur sa plateforme, elle souligne que les décideurs politiques doivent prendre des mesures pour contrer les menaces posées par les entreprises de surveillance pour compte d'autrui.
Règlements records pour Epic Games
La Federal Trade Commission et le créateur de Fortnite, Epic Games, ont conclu deux accords avec la Federal Trade Commission pour un montant record de 520 millions de dollars. Cette somme couvre une amende de 275 millions de dollars pour avoir violé la loi sur la protection de la vie privée des enfants en ligne (Children's Online Privacy Protection Act) par le biais des paramètres de confidentialité par défaut de Fortnite, ainsi qu'un remboursement important pour les achats involontaires induits par une conception trompeuse. Epic devra également modifier les paramètres de confidentialité par défaut de Fortnite, en exigeant que les utilisateurs de moins de 13 ans acceptent de participer aux discussions textuelles et vocales du jeu.
Un organisme de surveillance britannique dénonce les entreprises responsables de violations de données
Dans une démarche plutôt inhabituelle, l'autorité britannique de protection des données (ICO) a commencé à publier des listes exhaustives d'entreprises réprimandées pour des violations de données. Le commissaire John Edwards a expliqué les raisons de cette décision dans un récent discours, soulignant le besoin de transparence et de certitude dans l'application des règles, ainsi que l'importance de la responsabilité des entreprises.