Bienvenue sur notre nouveau blog mensuel. Une fois par mois, nous aborderons brièvement certaines des nouvelles les plus importantes en matière de protection de la vie privée.
Que s'est-il passé le mois dernier ? Découvrons-le !
- Le Parlement européen enquête sur les logiciels espions d'Etat, le CEPD intervient
- Procurez-vous un téléphone jetable pour la Coupe du monde
- Google paie un montant record pour ses données de localisation
- Apple poursuivi pour atteinte à la vie privée
- Le gouvernement indien propose un nouveau projet de loi sur la protection de la vie privée
- Report de l'expiration de Google Analytics 360
- Recours collectif contre le projet Github Copilot
- L'autorité hongroise de protection des données s'oppose à l'utilisation de Google Analytics
- L'ancien CSO d'Uber condamné pour obstruction à la justice
- La CJUE doit se prononcer sur l'indemnisation en cas d'infraction au GDPR
Le Parlement européen enquête sur les logiciels espions d'Etat, le CEPD intervient
Le 8 novembre, une commission d'enquête du Parlement européen a publié un rapport sur l'utilisation de logiciels espions par les gouvernements européens.
Selon les conclusions, plusieurs États membres de l'UE ont utilisé Pegasus et d'autres logiciels de surveillance pour contrôler des opposants politiques, des journalistes, des activistes et des personnalités du monde de l'entreprise et de la finance, à la fois légalement et illégalement, généralement sous le prétexte de la sécurité nationale. L'enquête dresse un tableau peu reluisant et appelle à une action urgente, notamment un moratoire sur l'utilisation et la diffusion des logiciels espions dans l'Union et la création d'un cadre juridique commun pour l'utilisation des logiciels espions.
Peu après la publication du rapport, le Contrôleur européen de la protection des données a appelé à une interdiction générale des logiciels espions de type militaire dans son avis sur la proposition de loi européenne sur la liberté des médias.
Procurez-vous un téléphone jetable pour la Coupe du monde
Entre le traitement inhumain de la main-d'œuvre immigrée et les allégations de corruption contre des responsables de la FIFA, la Coupe du monde de football au Qatar ne manque pas de controverses. Les logiciels espions de l'État sont la cerise sur le gâteau.
Le Royaume du Qatar exige des étrangers qu'ils installent deux applications sur leur téléphone pour assister à la Coupe du monde. Plusieurs autorités européennes de protection des données ont récemment estimé que ces applications étaient très invasives et ont mis en garde contre leur utilisation. Selon l'autorité allemande de protection des données, l'application traite beaucoup plus de données que ne le suggèrent les avis de confidentialité, au point que les appels de l'utilisateur peuvent être surveillés. En d'autres termes, ces applications sont essentiellement des logiciels espions d'État. Les autorités norvégiennes et françaises se sont fait l'écho de ces préoccupations et sont allées jusqu'à recommander l'utilisation de téléphones jetables pour assister à la Coupe du monde.
Google paie un montant record pour ses données de localisation
Le 14 novembre, Google a accepté de payer un règlement de 391 millions de dollars pour avoir suivi de manière trompeuse la localisation des utilisateurs dans le cadre d'un règlement impliquant les avocats généraux de 40 États américains.
L'enquête a débuté en 2018 après qu'un article de l'Associated Press a posé des questions sur le traitement par Google des données de localisation des utilisateurs. Selon les avocats généraux, Google a utilisé une interface conçue de manière trompeuse qui comprenait des mécanismes d'exclusion distincts et mal expliqués pour le suivi de la localisation, trompant ainsi les utilisateurs en leur faisant croire que leur localisation n'était pas suivie.
Outre le paiement d'une somme record, Google s'est engagé à utiliser une interface plus claire et à fournir davantage d'informations aux utilisateurs dans le cadre du règlement.
Apple poursuivi pour atteinte à la vie privée
Le 10 novembre, une plainte a été déposée contre Apple devant un tribunal de district de Californie. L'entreprise surveillerait l'activité des applications Apple, indépendamment des préférences de l'utilisateur. Deux chercheurs en sécurité et des employés de Mysk utilisant un iPhone jailbreaké ont remarqué une collecte suspecte de données sur l'App Store. Selon le média Gizmodo, le suivi concerne plusieurs autres applications, dont Apple Music, Apple TV et Stocks.
Cette affaire ne manquera pas d'être intéressante. Les données de première main sont une priorité stratégique pour Apple depuis un certain temps déjà. Apple traite-t-elle ces données de manière légale et sera-t-elle à la hauteur de sa réputation soigneusement construite d'entreprise soucieuse de la protection de la vie privée lorsque son traitement des données fera l'objet d'un examen juridique approfondi ?
Le gouvernement indien propose un nouveau projet de loi sur la protection de la vie privée
La semaine dernière, le gouvernement indien a publié le projet de loi sur la protection des données personnelles numériques, une proposition très attendue de loi fédérale sur la protection de la vie privée.
Un autre projet de loi avait été présenté au Parlement au début de l'année, avant d'être retiré par le gouvernement. Le nouveau projet intègre certains des nombreux amendements proposés par le Parlement pour le projet de loi abandonné. Le projet de loi ne manquera pas d'attirer l'attention des professionnels de la protection de la vie privée du monde entier, car l'Inde est un nœud important pour les transferts internationaux de données.
Report de l'expiration de Google Analytics 360
Le 27 octobre, Google a annoncé qu'il repoussait à juillet 2024 l'expiration des propriétés Universal Analytics 360. Les propriétés Universal Analytics seront toujours dépréciées en 2023 comme prévu.
C'est la deuxième fois que Google reporte la suppression d'UA, qui était initialement prévue pour 2022. Au début de l'année, l'entreprise a également étendu la prise en charge des cookies tiers dans Google Chrome. Comme UA utilise des cookies tiers, le retard d'Universal Analytics est probablement dans l'esprit de Google depuis un certain temps déjà.
Recours collectif contre le projet Github Copilot
Ce mois-ci, un recours collectif a été déposé devant un tribunal fédéral californien contre le projet Copilot de Github pour des raisons de droits d'auteur.
Github est un service d'hébergement de développement de logiciels que Microsoft a racheté il y a quatre ans. Copilot est un projet d'IA générative qui écrit du code à partir d'instructions en langage naturel, ce qui permet une compilation plus rapide du code. L'IA de Copilot est entraînée sur le code source ouvert hébergé par la base de données Github et peut reproduire des lignes de code hébergées par Github. Les partisans de l'action collective protestent contre le fait que la reproduction du code équivaut à une violation des termes de la licence open-source parce que Copilot n'attribue pas le travail au développeur d'origine.
L'autorité hongroise de protection des données s'oppose à l'utilisation de Google Analytics
Dans une décision non encore publiée, l'autorité hongroise de protection des données (NAIH) s'est prononcée contre l'utilisation de Google Analytics pour des raisons de transfert de données, suivant en cela l'exemple des autorités autrichiennes, françaises et italiennes.
D'après ce que nous savons pour l'instant, la décision semble être similaire aux autres précédents européens. Elle porte sur l'absence de garanties efficaces contre la surveillance américaine des données étrangères. La décision suggère que la tendance à l'application stricte des règles de transfert de données pourrait se poursuivre malgré le récent décret du président américain Joe Biden. Pour en savoir plus sur ce sujet, cliquez ici.
Veuillez noter que gdprhub est la seule source de ces informations pour le moment. Le gdprhub est un projet de noyb, une ONG de protection de la vie privée directement impliquée dans l'affaire. Nous considérons que l'information est fiable, mais un avertissement est toujours dû.
L'ancien CSO d'Uber condamné pour obstruction à la justice
Le 3 octobre, l'ancien responsable de la sécurité d'Uber, Joe Sullivan, a été reconnu coupable d'obstruction à la justice.
En 2016, la Federal Trade Commission enquêtait sur une violation massive des données des chauffeurs et des clients d'Uber. Un jury fédéral a conclu que M. Sullivan avait dissimulé la violation de données et omis de divulguer des informations à la Federal Trade Commission. Comme le souligne l'IAPP, c'est la première fois dans la jurisprudence américaine qu'un CSO est tenu pénalement responsable d'une violation de données. Cette affaire pourrait donc constituer un précédent important.
La CJUE doit se prononcer sur l'indemnisation en cas d'infraction au GDPR
Il y a trois ans, le service postal autrichien a été impliqué dans un scandale pour avoir profilé des citoyens et vendu les données à des tiers à des fins de publicité et de propagande politique. Un citoyen a demandé une indemnisation à un tribunal autrichien après avoir été étiqueté comme partisan de la droite par le service postal. La Cour suprême autrichienne a posé trois questions à la Cour de justice.
La Cour clarifiera si le préjudice est une condition de l'indemnisation pour les violations du GDPR et si le simple fait d'être contrarié par une violation équivaut à un préjudice. La Cour traitera également des questions liées à l'harmonisation du droit privé des États membres. L'arrêt pourrait avoir des implications considérables pour l'application du GDPR par les tribunaux.
L'avocat général Campos Sánchez-Bordona a rendu ses conclusions sur l'affaire le mois dernier.