Mensuel de la protection de la vie privée : Novembre 2023

Image of Iron Brands

Publié le 7 nov. 2023 et modifié le 23 nov. 2023 par Iron Brands

Le moins que l'on puisse dire, c'est que le mois d'octobre a été riche en événements. Meta est une fois de plus dans la ligne de mire des régulateurs, puisque l'EDPB interdit la publicité personnalisée sur Facebook et Instagram ; les pays du monde entier continuent de faire avancer la réglementation de l'IA ; la Californie adopte une loi innovante sur le droit à la suppression, et bien plus encore. Oh, et avons-nous mentionné l'une des pires violations de données de l'histoire ?

  1. Le CEPD interdit la publicité personnalisée pour Meta.
  2. Violation de données génétiques à grande échelle confirmée
  3. Un mois chaud pour la réglementation de l'IA
  4. L'autorité allemande de la concurrence se prononce contre Facebook
  5. Amazon lance le nuage européen
  6. Le Royaume-Uni adopte une loi controversée sur la sécurité en ligne
  7. Première action en justice contre le cadre de transfert des données rejetée
  8. Le Congrès envisage une réautorisation temporaire de la FISA
  9. Évolution de la législation californienne sur la protection de la vie privée
  10. L'Argentine s'oriente vers une nouvelle loi sur la protection des données
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Le CEPD interdit la publicité personnalisée pour Meta.

Le 27 octobre, le Comité européen de la protection des données a pris une décision urgente et contraignante qui doit être mise en œuvre par l'organisme irlandais de protection de la vie privée. Bien que la décision n'ait pas encore été publiée, il ressort clairement du communiqué de presse du Conseil qu'elle équivaut pratiquement à une interdiction de la publicité personnalisée sur Facebook et Instagram à l'échelle de l'UE.

Depuis près d'un an, Meta s'efforce de justifier son modèle commercial fondé sur les données, qui repose sur le profilage des utilisateurs et la publicité ciblée. Deux versions différentes de la politique de confidentialité de Meta ont été invalidées par les régulateurs de l'UE pour des questions liées à la publicité personnalisée sur Facebook et Instagram, et l'autorité norvégienne de protection de la vie privée a ensuite émis une interdiction temporaire contre la publicité ciblée en ce qui concerne les utilisateurs norvégiens. Enfin, la décision urgente de l'EDPB a transformé l'interdiction norvégienne en une interdiction permanente à l'échelle de l'UE, qui sera émise par l'autorité irlandaise de protection des données dans un avenir proche.

Par ailleurs, Meta a récemment annoncé qu'il mettrait à la disposition des utilisateurs européens des abonnements Facebook payants et sans publicité, en remplacement de ses abonnements gratuits actuels alimentés par la publicité. Nous soupçonnons que cette décision controversée est largement motivée par le besoin de légitimer le modèle commercial actuel en ce qui concerne les utilisateurs non payants - qui, selon toute probabilité, représenteront la grande majorité des utilisateurs de Facebook à l'avenir.

Violation de données génétiques à grande échelle confirmée

La société américaine de tests génétiques 23andMe a été victime d'une violation de données à grande échelle. L'ampleur de la violation n'est pas connue, mais les premiers rapports indiquent que les données génétiques d'au moins 4 millions d'utilisateurs ont été divulguées.

Au début du mois, un pirate informatique a annoncé qu'il avait piraté et divulgué les données sur le Dark Web. 23andMe a d'abord annoncé qu'elle analysait les données divulguées pour vérifier les affirmations. L'entreprise a ensuite envoyé des courriels d'avertissement aux utilisateurs concernés, confirmant implicitement que les données divulguées étaient authentiques.

Les fuites de données génétiques sont particulièrement risquées car elles affectent non seulement les personnes auxquelles appartiennent les données divulguées, mais aussi leurs proches, qu'ils utilisent ou non des services de tests génétiques. Dans le cas de fuites de données à grande échelle provenant de services disponibles dans le commerce, même des parents éloignés des utilisateurs peuvent être touchés.

Un mois chaud pour la réglementation de l'IA

Le mois d'octobre a été riche en événements pour la réglementation de l'IA. Les Nations unies ont créé un conseil consultatif mondial sur l'IA; le G7 a adopté un code de conduite pour le développement de l'IA ; le sommet britannique sur la sécurité de l'IA a abouti à des résultats importants, notamment un accord sur les tests d'IA entre 27 gouvernements ; et le président américain a signé un décret sur les questions de sécurité et de protection de la vie privée liées à l'IA.

Quant à l'UE, Euractiv rapporte qu'un accord sur la loi sur l'IA pourrait être proche. La version finale de la loi tente de trouver un terrain d'entente entre le Parlement et la Commission : le Parlement pourrait être disposé à laisser un peu de place à l'identification biométrique en temps réel dans le contexte de l'application de la loi, en échange d'une liste plus longue d'applications d'IA interdites.

L'autorité allemande de la concurrence se prononce contre Facebook

À la suite d'une enquête de l'autorité allemande de régulation de la concurrence (Bundeskartellamt), Google s'est engagé à donner aux utilisateurs plus de contrôle sur l'utilisation croisée des données entre les différents services Google, ainsi que sur la combinaison des données collectées par des applications et des services tiers. En d'autres termes, les consommateurs auront désormais la possibilité de refuser l'utilisation croisée des données lorsqu'elle n'est pas nécessaire.

L'autorité a annoncé que des enquêtes similaires étaient en cours contre d'autres Big Tech.

Cette décision est liée au récent arrêt du Bundeskartellamt de la Cour de justice de l'UE, une décision importante dont nous avons longuement parlé dans ce blog.

Amazon lance le nuage européen

Amazon a récemment annoncé le lancement de l'AWS European Sovereign Cloud, un nouveau service de cloud basé dans l'UE. Ce service vise à aider les entreprises et les organismes publics à se conformer aux normes de confidentialité des données et aux règles de localisation des données.

Amazon n'est pas le seul géant à miser sur la localisation des données : en janvier, Microsoft a lancé le programme EU Data Boundary pour son service Microsoft Cloud. Ces services font de Microsoft et d'Amazon des fournisseurs attrayants pour les gouvernements, les organismes publics et les entreprises qui traitent de grandes quantités de données sensibles.

Le Royaume-Uni adopte une loi controversée sur la sécurité en ligne

La loi britannique sur la sécurité en ligne est entrée en vigueur le 26 octobre. Elle prévoit des obligations de modération du contenu pour les plateformes et entrera en vigueur progressivement, à mesure que l'autorité britannique des télécommunications mettra en place une nouvelle réglementation.

La loi impose également aux fournisseurs de services de messagerie de scanner les fichiers images afin d'identifier et de signaler les contenus pédopornographiques. Cela oblige certains fournisseurs à intégrer des portes dérobées dans le cryptage de bout en bout, ce qui risque de porter atteinte à la confidentialité et à la sécurité des communications. Les défenseurs de la vie privée ont sévèrement critiqué le projet de loi lors de sa rédaction, tandis que Whatsapp et Signal ont menacé de quitter le marché britannique si la loi était adoptée.

Première action en justice contre le cadre de transfert des données rejetée

Le Tribunal de l'Union européenne a rejeté la demande de Philippe Latombe de suspendre la décision d'adéquation pour les États-Unis pour des questions de procédure. Selon l'Association internationale des professionnels de la protection de la vie privée, M. Latombe a fait appel de la décision de la Cour.

La décision d'adéquation de la Commission européenne pour les États-Unis est la dernière étape des efforts conjoints des États-Unis et de l'Union européenne pour résoudre des problèmes juridiques de longue date liés aux transferts de données. Au cours de la dernière décennie, la Cour de justice de l'UE a invalidé deux cadres de transfert de données entre l'UE et les États-Unis. Le cadre actuel, auquel se rapporte la décision d'adéquation, sera certainement confronté à d'autres défis juridiques à l'avenir.

Le Congrès envisage une réautorisation temporaire de la FISA

Alors que les négociations sur la réautorisation de la FISA ralentissent au sein du Congrès américain, certains membres du Congrès envisagent une réautorisation temporaire afin d'éviter un blocage.

La loi sur la surveillance des informations étrangères (FISA) est une loi américaine qui régit les activités de surveillance des agences de renseignement américaines sur les citoyens étrangers. L'avenir de la FISA pourrait avoir un impact important sur les transferts de données entre l'UE et les États-Unis, étant donné que les vastes pouvoirs de surveillance conférés par la loi ont été une question juridique cruciale dans les arrêts Schrems I et II de la Cour de justice de l'UE.

Évolution de la législation californienne sur la protection de la vie privée

Le 11 octobre, le gouverneur de Californie a promulgué la loi Delete Act. Cette loi renforce le droit à l'effacement des résidents californiens en mettant en place un système de guichet unique pour les demandes d'effacement adressées aux courtiers en données. Ainsi, les résidents californiens pourront exiger de tous les courtiers en données qu'ils suppriment leurs informations personnelles en transmettant une seule demande.

La loi sur la suppression est une loi ambitieuse et innovante, qui aura probablement un impact significatif sur le marché de la publicité numérique ainsi que sur d'autres marchés alimentés par des informations personnelles disponibles dans le commerce. Nous avons examiné cette loi plus en détail dans ce blog.

L'État a également modifié la loi californienne sur la protection de la vie privée des consommateurs (CCPA) afin d'assurer une meilleure protection du statut d'immigrant et des données relatives à la santé génésique.

L'Argentine s'oriente vers une nouvelle loi sur la protection des données

Le gouvernement argentin a présenté le projet de loi sur la protection des données personnelles. Le nouveau projet de loi est basé sur un projet de l'autorité argentine chargée de la protection de la vie privée et devrait remplacer l'actuelle loi sur la protection des données du pays. La proposition prévoit la portée extraterritoriale des règles de protection de la vie privée, à l'instar de réglementations telles que le GDPR, la LGPD brésilienne et la CCPA californienne.

Il convient de noter que l'Argentine est l'un des rares pays pour lesquels une décision d'adéquation est possible en vertu de la législation européenne. Par conséquent, les données à caractère personnel des citoyens de l'UE et de l'Espace économique européen peuvent être facilement envoyées dans ce pays.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours