Le mois de mai a été riche en événements. La décision tant attendue sur les transferts de données a finalement été prise, assortie d'une amende à dix chiffres pour Meta. Linkedin est le prochain à se voir infliger de lourdes amendes au titre du GDPR. Le Parlement européen s'est opposé au cadre transatlantique de protection des données, et bien d'autres choses encore.
Et n'oublions pas : L'Amérique de l'après-Dobbs contre Jackson est en proie à un véritable chaos en matière de protection de la vie privée et des droits de l'homme, et les grandes entreprises technologiques sont (sans surprise) du mauvais côté.
- Facebook frappé par une interdiction de transfert de données et une amende record
- Le Parlement européen contre le cadre américain de transfert de données
- Google promet de supprimer les données de localisation sensibles, mais ne tient pas ses promesses
- Linkedin condamné à une lourde amende pour publicité ciblée
- La proposition de règlement sur le contrôle des chats est probablement illégale
- Deux autres lois américaines sur la protection de la vie privée
- Ana Talus élue présidente de l'EDPB
- Twitter ne peut pas quitter l'ASD
Plongeons dans le vif du sujet !
Facebook frappé par une interdiction de transfert de données et une amende record
Le 22 mai, le commissaire irlandais à la protection des données a ordonné à Meta Platforms Ireland de suspendre les transferts de données pour Facebook et lui a infligé une amende record de 1,2 milliard d'euros. Meta a également reçu l'ordre de supprimer les données personnelles déjà transférées aux États-Unis.
Cette décision est le fruit d'une bataille juridique de dix ans à laquelle ont participé Max Schrems, défenseur de la vie privée, le DPC, le système judiciaire irlandais, la Cour de justice de l'Union européenne et le Comité européen de protection des données. Le Conseil a joué un rôle clé dans la décision en poussant le DPC à imposer une amende et à ordonner l'effacement des données personnelles.
Meta a l'intention de contester la décision et de demander un sursis à l'exécution de l'ordonnance du CPD. L'entreprise dispose ainsi d'un peu de temps jusqu'à ce que le cadre transatlantique de protection des données soit pleinement mis en œuvre, ce qui lui permettrait d'éviter un black-out de Facebook à l'échelle de l'Union européenne.
Il s'agit d'une affaire historique pour l'application des règles du GDPR en matière de transfert de données, et nous l'avons analysée en profondeur sur notre blog.
Le Parlement européen contre le cadre américain de transfert de données
En avril, la commission LIBE du Parlement européen a rejeté à l'unanimité la proposition de cadre transatlantique de protection des données personnelles. Le 11 mai, le Parlement européen a fait de même. Aucun des deux votes n'est juridiquement contraignant pour la Commission européenne.
Le Parlement reconnaît que le cadre constitue un progrès par rapport à son prédécesseur (le bouclier de protection de la vie privée), mais il a également exprimé des préoccupations concernant la collecte massive de renseignements et le manque de transparence du mécanisme de recours, entre autres. Le Parlement se demande également si le nouveau cadre survivra à l'examen de la Cour de justice de l'UE.
Il est peu probable que le vote du Parlement empêche la Commission de mettre pleinement en œuvre le cadre. Selon toute vraisemblance, le recours prévisible devant la Cour de justice constituera un baptême du feu pour le nouveau cadre et l'heure de vérité pour les transferts de données entre l'UE et les États-Unis.
Google promet de supprimer les données de localisation sensibles, mais ne tient pas ses promesses
Une enquête récente du Washington Post a révélé que Google ne tient pas sa promesse d' effacer les cliniques médicales et autres lieux "sensibles" de l'historique des localisations
L'enjeu est de taille : il y a un an, la Cour suprême des États-Unis a annulé l'arrêt historique Roe contre Wade, qui autorisait les États à interdire l'avortement. Les États conservateurs se sont empressés d'adopter des lois anti-avortement et la police poursuit désormais les personnes qui cherchent à avorter grâce aux données fournies par les grandes entreprises technologiques.
La protection de la vie privée est une question cruciale pour les femmes américaines, et Big Tech ne les aide pas, c'est le moins que l'on puisse dire.
Linkedin condamné à une lourde amende pour publicité ciblée
Selon Reuters, Microsoft s'attend à une amende de l'ordre de 400 millions d'euros de la part de la Commission irlandaise de protection des données pour la publicité ciblée sur le réseau social Linkedin. Aucun autre détail sur la décision n'est connu.
Il y a quelques mois, la DPC a infligé à Meta Ireland une amende totale de 390 millions d'euros pour publicité ciblée illégale sur ses plateformes Facebook et Instagram. L'amende attendue contre Microsoft ferait de Linkedin le troisième réseau social à encourir de lourdes amendes pour publicité ciblée dans un court laps de temps.
La proposition de règlement sur le contrôle des chats est probablement illégale
Comme le rapporte The Guardian, une fuite d'avis juridiques internes de l'UE suggère que la proposition controversée de la Commission pour un règlement contre les abus sexuels sur les enfants pourrait être illégale.
Selon les documents, le projet viole les normes de surveillance électronique établies par la jurisprudence de la Cour de justice. Cela signifie que la Cour invalidera probablement un futur règlement lors d'un contrôle juridictionnel.
La proposition de règlement impose aux fournisseurs de services de communication de scanner les vidéos et les images afin de détecter la pornographie enfantine. Mais les systèmes de balayage ne peuvent être mis en œuvre sans compromettre le cryptage de bout en bout mis en place par les services de messagerie populaires tels que WhatsApp, Telegram et Signal.
En raison de son impact sur le cryptage, la proposition est au centre d'un débat juridique et politique animé auquel participent des organisations de défense, des gouvernements et des institutions européennes.
Undébat similaire entoure le projet de loi britannique sur la sécurité en ligne, auquel s'opposent de nombreuses organisations de défense et fournisseurs de services. WhatsApp a même menacé de quitter le marché britannique si le projet devenait loi.
Deux autres lois américaines sur la protection de la vie privée
Le 8 mai, l 'État de Floride a adopté une nouvelle loi sur la protection de la vie privée. Un projet de loi sur la confidentialité des données a également été adopté par le législateur du Texas et devrait entrer en vigueur au cours du week-end.
Les deux lois se concentrent sur les entreprises et les droits des personnes concernées et contiennent des exemptions pour les petites entreprises. Il est à noter que cette exemption est très large dans le projet de loi de la Floride, contrairement à celui du Texas.
LesÉtats-Unis ne disposent pas d'une loi fédérale générale sur la protection de la vie privée. Les seules règles fédérales de protection des données se trouvent dans des législations sectorielles telles que HIPAA et COPPA. Les négociations relatives à une loi fédérale sur la protection de la vie privée (l'ADPPA) se sont ralenties et, dans le même temps, de plus en plus d'États adoptent leurs propres projets de loi sur la protection de la vie privée.
Ana Talus élue présidente de l'EDPB
Le 25 mai, Ana Talus, chef de l'autorité finlandaise de protection des données, est devenue la nouvelle présidente du Comité européen de la protection des données. La Chypriote Irene Loizidou Nikolaidou en sera la vice-présidente.
Le CEPD a joué un rôle essentiel dans l'application et l'interprétation du GDPR jusqu'à présent. Ses documents d'orientation ont eu un impact considérable sur l'interprétation du GDPR et d'autres sources de la législation européenne en matière de protection des données. Récemment, la Commission elle-même a été directement impliquée dans plusieurs décisions très médiatisées concernant Meta Ireland.
L'ancien et premier président de l'EDPB était Andrea Jelinek, chef de l'autorité autrichienne de protection des données.
Twitter ne peut pas quitter l'ASD
Dans une démarche plutôt confuse, Twitter a quitté le Code de pratique de l'UE sur la désinformation le 26 mai, quelques mois avant l'entrée en vigueur des règles relatives aux obligations de modération de contenu prévues par la loi sur les services numériques (Digital Services Act ).
Cette décision a suscité des remarques acerbes de la part des commissaires européens Thierry Breton et Vera Jourova. Étant donné que c'est la Commission elle-même qui applique la loi sur les services numériques, ce n'est sans doute pas le meilleur début.
Il ne sera pas facile pour les plateformes en ligne de se conformer à la DSA et, compte tenu du style de gestion imprévisible et capricieux de son nouveau propriétaire, nous nous attendons à ce que Twitter ait plus de mal que les autres.