Mensuel de la vie privée : Mai 2023

Bienvenue à notre mensuel sur la protection de la vie privée ! Le mois d'avril a été riche en événements dans le domaine de la protection de la vie privée : l'affaire ChatGPT a fait des vagues dans toute l'Europe, Meta risque une coupure de Facebook à l'échelle européenne, la commission LIBE du Parlement européen s'est opposée au cadre de transfert de données entre l'UE et les États-Unis, et bien d'autres choses encore.

Michelin chose Simple AnalyticsJoin them

Un mois chaud pour ChatGPT

La célèbre IA ChatGPT d'OpenAI a été au centre du débat sur la protection de la vie privée ces derniers temps. Le 30 mars, l'autorité italienne de protection des données a provisoirement bloqué ChatGPT pour des raisons de confidentialité(comme nous l'avons expliqué en détail). Open AI a depuis apporté des modifications au traitement des données de ChatGPT, ce qui a conduit l'autorité italienne à lever l'interdiction le 28 avril. Toutefois, l'autorité mène toujours une enquête approfondie et pourrait prendre d'autres mesures si nécessaire.

L'affaire a déclenché un effet domino à l'échelle de l'Union européenne. Le Conseil européen de la protection des données (CEPD) a créé un groupe de travail chargé d'examiner les questions juridiques posées par le ChatGPT et de coordonner l'approche des autorités. Selon toute vraisemblance, l'impact des travaux du groupe de travail s'étendra au-delà du ChatGPT et aura une incidence sur la réglementation de l'IA générative. Entre-temps, les autorités françaises et allemandes chargées de la protection des données mènent leurs propres enquêtes sur le ChatGPT.

Enfin, le Parlement européen a approuvé une nouvelle version de la proposition de loi sur l'IA qui classe les IA génératives telles que ChatGPT comme présentant un risque élevé, ce qui les soumet à des règles plus strictes en matière de gestion des risques et de gouvernance des données.

Les députés européens s'opposent à la décision d'adéquation des États-Unis

Le 13 avril, la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a voté à l'unanimité contre la prochaine décision d'adéquation de la Commission européenne pour les États-Unis. La résolution n' est pas contraignante pour la Commission mais devrait influencer la discussion sur le nouveau cadre de transfert de données entre l'UE et les Etats-Unis, surtout si l'on considère l'unanimité surprenante qui a présidé au vote.t

La résolution reconnaît que le cadre transatlantique de protection des données personnelles est une amélioration par rapport au bouclier de protection de la vie privée, mais souligne des problèmes tels que les critères pour la collecte massive de données, les règles de conservation des données et la transparence du mécanisme de recours.

Le projet de décision d'adéquation a toutes les chances d'être adopté par la Commission. Selon toute vraisemblance, le recours juridique prévisible devant la Cour de justice constituera l'épreuve du feu pour le nouveau cadre de transfert de données.

L'OEPP enquête sur l'utilisation de Pegasus en Grèce

À la demande de membres du Parlement européen, le Parquet européen a lancé une enquête sur l'utilisation et la vente d'un logiciel espion de qualité militaire en Grèce.

L'utilisation de logiciels espions de qualité militaire (notamment Pegasus) par des acteurs étatiques est un sujet brûlant au niveau européen et a été largement critiquée par les organisations de défense des droits de l'homme. L'année dernière, la commission PEGA du Parlement européen a publié un rapport qui dresse un tableau inquiétant de l'utilisation des logiciels espions dans l'UE. Peu après, le Contrôleur européen de la protection des données a demandé l'interdiction des logiciels espions de type militaire dans son avis sur la loi européenne sur la liberté des médias.

LaGrèce est actuellement au cœur du scandale des logiciels espions. Le gouvernement grec aurait utilisé le logiciel espion Predator pour surveiller des hommes politiques et des journalistes et aurait vendu des licences Predator à des pays étrangers (dont le Soudan, aujourd'hui plongé dans une guerre civile).

Le black-out de Facebook est-il imminent ?

Selon l'IAPP, le commissaire irlandais à la protection des données pourrait bientôt suspendre les transferts de données entre l'UE et les États-Unis pour Facebook, ce qui pourrait conduire à un black-out de Facebook à l'échelle de l'UE.

Cette décision constituera une nouvelle étape dans une longue bataille juridique sur les règles de transfert de données du GDPR impliquant l'ONG noyb et le Comité européen de protection des données. Ce dernier a déjà résolu le litige le 13 avril dans une décision qui n'a pas encore été publiée. La commissaire, qui est légalement liée par la décision du Comité, devrait publier sa propre décision finale le 12 mai. Si les transferts de données sont suspendus, Meta ne manquera pas de contester la décision devant les tribunaux irlandais.

De nombreuses entreprises américaines ont leurs filiales européennes en République d'Irlande, y compris des géants de la technologie tels que Meta, Google et Apple. La décision du commissaire pourrait donc avoir un impact majeur sur les transferts de données entre l'UE et les États-Unis.

La Commission européenne publie une première série de services concernés par la DSA

Le 25 avril, la Commission européenne a publié une première série de plateformes en ligne et de moteurs de recherche considérés comme "très grands" aux fins de la loi sur les services numériques.

Ces services comprennent Facebook, l'App Store d'Apple, TikTok et plusieurs services de Google, dont Google Search et Youtube. Wikipédia est le seul service de la liste à être fourni par une organisation à but non lucratif.

En vertu de cette loi, les très grandes plateformes en ligne et les moteurs de recherche sont soumis à des règles plus strictes en matière de transparence, de publicité ciblée, de modération des contenus et de protection des mineurs.

Cambridge Analytica 2.0 ?

L'ONG de protection de la vie privée noyb a déposé une série de plaintes contre les principaux partis politiques en Allemagne, affirmant qu'ils ont illégalement microciblé des électeurs pour de la publicité politique via Facebook lors des élections fédérales de 2021.

Selon Felix Micolash, membre de noyb, "toutes les données relatives aux opinions politiques d'une personne sont protégées de manière particulièrement stricte par le GDPR. Ces données sont non seulement extrêmement sensibles, mais elles permettent également de manipuler les électeurs à grande échelle, comme l'a montré Cambridge Analytica".

Dans une affaire récente et très médiatisée impliquant l'ONG, l'EDPB a estimé que la publicité ciblée sur Facebook était illégale (comme nous l'avons expliqué sur notre blog). Ce précédent pourrait donner à la noyb l'avantage dans les plaintes.

Le profilage basé sur des données sensibles sur les réseaux sociaux est une question urgente de protection de la vie privée, que le tribunal de district d'Amsterdam a récemment traitée dans une affaire civile (que nous avons examinée en profondeur). Indépendamment de l'issue et du bien-fondé de l'action en justice de noyb, il y a lieu de s'inquiéter que le microciblage politique à la Cambridge-Analytica ait eu lieu en Europe après le RGPD.

Par coïncidence, le Parlement européen et le Contrôleur européen de la protection des données ont tous deux demandé l'interdiction du microciblage politique dans la proposition de règlement sur la transparence et le ciblage de la publicité politique. Seraient-ils sur la bonne voie ?

La France ratifie la Convention 108

Le 30 mars, la France, déjà partie à la Convention 108, a ratifié la Convention 108 modernisée (mieux connue sous le nom de Convention 108+).

La Convention originale et la Convention modernisée sont des traités du Conseil de l'Europe, mais elles sont également ouvertes aux États qui ne font pas partie du Conseil. À ce jour, les conventions sont les seuls accords juridiquement contraignants sur la protection des données en vertu du droit international. La Convention 108 a été ratifiée par 55 États dans le monde (dont la plupart sont européens), mais tous n'ont pas signé et ratifié la Convention 108+.

L'EDPB publie un rapport sur les plaintes concernant Google Analytics

En 2021, l'EDPB a formé un groupe de travail pour traiter les 101 plaintes déposées par l'ONG noyb contre les transferts de données de Google liés à Google Analytics. Un rapport sur les travaux du groupe de travail a été publié le 28 mars, après un délai étonnamment long.

Le rapport est quelque peu prudent dans son ton, mais souligne que les clauses contractuelles standard pour le transfert de données vers les États-Unis doivent être intégrées par des mesures supplémentaires, comme l'a déclaré la Cour de justice dans l'arrêt Schrems II. Elle souligne également que l'option d'anonymisation IP de Google Analytics et le cryptage des données (non de bout en bout) de Google ne suffisent pas à préserver la confidentialité des données personnelles.

Il ne s'agit pas d'une nouveauté, puisque plusieurs autorités de protection des données l'ont déjà affirmé dans leurs décisions (nous avons examiné la question en profondeur dans notre blog). En fin de compte, l'avenir des transferts de données entre l'UE et les États-Unis dépend toujours de la décision Schrems III à venir sur le cadre transatlantique de protection des données personnelles.

Meta modifie ses politiques de confidentialité après la décision de l'EDPB

Le 5 avril, Meta a modifié les politiques de confidentialité de ses plateformes Facebook et Instagram. Selon les nouvelles politiques, la base légale de Meta pour fournir des publicités ciblées est l'intérêt légitime. En outre, les utilisateurs de l'UE ont désormais la possibilité de refuser la publicité ciblée.

Cette décision intervient après que l'organisme irlandais de surveillance de la vie privée a condamné l'entreprise à une amende totale de 390 millions d'euros pour avoir illégalement ciblé les utilisateurs des deux plateformes avec des publicités personnalisées. Ces amendes sont le résultat d'une affaire controversée et très médiatisée impliquant l'EDPB (comme nous l'avons expliqué dans notre blog).

Noyb est sceptique quant à la nouvelle base juridique de Meta (à juste titre, selon nous) et a annoncé son intention de contester Meta sur ce point. L'entreprise propose également un outil d'opt-out pour aider les utilisateurs de Facebook et d'Instagram à rejeter la publicité ciblée des plateformes.

TikTok a encore mal géré les données des enfants

Le 4 avril, l'organisme britannique de protection de la vie privée (ICO) a infligé à TikTok une amende de 12,7 millions de livres sterling pour avoir traité illégalement des données relatives à des enfants. Selon l'ICO, la plateforme sociale n'a pas suffisamment vérifié l'âge des nouveaux utilisateurs et n'a pas supprimé les comptes existants des enfants de moins de 13 ans.

Ce n'est pas la première fois que TikTok a des ennuis avec les autorités chargées de la protection des données en raison de l'insuffisance de ses politiques de vérification de l'âge. En 2021, le GPDP italien a suspendu les activités de TikTok à trois reprises en raison d'utilisateurs mineurs. Un an plus tard, la DPC irlandaise a rédigé une décision visant à infliger une amende à la plateforme pour des violations similaires et l'a soumise à ses homologues européens. À l'heure actuelle, la procédure est toujours en cours.

Les résidents américains peuvent demander un règlement à l'amiable à Facebook

En décembre dernier, Meta a accepté de payer 725 millions de dollars pour régler un recours collectif lié au scandale Cambridge Analytica. Selon les allégations, Meta (alors Facebook Inc.) a divulgué des données personnelles à Cambridge Analytica sans le consentement des utilisateurs, permettant à l'entreprise britannique aujourd'hui disparue de cibler les électeurs américains lors de l'élection présidentielle de 2016.

Les utilisateurs de Facebook ont désormais le droit de demander le règlement, à condition d'avoir été résidents américains à un moment donné entre 2007 et 2022.