C'est une nouvelle saison, et juste à temps pour un nouveau Mensuel de la protection de la vie privée ! Le mois n'a pas été des plus brillants pour les grandes entreprises technologiques. Meta pourrait être contraint de fermer Facebook pour l'Europe dans deux mois et pourrait perdre beaucoup d'argent dans un recours collectif. Google Analytics a été critiqué par d'autres autorités de protection des données, et le gouvernement tchèque s'en débarrasse sur ses sites web. Pendant ce temps, TikTok est banni des appareils gouvernementaux à droite et à gauche. Pour en savoir plus !
- L'Europe pourrait être confrontée à une panne de Meta
- D'autres mauvaises nouvelles pour Meta
- Mauvaises nouvelles pour Google également
- L'EDPB émet un avis mitigé sur le nouveau cadre de transfert des données
- De nouveaux problèmes pour TikTok
- La controverse sur le cryptage se poursuit
- Le CEPD pourrait rejeter Microsoft Office
L'Europe pourrait être confrontée à une panne de Meta
L'année dernière, la DPA irlandaise a rédigé une décision visant à interrompre les transferts de données de Meta Ireland vers les États-Unis, qu'elle a ensuite soumise à l'EDPB dans le cadre de la résolution des litiges prévue par le GDPR. Politico a rapporté que le Conseil européen de la protection des données espère régler l'affaire des transferts de données de Meta d'ici le 14 avril. L'autorité irlandaise de protection des données disposera alors d'un mois pour mettre en œuvre les observations du CEPD dans sa décision finale.
Tous les regards sont tournés vers cette affaire. Il s'agit d'une affaire très médiatisée dans laquelle l'EDPB est impliqué et qui créera certainement un précédent important. En fonction de l'issue de l'affaire, il est possible que l'Europe soit privée de Facebook et d'Instagram, car l'autorité irlandaise de protection des données pourrait interrompre les transferts de données de Meta avant que la décision d'adéquation de la Commission européenne pour les États-Unis ne soit finalisée.
D'autres mauvaises nouvelles pour Meta
Le 15 mars, Facebook a perdu un recours collectif devant le tribunal de district d'Amsterdam. Le tribunal a estimé que Facebook Ireland n'avait pas de base légale pour diffuser des publicités personnalisées, conformément aux récentes décisions du Conseil européen de la protection des données. Le tribunal a également constaté d'autres infractions, notamment le traitement illégal de données sensibles et des violations de la directive sur les pratiques commerciales déloyales et de ses transpositions nationales en droit néerlandais.
Les dommages-intérêts seront accordés par un autre jugement et pourraient être substantiels puisque l'action collective concerne environ 190 000 utilisateurs. Meta a l'intention de faire appel de la décision.
Mauvaises nouvelles pour Google également
Dans une décision récente, l'autorité finlandaise de protection des données a estimé que Google Analytics était incompatible avec les règles de transfert de données du GDPR. Cette décision concerne l'utilisation de Google Analytics par un site web particulier, mais elle crée un précédent qui équivaut pratiquement à une interdiction à l'échelle nationale. L'autorité norvégienne de protection des données est parvenue à la même conclusion préliminaire que son homologue finlandaise dans une affaire en cours.
Le médiateur finlandais chargé de la protection des données est la cinquième autorité européenne à se prononcer contre l'utilisation de Google Analytics. Les autorités autrichiennes, françaises et italiennes ont rendu des décisions similaires à la suite d'une série coordonnée de plaintes déposées par l'ONG noyb, spécialisée dans la protection de la vie privée. L'autorité danoise a également adopté la même position dans un communiqué de presse.
Parallèlement, le gouvernement tchèque supprime Google Analytics d'un grand nombre de ses sites web pour des raisons de protection de la vie privée. L'ONG tchèque de protection de la vie privée IuRe a joué un rôle important pour convaincre le gouvernement que Google Analytics ne pouvait pas garantir la protection de la vie privée des visiteurs.
L'EDPB émet un avis mitigé sur le nouveau cadre de transfert des données
Fin février, l'EDPB a publié son avis sur le projet de décision d'adéquation de la Commission européenne. Ce projet, qui doit être approuvé par les États membres, vise à mettre en œuvre le nouveau cadre de transfert de données entre l'UE et les États-Unis (le cadre transatlantique de protection des données personnelles).
L'EDPB note que le nouveau cadre est une amélioration par rapport au Privacy Shield (son prédécesseur), mais souligne également certains problèmes possibles. Il s'agit notamment des critères relatifs à la collecte massive de données, de la portée de certaines exemptions, des transferts ultérieurs de données et de certains aspects du mécanisme de recours. Dans l'ensemble, l'avis donne une impression de prudence et de tiédeur.
L'approbation du projet de décision par les États membres est pratiquement certaine, mais il est tout aussi certain que la décision sera contestée devant la Cour de justice. La vraie question est de savoir si le nouveau cadre survivra à un arrêt "Schrems III".
De nouveaux problèmes pour TikTok
Le 23 février, la Commission européenne a interdit l'utilisation de TikTok dans les entreprises pour des raisons de sécurité. Quelques jours plus tard, le Canada a fait de même et a interdit TikTok sur les appareils gouvernementaux.
Le Canada et la Commission européenne ne sont pas les premiers à examiner TikTok et à adopter une position ferme. En décembre dernier, le Congrès américain a interdit TikTok sur tous les appareils du gouvernement fédéral, et de nombreux États américains ont adopté des lois allant dans le même sens. Un projet de loi visant à interdire totalement TikTok aux États-Unis a également été présenté au Congrès, et le sénateur Michael Bennet a exhorté Apple et Google à retirer l'application de leurs boutiques.
LePDG de TikTok, Shou Chew, sera entendu par le Congrès américain jeudi prochain et, compte tenu des derniers développements, l'atmosphère risque d'être tendue.
La controverse sur le cryptage se poursuit
Whatsapp et Signal ont annoncé qu'ils pourraient cesser de fournir leurs services au Royaume-Uni si le projet de loi sur la sécurité en ligne était adopté. Dans sa version actuelle, ce projet de loi exige que les fournisseurs de services de messagerie analysent les messages à la recherche de contenus illégaux et préjudiciables. Les opposants au projet de loi considèrent que l'analyse systématique du contenu constitue une atteinte inacceptable à la vie privée. L'analyse du contenu nécessiterait également la mise en place de portes dérobées dans les systèmes cryptés de bout en bout, ce qui soulève des problèmes de sécurité.
Un débat similaire est en cours depuis un certain temps dans l'Union européenne. Un règlement européen controversé contre les abus sexuels sur les enfants a été proposé l'année dernière. Bien que très différent du projet de loi britannique, le règlement proposé impose toujours des mesures qui compromettent le chiffrement de bout en bout pour lutter contre la diffusion de la pornographie enfantine.
Le Conseil européen de la protection des données et le Contrôleur européen de la protection des données se sont tous deux opposés à la proposition. L'année dernière, un avis conjoint des deux institutions a mis en évidence plusieurs problèmes avec le projet et a souligné que le fait de compromettre le cryptage de bout en bout affaiblit gravement la protection de la vie privée.
Le CEPD pourrait rejeter Microsoft Office
Le Contrôleur européen de la protection des données a l'intention d'abandonner Microsoft Office pour des raisons de protection de la vie privée liées au transfert de données personnelles vers les États-Unis. En février, le Contrôleur a commencé à mettre en œuvre Nextcloud et Collabora Online, deux logiciels libres basés sur le code de LibreOffice.