Ainsi, l'UE a finalement adopté sa loi sur l'IA, très attendue et largement débattue, la première réglementation de ce type au monde. Dans le même temps, les États-Unis s'orientent vers une limitation des transferts de données vers les "pays préoccupants" - et peut-être même vers la cession de TikTok à ses propriétaires chinois !
Notre mensuel sur la protection de la vie privée aborde tous ces sujets et bien d'autres encore. Plongeons dans le vif du sujet !
- L'UE adopte la loi sur l'IA
- Le Congrès pourrait obliger Bytedance à céder TikTok
- Les États-Unis répriment les transferts de données vers des pays adverses
- Mark Zuckerberg impliqué dans le projet Ghostbusters
- GM coupe les liens avec les courtiers en données
- Meta réduit les frais de son service sans publicité
- Google va supprimer les données des utilisateurs après le procès Incognito
- 17 pays publient une déclaration sur le contrôle des logiciels espions commerciaux
- Zoom condamné à des dommages-intérêts au Brésil
- La loi Fisa 702 expire bientôt, mais il reste à la réautoriser
- Le CEPD suspend l'utilisation d'Office365 par la Commission
- Les chaînes de consentement du CT sont des données à caractère personnel
L'UE adopte la loi sur l'IA
Avec le vote final du Parlement, l'UE a adopté la très attendue loi sur l'IA. La loi entrera en vigueur en 2026, mais prévoit différents délais pour des règles spécifiques.
En vertu de la loi sur l'IA, certaines applications de l'IA, telles que le scoring social, sont totalement interdites, tandis que les applications de l'IA à haut risque et l'IA générative sont soumises à des règles strictes. Le règlement prévoit également la création d'un bureau de l'IA chargé de veiller à l'application de la loi.
Le Congrès pourrait obliger Bytedance à céder TikTok
La Chambre des représentants a adopté un projet de loi qui obligerait Bytedance à céder TikTok afin de rendre le réseau social disponible sur le marché américain. Cette proposition inédite et controversée doit maintenant être votée par le Sénat pour devenir une loi.
Les partisans du projet de loi affirment que les liens de ByteDance avec le Parti communiste chinois permettraient à la Chine d'utiliser TikTok pour collecter des données précises sur les citoyens américains et influencer le discours politique.
Les États-Unis répriment les transferts de données vers des pays adverses
Dans le même ordre d'idées, les États-Unis sont de plus en plus conscients du risque pour la sécurité nationale que représente le commerce illimité de données à caractère personnel. Le président américain a publié un décret limitant le transfert de données personnelles vers des "pays préoccupants". En outre, un projet de loi limitant les ventes de données à certains pays (Protecting Americans' Data from Foreign Adversaries Act) a été voté à l'unanimité par la Chambre des représentants et sera probablement confirmé par le Sénat.
Mark Zuckerberg impliqué dans le projet Ghostbusters
En 2016, Meta (alors Facebook) a intercepté à grande échelle des données analytiques cryptées d'utilisateurs de Snapchat et de Youtube par l'intermédiaire d'une application appartenant à Facebook, dans le cadre d'une opération surnommée "Projet Ghostbusters" par le personnel de Meta. Le projet Ghostbusters pourrait bien être l'une des pires bévues de Meta en matière de protection de la vie privée à ce jour, au même titre que Cambridge Analytica.
Si le projet Ghostbusters en lui-même n'est pas une nouvelle, des documents récemment dévoilés prouvent l 'implication directe de cadres de Meta de haut niveau, y compris Mark Zuckerberg lui-même. Selon des courriels internes, Zuckerberg trouvait inacceptable que Facebook manque d'analyses sur les utilisateurs d'autres services. Oui, vous avez bien lu.
GM coupe les liens avec les courtiers en données
General Motors a cessé de partager les données de ses conducteurs avec les courtiers en données LexisNexis Risk Solutions et Verisk après que le New York Times a révélé les pratiques invasives de l'entreprise en matière de partage de données. Les deux courtiers en données utilisaient des données personnelles très détaillées pour établir des profils de risque d'assurance pour les conducteurs et les vendre aux compagnies d'assurance.
La bévue de GM en matière de protection de la vie privée n'est peut-être pas un cas isolé : il y a quelques mois, une étude de la Fondation Mozilla a mis en évidence les mauvaises pratiques en matière de protection de la vie privée dans l'ensemble de l'industrie automobile.
Meta réduit les frais de son service sans publicité
Selon Reuters, Meta a proposé aux régulateurs européens de réduire le prix de ses abonnements Facebook et Instagram sans publicité de 9,99 euros à 5,99 euros, afin de se protéger des poursuites judiciaires en cours concernant son approche payante de la protection de la vie privée.
noyb (l'une des ONG à l'origine des poursuites judiciaires engagées par Meta) a critiqué la décision de l'entreprise et a fait remarquer que la baisse des prix ne répondait à aucune des graves préoccupations soulevées par les abonnements payants. Nous ne nous attendons pas non plus à ce que les autres critiques de Meta soient impressionnés par cette baisse de prix.
Les abonnements payants de Meta sont controversés dans la communauté de la protection de la vie privée depuis le premier jour. Si vous êtes curieux d'en savoir plus sur ce sujet brûlant et ses implications pour le droit à la vie privée, n'hésitez pas à consulter notre blog.
Google va supprimer les données des utilisateurs après le procès Incognito
À la suite d'une action collective intentée devant un tribunal fédéral, Google s'est engagé à supprimer les données des utilisateurs concernant la navigation Incognito sur Google Chrome. Selon la plainte, Google a présenté de manière erronée la collecte de données en mode Incognito.
Les utilisateurs ne recevront pas de dommages-intérêts dans le cadre de l'action collective, mais peuvent toujours intenter une action individuelle contre l'entreprise.
17 pays publient une déclaration sur le contrôle des logiciels espions commerciaux
Les gouvernements de 17 pays (dont les États-Unis, le Royaume-Uni, la France et l'Allemagne) ont publié une déclaration sur la nécessité de contrôler la distribution et la prolifération des logiciels espions commerciaux. La déclaration reconnaît que les logiciels espions commerciaux constituent une menace pour la démocratie et qu'une réglementation plus stricte est nécessaire pour contrôler leur développement et leur vente.
Cette déclaration n'est pas arrivée trop tôt : en 2022, une commission d'enquête spéciale du Parlement européen a trouvé des preuves de l'utilisation abusive de logiciels espions par au moins quatre gouvernements de l'UE. Plus récemment, un logiciel espion commercial a été découvert sur les appareils de deux députés européens lors de contrôles de routine en février, comme l'a rapporté Politico.
Zoom condamné à des dommages-intérêts au Brésil
Le tribunal de Maranhão a estimé que Zoom avait illégalement partagé des données d'utilisateurs avec Meta en incluant une option "se connecter avec Facebook" dans son service. L'entreprise devra payer 20 millions de BRL (environ 3,5 millions d'euros) de dommages et intérêts collectifs, ainsi que 500 millions de BRL (environ 90 euros) aux utilisateurs concernés par la violation.
Zoom a déclaré que le partage des données des utilisateurs n'était pas intentionnel et que la société n'avait pas de partenariat de partage de données avec Meta.
La loi Fisa 702 expire bientôt, mais il reste à la réautoriser
La réautorisation de la surveillance gouvernementale au titre de la section 702 de la loi sur la surveillance du renseignement étranger (FISA) doit expirer le 19 avril. Cette loi controversée autorise une large surveillance des citoyens étrangers par le gouvernement, mais a souvent été utilisée de manière abusive pour mettre indirectement sur écoute les communications des citoyens américains sans mandat.
La FISA, qui est l'une des lois américaines les plus problématiques en matière de surveillance, a été au centre de l'arrêt Schrems et du drame qui s'en est suivi concernant les transferts de données entre l'Union européenne et les États-Unis.
Le CEPD suspend l'utilisation d'Office365 par la Commission
Après une longue enquête, le Contrôleur européen de la protection des données a ordonné à la Commission de suspendre l'utilisation d'Office365. La décision est de nature très technique et concerne le non-respect par la Commission des règles de transfert de données du règlement 2018/1725 (une loi sur la protection de la vie privée qui s'applique aux institutions de l'UE en lieu et place du GDPR).
Les chaînes de consentement du CT sont des données à caractère personnel
La Cour de justice a estimé que les chaînes de CT employées par le cadre de transparence et de consentement de l'IAB sont des données à caractère personnel. Cet arrêt pourrait avoir un impact important sur le marché de l'ad tech, car le cadre de l'IAB est l'un des plus utilisés par les annonceurs de l'UE.
Un résumé de cette décision très technique est disponible sur le GDPRhub.