Mensuel de la vie privée : Février 2023

Le mensuel sur la protection de la vie privée revient avec des nouvelles croustillantes : le Comité européen de protection des données a fait des choses importantes, Google fait face à un nouveau procès antitrust aux États-Unis, et bien d'autres choses encore. Oh, et la liste des personnes interdites de vol aux États-Unis a été volée - oui, vous avez bien lu.

The UK Government chose Simple AnalyticsJoin them

Plongeons dans le vif du sujet !

Une affaire cruciale de transfert de données est portée devant l'EDPB

Dans un nouveau chapitre de la saga des transferts de données, le Conseil européen de la protection des données (le Conseil composé de toutes les autorités européennes de protection des données ainsi que du Contrôleur européen de la protection des données) aura le dernier mot sur l'enquête menée par l'autorité irlandaise de protection des données sur les transferts de données de Meta Ireland. L'autorité a déjà rédigé une décision visant à mettre fin aux transferts de données pour Facebook en juillet dernier, mais d'autres autorités de protection des données s'y sont opposées, de sorte que l'EDPB tranchera l'affaire par une décision contraignante.

Il s'agit d'une affaire très médiatisée dans laquelle l'EDPB est impliqué, de sorte que le résultat aura certainement un impact significatif sur la manière dont les DPA traiteront des affaires similaires. La décision de la Commission sera intéressante à lire et nous donnera un aperçu de la position des différentes autorités de protection des données sur la question controversée des transferts de données.

Les problèmes juridiques liés aux transferts de données ne sont plus à démontrer. Si vous êtes curieux, nous avons écrit à ce sujet ici.

Vol de la liste des personnes interdites de vol

L'administration américaine de la sécurité des transports enquête actuellement sur la fuite de la version 2019 de la liste fédérale des personnes interdites de vol. Le piratage a été revendiqué par un hacktiviste suisse qui aurait trouvé la liste sur un serveur non sécurisé de la compagnie aérienne américaine CommuteAir. L'hacktiviste n'a pas publié la liste, mais a déclaré qu'elle la mettrait à la disposition de certains journalistes et chercheurs.

La "No Fly List" est une liste de terroristes connus ou présumés qui ne sont pas autorisés à monter à bord des avions. Cette liste est très controversée et a été largement critiquée pour son manque de transparence et sa partialité à l'égard de la minorité religieuse musulmane. Selon l'hacktiviste, la version en sa possession contient les noms et lieux de naissance de plus d'un million de personnes, ressortissants américains et étrangers.

Poursuite antitrust contre Google

Le ministère américain de la justice et les procureurs généraux de huit États ont intenté une action antitrust contre Alphabet Inc. la société mère de Google, dans le but de démanteler l'entreprise et de réduire son contrôle sur le marché de la publicité numérique.

Google n'en est pas à son coup d'essai en matière de litiges antitrust : une plainte concernant le monopole de Google sur le marché de la recherche sur internet a été déposée par le ministère de la justice en 2020 et rejetée. D'autres grandes entreprises technologiques sont également sous le feu des critiques : Meta est impliqué dans deux procès concernant sa position dominante sur le marché des réseaux sociaux et le projet d'acquisition de la société de RV Within. Et récemment, la Federal Trade Commission a assigné Microsoft en justice pour tenter d'empêcher son acquisition de la société de jeux vidéo Activision Blizzard.

Dans l'ensemble, le ministère de la justice semble adopter une position très proactive sur les questions antitrust sous l'administration Biden, ce qui pourrait conduire à des développements intéressants à l'avenir.

Le DPC inflige une amende à Meta et annonce une action en justice contre l'EDPB

Comme indiqué dans le mensuel de janvier sur la protection de la vie privée, la DPA irlandaise (DPC) a infligé une amende de 390 millions d'euros à Meta Ireland pour avoir illégalement ciblé les utilisateurs de Facebook et d'Instagram avec des publicités personnalisées. Les premières décisions (très clémentes) de la DPC ont été examinées par l'EDPB dans le cadre du mécanisme de règlement des différends et ont été pour la plupart annulées, ce qui a conduit l'autorité à rendre de nouvelles décisions.

L'histoire n'est pas tout à fait terminée. L'EDPB a ensuite réglé un troisième litige, presque identique, concernant Whatsapp. Le 12 janvier, la DPC a ainsi infligé une nouvelle amende de 5 millions d'euros à WhatsApp Ireland, propriété de Meta, un montant plutôt faible compte tenu du nombre d'utilisateurs concernés. Le DPC a également annoncé une action en justice devant la Cour de justice de l'UE, dans le but d'annuler l'ordonnance de l'EDPB visant à approfondir l'enquête sur les opérations de traitement des données de Meta. Selon le DPC, cet ordre constitue une violation de son indépendance, car l'EDPB n'est pas habilité à diriger l'enquête d'une DPA.

Toutes ces décisions mettent en évidence un désaccord radical entre la DPC et d'autres DPA, de nombreuses autorités s'opposant au point de vue de la DPC et prônant une interprétation beaucoup plus stricte du GDPR. L'action en justice de la DPC est susceptible d'accroître encore les frictions avec ses homologues européens.

Le groupe de travail de l'EDPB s'attaque aux bannières de cookies

Le mois a été chargé pour l'EDPB. L'année dernière, la Commission a créé un groupe de travail sur les bannières de cookies afin de coordonner les réponses aux nombreuses plaintes déposées par l'ONG noyb contre les bannières de cookies trompeuses. Le 17 janvier, le groupe de travail a publié son rapport.

Le document traite des cas courants de conception trompeuse des bannières de cookies, comme le fait d'obliger l'utilisateur à passer par des étapes supplémentaires pour rejeter les cookies ou de rendre l'option de rejet à peine visible. Le groupe de travail a largement convenu que de telles pratiques sont illégales. Le document n'est pas juridiquement contraignant pour les autorités chargées de la protection des données, mais dans la pratique, il pourrait constituer une étape vers une répression des bannières trompeuses au niveau européen.

Si vous souhaitez en savoir plus, nous avons couvert le rapport sur notre blog.

Suite à l'action du Conseil irlandais des libertés civiles et à un échange avec le Médiateur de l'UE, la Commission européenne s'est engagée à suivre régulièrement les enquêtes sur les cas transfrontaliers de GDPR à grande échelle dans toute l'Europe. Les autorités chargées de la protection des données de chaque État membre rendront compte de l'état d'avancement de ces dossiers tous les deux mois. La Commission publiera son propre rapport sur les informations qu'elle reçoit, offrant ainsi au public un aperçu de l'état d'avancement de l'application du GDPR.

De nombreuses affaires importantes de protection de la vie privée contre les grandes entreprises technologiques découlent de plaintes transfrontalières, et leur résolution prend souvent beaucoup de temps. Les récentes amendes infligées par le DPC à Meta en sont un bon exemple : les plaintes ont été déposées en 2018 ! Espérons que le nouveau système de signalement permettra d'accélérer les choses.

L'autorité de surveillance française en quête d'amendes

La Commission nationale de l'informatique et des libertés (CNIL) a été très active ces derniers temps, et ce n'est pas une bonne nouvelle pour les grandes entreprises technologiques. En l'espace d'un mois, TikTok et Microsoft ont été condamnés à des amendes pour utilisation non conforme de cookies et de bannières de cookies trompeuses (respectivement 8 et 60 millions d'euros), tandis qu'Apple s'est vu infliger une amende de 8 millions d'euros pour avoir illégalement suivi les utilisateurs d' iOS 14.6 à des fins publicitaires.

Le moment est très bien choisi : les décisions prises à l'encontre de TikTok et de Microsoft concordent parfaitement avec le rapport récemment publié par le groupe de travail de l'EDPB sur les bannières de cookies. La CNIL est une autorité de protection des données influente et ses décisions serviront, espérons-le, d'exemple aux autres autorités pour traiter les cas de cookies de manière stricte.

L'UE pourrait sévir contre la publicité politique

La commission du marché intérieur et de la protection des consommateurs (IMCO) du Parlement européen a approuvé un projet de règlement visant à renforcer les règles en matière de publicité politique. Les membres du Parlement proposent également d'interdire aux entités non européennes de financer la publicité politique dans l'UE.

Si l'Union donne suite au projet de l'IMCO, les publicités politiques ne seront autorisées que sur la base de données personnelles expressément fournies à cette fin spécifique. Cela tuerait effectivement la publicité politique ciblée sur les réseaux sociaux - et à la lumière du scandale Cambridge Analytica, c'est probablement pour le mieux.

Le PDG de TikTok témoignera devant le Congrès

LePDG de TikTok, Shou Zi Chew, a accepté de témoigner devant la commission de l'énergie et du commerce de la Chambre des représentants du Congrès américain en mars. M. Chew tentera de rassurer le Congrès et de réfuter les allégations selon lesquelles l'application met les données des utilisateurs à la disposition du Parti communiste chinois.

Les problèmes de sécurité présumés de TikTok sont un sujet controversé depuis des années. L'administration Trump a tenté d'interdire TikTok, mais son décret a été contesté devant les tribunaux, puis révoqué par l'administration Biden. Les problèmes de sécurité présumés de TikTok sont un sujet brûlant depuis lors. TikTok est interdit dans 24 États et sur certains appareils gouvernementaux, et la commission des affaires étrangères de la Chambre des représentants des États-Unis tiendra un vote sur l'interdiction de TikTok ce mois-ci.