Ce mois-ci a été très chargé en matière de protection de la vie privée ! Après de longues négociations, l'UE s'est rapprochée de la loi sur l'IA. Entre-temps, les régulateurs ont rendu des décisions importantes contre Uber et Amazon, l'EDPB travaille sur la question brûlante du "pay-or-ok", le Sénat a entendu les PDG des médias sociaux sur la sécurité des enfants en ligne, et bien plus encore !
- L'UE se rapproche de la loi sur l'IA alors que la loi sur les données entre en vigueur
- L'EDPB discute du "pay-or-ok
- Une audition houleuse au Sénat sur la sécurité des enfants
- Deux amendes importantes infligées par l'autorité de contrôle française
- Le régulateur néerlandais frappe Uber
- La FTC s'attaque au partage des données
- Le GPDP n'est toujours pas satisfait de ChatGPT
- L'UE et les États-Unis travaillent à un accord sur l'accès de la police aux données
- La Commission européenne confirme 11 décisions d'adéquation
- Amazon exige désormais un mandat pour les images de Ring
L'UE se rapproche de la loi sur l'IA alors que la loi sur les données entre en vigueur
LesÉtats membres de l'UE ont voté à l'unanimité en faveur de la loi sur l'IA. Trois autres votes sont encore nécessaires, dont celui, crucial, du Parlement européen en séance plénière en avril.
Entre-temps, la loi sur les données de l'UE est entrée en vigueur. Elle vise à faciliter l'utilisation et l'échange de données, notamment industrielles et IoT, tout en trouvant un équilibre avec la cybersécurité et le contrôle des utilisateurs.
L'EDPB discute du "pay-or-ok
L'EDPB (c'est-à-dire l'institution qui rassemble les régulateurs européens en matière de protection de la vie privée) a discuté de l'approche pay-or-ok de la protection de la vie privée en janvier et a l'intention de publier des lignes directrices sur la question. En d'autres termes, l'EDPB a l'intention de préciser si, et dans quelle mesure, les entreprises peuvent traiter les données personnelles comme une marchandise.
Le "pay-or-ok" est un sujet brûlant en ce moment, car la dernière stratégie de conformité de Meta est centrée sur l'offre d'abonnements payants et sans publicité pour Facebook et Instagram comme alternative à ses abonnements gratuits. Mais la question est plus vaste et a d'énormes conséquences pour l'ensemble du droit européen en matière de protection de la vie privée.
Si le sujet vous intéresse, notre blog explore les stratégies de conformité de Meta et les implications du "pay-or-ok" pour le GDPR.
Une audition houleuse au Sénat sur la sécurité des enfants
En réponse aux préoccupations croissantes du public concernant la sécurité des enfants sur les médias sociaux, une commission du Sénat américain a interrogé les PDG des principales plateformes sociales sur la sécurité en ligne des enfants.
Les PDG de Meta, X, Snap, TikTok et Discord étaient présents. L'interrogatoire a été plutôt tendu, Mark Zuckerberg (Meta) et Shou Zi Chew (TikTok) ayant pris le dessus. Evan Spiegel (Snap) et Linda Yaccarino (X) ont exprimé leur soutien à la loi sur la sécurité des enfants en ligne, tandis que d'autres PDG ont fait part de leur scepticisme.
Deux amendes importantes infligées par l'autorité de contrôle française
La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 32 millions d'euros à Amazon France pour ses pratiques de surveillance sur le lieu de travail et une amende de 10 millions d'euros à Yahoo pour avoir utilisé illégalement des cookies de suivi.
L'autorité de régulation a envoyé un signal très fort indiquant que la surveillance notoirement invasive d'Amazon sur le lieu de travail ne sera pas tolérée en France : 32 millions d'euros représentent environ 3 % du chiffre d'affaires d'Amazon France pour 2021 et sont proches du plafond maximal de 4 % prévu par le GDPR.
Le régulateur néerlandais frappe Uber
Le régulateur néerlandais a infligé une amende de 10 millions d'euros à Uber pour ne pas avoir informé les chauffeurs de ses politiques de conservation des données et pour avoir rendu difficile l'accès des chauffeurs à leurs données personnelles.
Le contrôle des données est crucial pour l'équilibre des pouvoirs entre les entreprises et les travailleurs de l'économie parallèle. Le droit d'accès aux données peut parfois aider les travailleurs à récupérer leurs données, faisant ainsi pencher la balance en leur faveur. C'est ce qui s'est passé il y a peu de temps dans une affaire historique qu'Uber a perdue(Uber BV v Aslam).
La FTC s'attaque au partage des données
À la suite d'une enquête officielle, la Commission fédérale du commerce a ordonné à X de renforcer sa politique de confidentialité en matière de données de localisation. X ne sera pas autorisée à collecter des données de localisation sans consentement et ne pourra pas partager avec ses partenaires des données de localisation "sensibles" (telles que les établissements médicaux ou les institutions religieuses).
La FTC a également interdit à l'agrégateur de données InMarket Media de partager des données de géolocalisation précises.
Le GPDP n'est toujours pas satisfait de ChatGPT
L'organisme italien de surveillance de la protection de la vie privée a publié un avis (encore inédit) faisant état de violations présumées de la vie privée dans le cas d'Open AI et de ChatGPT. Les développements futurs méritent d'être suivis de près, car les IA génératives soulèvent d'importantes questions de protection de la vie privée qui n'ont pas encore été résolues.
L'autorité de régulation s'est intéressée pour la première fois à ChatGPT l'année dernière, lorsqu'elle a ordonné à l'entreprise d'interrompre ses services pour les utilisateurs italiens en raison de problèmes liés à la protection de la vie privée (nous avons examiné l'affaire ici). L'autorité a ensuite levé la restriction, mais seulement temporairement : l'affaire est restée ouverte et l'enquête a finalement abouti à l'avis de janvier 2024.
L'UE et les États-Unis travaillent à un accord sur l'accès de la police aux données
Selon Politico, le commissaire européen à la justice, Didier Reynders, a déclaré que l'UE et les États-Unis parviendraient à un accord sur l'accès de la police aux données personnelles dans le courant de l'année.
L'UE et les États-Unis disposent déjà d'un traité d'assistance mutuelle, mais les procédures existantes d'accès aux données sont lentes et fastidieuses. Le controversé Cloud Act des États-Unis peut accélérer les choses pour les forces de l'ordre américaines, mais il soulève des problèmes au regard du GDPR et a été largement critiqué en raison de sa nature unilatérale. Un nouvel accord pourrait résoudre certains problèmes liés au Cloud Act tout en permettant aux services répressifs de l'UE d'accéder plus rapidement aux données américaines.
Bien entendu, le futur accord devra trouver un équilibre entre l'efficacité de l'application de la loi et le droit à la vie privée, et le Contrôleur européen de la protection des données ne manquera pas de s'exprimer à ce sujet.
La Commission européenne confirme 11 décisions d'adéquation
La Commission européenne a réexaminé et confirmé les décisions d'adéquation existantes pour Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay. Les décisions concernant le Japon, la Corée du Sud, le Royaume-Uni et les États-Unis n'ont pas encore été confirmées.
Une décision d'adéquation est une décision unilatérale qui simplifie énormément les transferts de données en "donnant le feu vert" à un pays non membre de l'UE en tant que destination sûre pour les données à caractère personnel. Les décisions d'adéquation reposent sur une évaluation complexe du cadre juridique du pays destinataire et doivent être réexaminées périodiquement.
Amazon exige désormais un mandat pour les images de Ring
Amazon a annoncé qu'elle exigeait désormais un mandat avant de partager les images de Ring avec les forces de l'ordre. Il est à espérer qu'Amazon finira par résoudre les autres problèmes de confidentialité de Ring, tels que ses graves vulnérabilités en matière de cybersécurité et ses politiques d'accès aux données irresponsablement laxistes à l'égard des employés de Ring.