Dire qu'avril a été un mois chaud pourrait bien être un euphémisme. Le Congrès américain a apporté de nombreuses nouvelles, notamment une législation sans précédent contre Tiktok et un nouveau projet de loi bipartisan sur la protection de la vie privée. Dans le même temps, Apple a cédé à la pression réglementaire en Chine et l'EDPB a pris position contre Meta dans une bataille juridique clé et très médiatisée.
Il y a beaucoup à dire, alors plongeons dans le vif du sujet !
- Le Congrès américain examine un projet de loi fédérale sur la protection de la vie privée et interdit TikTok
- Plus d'informations sur le Congrès : FISA 702 réautorisée, loi sur le 4e amendement à ne pas vendre
- Les données personnelles ne sont pas une marchandise, selon l'EDPB
- Apple retire les services cryptés de l'App Store chinois
- Fuite massive de données aux États-Unis
- ByteDance suspend le programme TikTok Rewards en Europe
- Le gouvernement américain renforce les règles de l'HIPAA pour les données relatives à la santé génésique
- Google retarde à nouveau la suppression des cookies.
- Grindr poursuivi en justice pour ses données sur le VIH
- Google paie 62 millions de dollars pour ses données de localisation
- L'IA continue de soulever des problèmes de protection de la vie privée
Le Congrès américain examine un projet de loi fédérale sur la protection de la vie privée et interdit TikTok
Un projet de loi fédéral bicaméral sur la protection de la vie privée a été proposé de manière inattendue au Congrès. Ce projet, baptisé American Privacy Right Act (APRA), comprend un ensemble complet de mesures de protection de la vie privée, notamment des exigences en matière de minimisation des données et de transparence, de nouveaux droits pour les consommateurs et un droit d'action privé soumis à certaines restrictions.
Lapréemption par les États risque d'être une question épineuse lors des futures négociations. Certains États offrent déjà de solides protections de la vie privée à leurs citoyens et ne verront pas d'un bon œil une loi fédérale les affaiblir.
Entre-temps, le Congrès a finalisé une législation sans précédent qui oblige le géant chinois ByteDance à céder sa participation dans TikTok sous peine d'interdiction du marché américain. Selon Reuters, ByteDance est prêt à contester la constitutionnalité de la loi, mais préférerait quitter le marché américain plutôt que de céder sa participation si cela s'avérait nécessaire.
Plus d'informations sur le Congrès : FISA 702 réautorisée, loi sur le 4e amendement à ne pas vendre
Parmi les autres nouvelles du Congrès américain, la section 702 de la loi FISA a finalement été réautorisée pour deux ans, juste à temps.
La FISA autorise la surveillance des citoyens étrangers, mais elle a été utilisée de manière abusive dans le passé pour surveiller les communications des Américains sans mandat. Les défenseurs de la vie privée et des droits civiques critiquent depuis longtemps les faibles garanties entourant la loi et ne sont pas satisfaits de la voir prolongée sans aucun amendement.
Par ailleurs, la Chambre des représentants a adopté le " 4t Amendment Is Not For Sale Act", un projet de loi qui interdit aux forces de l'ordre et aux services de renseignement d'acheter des informations personnelles à des courtiers en données sans mandat ni garanties(ce qu'ils font en permanence). Nous espérons que cette loi sera adoptée.
Les données personnelles ne sont pas une marchandise, selon l'EDPB
Dans son avis très attendu sur le "pay-or-ok", l'EDPB a précisé que les données personnelles n'étaient pas une marchandise et a pris clairement position contre l'exploitation des données de Meta. Selon toute vraisemblance, la Cour de justice aura le dernier mot dans la longue saga de la conformité de Meta au GDPR, mais l'avis de l'EDPB est néanmoins un très bon signe.
Il s'agit d'une très grosse affaire pour la protection de la vie privée, car de nombreux services monétisent les données des utilisateurs de la même manière que Meta. Consultez notre blog pour en savoir plus sur l'avis de l'EDPB, son histoire et son impact potentiel sur la vie privée des citoyens européens.
Apple retire les services cryptés de l'App Store chinois
Apple a retiré quatre applications de la version chinoise de l'App Store sur ordre des autorités chinoises. La liste comprend la plateforme Threads et trois applications populaires de messagerie chiffrée de bout en bout (WhatsApp, Telegram et Signal).
Ce n'est pas la première fois que le gouvernement chinois ordonne à Apple de rendre des logiciels indisponibles : l'entreprise avait déjà été contrainte de retirer une app VPN en 2017. Il est superflu de souligner les préjudices possibles pour les utilisateurs lorsque des apps préservant la vie privée sont retirées de l'environnement fermé d'iOS, en particulier dans un pays comme la Chine.
Comme l'a déclaré un porte-parole d'Apple au WSJ, l'entreprise doit se conformer aux lois même si elle ne les aime pas. Néanmoins, rien de tout cela ne serait arrivé si Apple avait simplement permis aux utilisateurs chinois d'iOS de charger des applications de manière latérale, comme les utilisateurs européens peuvent le faire en vertu de la loi sur les marchés numériques (Digital Markets Act). En choisissant de conserver un contrôle total sur l'environnement iOS en Chine, Apple se met sciemment dans une position où le gouvernement peut l'obliger à nuire à ses utilisateurs.
Fuite massive de données aux États-Unis
La Commission fédérale des communications a infligé des amendes à plusieurs opérateurs de téléphonie mobile américains pour avoir divulgué sans consentement les données de localisation de leurs clients à des courtiers en données. Les amendes s'élèvent à un total de ** 200 millions de dollars** pour Verizon, AT&T, T-Mobile et Sprint (qui appartient désormais à T-Mobile).
Il s'agit d'une fuite de données aux proportions catastrophiques. Les opérateurs sanctionnés par la FCC sont parmi les plus importants du marché américain, Verizon représentant à lui seul près de 150 millions de clients.
ByteDance suspend le programme TikTok Rewards en Europe
Comme si l'ultimatum lancé par le Congrès à TikTok ne suffisait pas, la Commission européenne a annoncé l'ouverture d'une enquête sur le programme de récompenses de TikTok Lite pour violation potentielle de la loi sur les services numériques (Digital Services Act). L'enquête a incité ByteDance à suspendre le programme sur le marché européen.
Le "Programme de tâches et de récompenses" de TikTok Lite récompense les utilisateurs qui s'engagent sur la plateforme et effectuent certaines tâches telles que liker du contenu et inviter des amis à rejoindre TikTok. La Commission note que ByteDance n'a pas correctement évalué les risques du programme "Tâches et récompenses" et soupçonne que ce programme pourrait créer une dépendance et avoir des effets néfastes sur la santé mentale des utilisateurs de la plateforme (qui sont pour la plupart assez jeunes).
Le gouvernement américain renforce les règles de l'HIPAA pour les données relatives à la santé génésique
Le ministère de la santé et des services sociaux a publié de nouvelles règles visant à restreindre la divulgation de données dans le cadre de la loi HIPAA afin de protéger les femmes qui cherchent à obtenir des soins de santé génésique dans les États sanctuaires. La nouvelle règle interdit notamment la divulgation de données dans le but d'enquêter sur des soins de santé génésique qui ont été fournis en toute légalité.
La confidentialité des données relatives aux soins de santé génésique est devenue une question essentielle en matière de droits de l'homme en 2022, lorsque l'arrêtDobbs v. Jackson a ouvert les vannes de la législation anti-avortement dans les États conservateurs. Le renforcement de la loi HIPAA est un pas dans la bonne direction, mais d'énormes quantités de données sur la santé échappent encore au champ d'application étroit de la loi et peuvent être utilisées par les forces de l'ordre et d'autres acteurs d'une manière préjudiciable aux femmes et aux prestataires de soins de santé.
Google retarde à nouveau la suppression des cookies.
Google a une nouvelle fois retardé la suppression des cookies tiers. L'annonce a été faite quelques jours après que le Washington Post a fait état d'une opposition réglementaire à l'utilisation du bac à sable en raison de vulnérabilités en matière de protection de la vie privée.
Pour en savoir plus sur cette nouvelle et sur le "Privacy Sandbox", rendez-vous sur notre blog.
Grindr poursuivi en justice pour ses données sur le VIH
Grindr va faire l'objet d'un recours collectif au Royaume-Uni pour divulgation non consensuelle de données sensibles, notamment de données relatives au VIH. Le procès concerne des centaines d'utilisateurs et tourne autour de la divulgation de données personnelles entre 2018 et 2020.
Grindr, une application de rencontre populaire destinée au public homosexuel, a déjà été condamnée à une amende en Norvège pour avoir partagé des données sensibles avec des annonceurs sans y avoir consenti. Selon la politique de Grindr, de telles divulgations ont toujours lieu, bien qu'avec le consentement de l'utilisateur (ou, selon toute vraisemblance, sous une fiction de consentement, comme c'est généralement le cas pour les applications de rencontres).
Google paie 62 millions de dollars pour ses données de localisation
Arrêtez si vous l'avez déjà entendu, mais Google a signé un accord à l'amiable concernant les données de localisation.
Vous connaissez maintenant l'histoire : Google aime "donner à l'utilisateur le contrôle" de ses données en liant la collecte des données de localisation à de multiples paramètres peu clairs qui se trouvent dans toutes sortes d'endroits différents sur les appareils Android. Cela peut être fait ou non pour empêcher les utilisateurs de désactiver complètement la collecte des données de localisation. Les paramètres de Google sont si intentionnellement obscurs que même un ingénieur de Google n'a pas été en mesure de désactiver le suivi.
L'IA continue de soulever des problèmes de protection de la vie privée
Un récent rapport du New York Times décrit comment OpenAI, Google et Meta pillent l'internet à la recherche de données d'entraînement pour développer leurs IA de pointe. Dans leur course à la construction de modèles de plus en plus puissants, ces géants récupèrent des données provenant de toutes sortes de sources, y compris les contenus de Facebook et de Youtube.
Le NYT a une dent contre l'OpenAI, mais soulève tout de même quelques points intéressants. L'exploration du web par les grandes entreprises technologiques contourne les politiques de l'entreprise, exploite les lacunes de la législation sur les droits d'auteur et soulève de graves problèmes de protection de la vie privée qui n'ont pas encore été résolus. Des problèmes similaires ont été soulevés par l'organisme italien de protection de la vie privée dans son enquête en cours sur Open AI et dans une enquête parallèle sur Sora, l'outil de conversion de texte en vidéo d'OpenAI.
Entre-temps, le défenseur de la vie privée noyb a déposé une plainte contre OpenAI après que celle-ci n'a pas corrigé les fausses informations personnelles fournies par ChatGPT. La plainte soulève une question épineuse : en vertu du GDPR, OpenAI a le devoir de s'assurer que les données personnelles sont exactes, ce qui implique de s'assurer que les résultats de ChatGPT sont exacts. Bonne chance pour cela.