I. Le transfert des données personnelles aux USA
La tant attendue décision d’adéquation qui encadre le transfert des données personnelles entre l’Union européenne et les États-Unis a été adoptée le 10 juillet 2023 par la Commission européenne.
Ce nouveau cadre légal assure une sécurité juridique aux entreprises pour le transfert des données personnelles aux États-Unis. Pour rappel, la précédente décision d’adéquation, le Privacy Shield, avait été invalidée par la Cour de Justice de l’Union européenne dans son célèbre arrêt « Schrems II ».
Désormais, les données personnelles pourront être transférées aux organismes qui figurent dans la liste publiée par le département du commerce des États-Unis. En effet, seules les entités qui se sont engagées à adhérer au Data Privacy Framework, via un système d’auto-certification, sont habilitées à importer des données personnelles en s’appuyant sur la nouvelle décision d’adéquation.
II. Les sanctions qui ont retenu notre attention
A. Une sanction record pour Meta… qui ne sera pas appliquée
Meta a été condamnée le 22 mai 2023 à une amende à hauteur de 1,2 milliards d’euros par l’Autorité irlandaise de protection des données personnelles (Data Protection Commission « DPC »).
La DPC a enjoint Meta de cesser tout transfert de données personnelles aux États-Unis et d’exporter toutes les données à ses centres au sein de l’UE.
Toutefois, à la suite de l’adoption de la décision d’adéquation et de l’auto-certification de Meta au Data Privacy Framework, la plateforme échappe de peu à cette sanction.
B. Meta et la publicité comportementale basée sur le profilage
L’autorité de protection des données norvégienne (« Datatilsynet ») a enjoint à Meta (dont Facebook et Instagram) de ne plus traiter des données personnelles à des fins de publicité comportementale basé sur le profilage des utilisateurs. La décision est effective à partir du 4 août pour une durée d’au moins 3 mois, ou jusqu’à ce que l’entreprise prouve sa conformité avec la loi norvégienne.
Le non-respect de cette ordonnance de l’autorité de protection des données norvégienne peut entraîner une amende allant jusqu’à 1 million de couronnes norvégiennes, c’est-à-dire près de 89 000 € par jour.
À compter du mois de novembre, Meta s’appuiera sur le consentement, et non plus sur l’intérêt légitime, pour traiter des données personnelles à des fins de publicité personnalisée pour les personnes basées dans l’UE, en Suisse, en Norvège, en Islande et au Liechtenstein.
De son côté, NOYB assure qu’il poursuivra le contentieux si Meta n’applique le consentement que pour les publicités hautement personnalisées ou comportementales. Le RGPD couvre tous les types de personnalisation, même celles qui ne sont pas comportementales, tel que des éléments comme l’âge.
C. Criteo : un des premiers acteurs français majeurs sanctionnés par la CNIL
Criteo est une entreprise française spécialisée dans le reciblage publicitaire. Elle dépose des cookies de suivi sur les terminaux des internautes, qui consultent des sites web de partenaires de la société, afin de tracer leur navigation et de leur proposer des publicités personnalisées.
L’association Privacy International et None of Your Business (NOYB) ont déposés plusieurs plaintes à l’encontre de la société, notamment pour ne pas avoir respecté le droit des personnes.
Ainsi, le 15 juin 2023, Criteo a été sanctionnée d’une amende à hauteur de 40 millions d’euros par la CNIL pour les motifs suivants :
- Manquement à l’obligation de démontrer que la personne a donné son consentement : CRITEO a l’obligation de vérifier et démontrer que les internautes ont donné leur consentement pour le dépôt de ses cookies, et ce en dépit du fait que l’obligation de recueillir le consentement incombe aux partenaires de la société qui proposent leurs services aux internautes.
- Manquement à l’obligation d’information et de transparence : La politique de confidentialité était incomplète en raison de l’absence de l’ensemble des finalités des cookies. De plus, l’utilisation de termes larges contrevient à l’obligation de transparence. En effet, l’internaute n’est pas en mesure de comprendre quelles données sont utilisées et pour quelles finalités.
- Manquement au respect du droit d’accès : Lorsque des utilisateurs exerçaient leur droit d’accès, la société ne communiquait pas d’informations suffisantes afin que les personnes concernées comprennent le contenu.
- Manquement au respect du droit de retrait du consentement et de l’effacement de ses données : CRITEO ne supprimait pas l’identifiant attribué à la personne. Elle n’effaçait pas non plus les évènements de navigation liés à cet identifiant.
- Manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement : Les accords entre CRITEO et ses partenaires n’incluaient pas certaines obligations, comme l’exercice des droits des personnes concernées, l’obligation de notification d’une violation de données.
III. Le Data Act, l’IA Act et le DSA au centre de l’actualité estivale européenne
1. Data Act
Le mardi 27 juin, le Conseil de l’UE, le Parlement européen et la Commission européenne, réunis dans le cadre de la procédure du trilogue, ont trouvé un accord sur le « Data Act ». Ce nouveau règlement européen vise à favoriser l’accès et la réutilisation des données, notamment pour les objets connectés.
Les prochains mois permettront de parfaire le texte, qui pourra ensuite être promulgué pour s’appliquer 20 mois après son entrée en vigueur.
2. IA Act
Le Parlement européen a voté le mercredi 14 juin, par 499 voix pour, 28 contre et 93 abstentions, en faveur de l’adoption d’un règlement européen relatif à la régulation de l’intelligence artificielle : « IA Act ».
Les eurodéputés souhaitent instaurer un cadre juridique pour réguler les IA génératives comme ChatGPT, les fausses images ou deepfakes…Les parlementaires ont toutefois exclu l’encadrement des systèmes automatiques de reconnaissance faciale dans les lieux publics et des systèmes de police prédictive du texte.
Les négociations continuent désormais entre les représentants des pays européens, réunis au sein du Conseil de l’UE.
L’objectif est de trouver un accord d’ici la fin de l’année 2023.
3. DSA
Le Digital Service Act (« DSA »), règlement européen, qui vise à limiter la prolifération de contenus illicites (contenus haineux, pédopornographiques, terroristes) et à assurer une meilleure transparence des grandes plateformes du numérique, est entré en vigueur le 25 août 2023.
19 plateformes en ligne, dont 17 très grandes plateformes et 2 très grands moteurs de recherche en ligne, qui comptent plus de 45 millions d’usagers dans l’Union européenne, doivent se conformer au texte.
La Commission européenne a désigné, le 25 avril 2023, les 17 très grandes plateformes visées par le DSA dont les géants du web tels que Amazon, Apple, Google, Facebook, Youtube, Tiktok.
Mais aussi 2 très grands moteurs de recherche en ligne : Bing et Google Search.
Les entreprises qui n’atteignent pas ce seuil seront soumises à des obligations proportionnées à leur taille.
IV. Adoption par le Sénat de la proposition de loi relative à la reconnaissance biométrique dans l’espace public
Le 12 juin 2023, le Sénat a adopté en première lecture une proposition de loi sur la reconnaissance biométrique dans l’espace public, pour une durée limitée de 3 ans.
La reconnaissance biométrique est une technique consistant à collecter des données biométriques c’est-à-dire toutes informations physiques ou biologiques qui permet d’identifier un individu (ADN, empreinte digitale etc).
Cette expérimentation sera autorisée dans certains cas précis, notamment pour les enquêtes judiciaires, la lutte contre le terrorisme et la sécurité de grands évènements.
Toutefois, la reconnaissance faciale (technique qui permet d’identifier des personnes à l’aide de données biométriques) sera exclue pour les Jeux Olympiques de 2024 à Paris au profit de « caméras intelligentes », qui permettent de détecter des comportements suspects.
Actuellement, la reconnaissance biométrique est encadrée par le RGPD. Toutefois, certains sénateurs sont en faveur d’une législation spécifique.
V. La compétence des autorités nationales de la concurrence dans l’application du RGPD
Dans un arrêt du 4 juillet 2023, la CJUE confirme que les autorités nationales de la concurrence peuvent s’appuyer sur le RGPD aux seules fins de constater un abus de position dominante.
La Cour estime que les règles en matière de protection des données personnelles doivent être prises en compte lors d’un examen d’abus de position dominante, étant donné que l’accès et l’utilisation des données personnelles représentent une importance majeure dans l’économie numérique.