L’actualité des données personnelles en Belgique et en France
| Les données de patients d’hôpitaux belges partent en Russie Selon une enquête de la presse belge, un logiciel d’analyse de la qualité des soins et de l’efficacité de la gestion hospitalière fourni par la société 3M et utilisé par 83 hôpitaux conduit à un transfert de données sensibles vers la Russie. D’abord collectées par 3M en Belgique et stockées en Allemagne, les données sont mises à disposition d’un sous-traitant américain chargé de leur analyse, lequel fait effectuer des mises à jour des bases de données depuis l’un de ses bureaux situé en Russie. L’un des hôpitaux concernés estime toutefois que les données sont pseudonymisées (seul un identifiant est transmis) tout en expliquant que les données sont « traitées par plusieurs centaines d’applications. À ce titre, il est impossible de décrire de façon unique comment ces données sont traitées. Nous veillons toutefois à respecter le cadre du RGPD et à appliquer au maximum ses principes. » De son côté, 3M estime que le transfert est suffisamment couvert par son recours, validé par l’arrêt Schrems II, à des CCT. Invoquer le secret commercial pour s’affranchir du RGPD : encore faut-il démontrer la menace Ayant demandé l’accès à toutes ses données personnelles, et insatisfait de la réponse, un employé a porté plainte auprès l’autorité de contrôle belge. L’employeur invoquant en effet sa propre « vie privée » en tant que personne morale, et en particulier ses secrets commerciaux, l’APD a estimé qu’il lui revenait de démontrer clairement l’existence d’une menace contre les secrets commerciaux allégués. Dans le cas présent, elle a accepté l’argument, mais sans convaincre de sa validité dans d’autres circonstances similaires. |
| L’actualité des données personnelles (Monde) Réseaux sociaux : 1 milliard de données personnelles dans la nature ; peut-on encore parler de « fuites » ? Comme la presse l’a rapporté, LinkedIn aurait été victime d’une aspiration massive de données touchant 500 millions de personnes. L’autorité de contrôle luxembourgeoise indique avoir été contactée par la DPC irlandaise qui mène l’enquête et qui a enjoint LinkedIn de mettre en place un point de contact, à défaut de notification aux personnes. De son côté, après la mise en ligne des données de 533 millions de ses usagers, dont 20 millions de français y compris des ministres, Facebook ne prévoit pas non plus de notification, sous prétexte qu’il ne sait pas précisément lesquels ont été impactés. Finalement, plus c’est gros… La Commissaire irlandaise défend son bilan Lors d’une audition devant le Parlement irlandais, la Commissaire à la protection des données a répondu aux questions des députés et de Max Schrems. Elle en a profité pour critiquer les CNIL européennes qui lui reprochent son inaction, estimant que ce sont celles qui étaient opposées au principe du guichet unique. Dans une conférence tenue précédemment, elle avait défendu son action et justifié l’absence de décision systématique après chaque plainte, et indiqué sa préférence pour la médiation et les solutions amiables. Mais elle négligerait la quasi-totalité des plaintes Selon NOYB, l’ONG de Max Schrems, l’audition de la DPC irlandaise comporte un aveu que seules 0,07 % des plaintes qu’elle reçoit sont suivies d’une décision. Sur 10?000 plaintes reçues en 2020, la DPC n’a rendu que six à sept décisions en 2021. Max Schrems accuse la DPC de confondre « traiter » les dossiers et « prendre des décisions ». Un wiki pour tout savoir sur l’application du RGPD Lancé par NOYB, le site collaboratif GDPRhub se donne pour objectif de collecter les décisions des autorités de contrôle européennes, et de constituer une base de connaissance sur les articles du RGPD, sur les autorités de contrôle, et sur les 32 juridictions européennes concernées par le RGPD. Plus de 1000 décisions sont déjà répertoriées, classées par autorité et par article du RGPD. La Corée du Sud bientôt adéquate Lors d’un entretien le 30 mars 2021, le Commissaire européen chargé de la justice, et le président de l’autorité de contrôle coréenne se sont félicités du bon déroulement du dialogue en vue de l’adéquation de la législation coréenne sur la protection des données. La Commission européenne va désormais lancer la procédure d’adoption de son constat d’adéquation, après avis du CEPD/EDPB et d’un comité de représentants des États membres, conformément à l’article 45.3 du RGPD. Allemagne : après Schrems II, les entreprises priées d’abandonner les fournisseurs de services américains S’appuyant sur la décision de la CJUE, l’autorité bavaroise de protection des données a interdit à un magazine en ligne européen d’utiliser le service de newsletter Mailchimp, basé aux États-Unis. Cette décision semble indiquer qu’après une période de grâce informelle, l’heure serait désormais à une plus grande sévérité. Si aucune sanction n’a été prononcée, l’autorité de contrôle a néanmoins imposé au magazine d’abandonner l’application, et ouvertement affiché son intention de faire de ce dossier une affaire exemplaire. États-Unis : des « Dark Patterns » utilisés dans la campagne de Trump Alors que la législation californienne vient d’interdire l’usage de certains « darks patterns », la plateforme de collecte fonds du Parti républicain aurait utilisé certaines de ces techniques durant la campagne électorale pour inciter les supporteurs de Trump à faire des dons supérieurs à leurs intentions. Selon un porte-parole, des transactions pour au moins 19,7 millions de dollars auraient été contestées par les personnes qui ont pris la peine de contester les frais. Et si l’Irlande avait interdiction de traiter les données des Américains ? Un projet de loi du Sénat vise à limiter l’utilisation des données des citoyens américains, dans les pays jugés insuffisamment protecteurs. Ironie du sort, c’est l’Irlande, paradis du numérique, qui est visée, considérée outre-Manche comme insuffisamment conforme au RGPD. L’enjeu pour l’Irlande, de plusieurs milliards de dollars, serait directement imputable à son incapacité à appliquer le RGPD. Partage de données : une startup tient tête au Goliath Amazon Un fabricant de thermostats connectés qui utilise l’assistant Alexa refuse de répondre aux exigences contractuelles d’Amazon selon lesquelles les données de ses utilisateurs devraient être partagées avec le géant américain. Amazon estime avoir besoin de ces données pour optimiser sa connaissance des clients du site marchand. Le cas n’est pas unique, mais cette fois, la startup a décidé de rendre publiques les pressions qu’elle subit de la part d’Amazon. Fronde contre le plan anti-cookies de Google Alors que Google a lancé le test de son système FloC, destiné à supprimer les cookies tiers au profit de « cohortes » d’utilisateurs aux comportements homogènes, des voix de plus en plus nombreuses s’élèvent contre cette technologie. Des régulateurs notent que le système est bien un traitement de données au sens du RGPD, et qu’il accroit l’hégémonie commerciale de Google. Les navigateurs concurrents de Chrome sont opposés à l’utilisation de FloC et le désactivent, comme de nombreux annonceurs qui ne veulent pas en entendre parler. Trois chansons, et vous êtes identifié Dans une étude de scientifiques israéliens résumée dans la presse, une majorité de participants a été capable de s’identifier les uns les autres, uniquement sur la base de leur choix de 3 chansons ou morceaux de musique. Les chercheurs avouent ne pas savoir comment cette identification est possible, mais ils estiment que l’étude démontre la faisabilité d’une réidentification basée sur une sélection musicale, et en soulignent le la menace sous-jacente. Échange de données entre autorités publiques : avis du CEPD Le CEPD/EDPB a adopté une déclaration sur les échanges de données entre autorités publiques dans le cadre d’accords internationaux conclus avant l’entrée en vigueur du RGPD. Le CEPD/EDPB invite les États membres à revoir ceux de ces accords qui impliquent des transferts internationaux de données personnelles, tels que ceux qui touchent à la fiscalité, à la sécurité sociale, ou la coopération policière. Déjà plus de 30 millions d’euros d’amendes en 2021 Les autorités de contrôle européennes ont manifestement commencé à frapper fort : selon le rapport d’un site d’informations financières, elles ont décidé 33,61 millions d’amendes au premier trimestre 2021. L’Espagne est en tête avec 15,7 millions, suivie par l’Allemagne (10,7), la France arrivant en sixième position (245?000). Rappelons qu’en 2020, 306,3 millions d’euros d’amendes avaient été décidés, la France arrivant alors en tête avec 138,3 millions d’euros. Invoquer le RGPD à tort peut coûter cher Un praticien reprochait à Google la publication d’une fiche professionnelle le concernant, sur laquelle apparaissaient des avis relatifs à son activité, et demandait la suppression de la fiche ainsi que la communication des coordonnées des auteurs des avis en invoquant le RGPD. Le tribunal a finalement considéré que les données de la fiche sont de toute façon publiques, et que les avis des consommateurs, dès lors qu’ils respectent les limites légales, relèvent de la liberté d’expression. Le praticien a été condamné à indemniser Google. À Honfleur, les mouvements des touristes scrutés via leur réseau mobile Dans le cadre d’un partenariat avec Orange, les données des abonnés au réseau mobile sont collectées et commercialisées auprès des décideurs publics comme la communauté de commune de Honfleur-Beuzeville. Pour garantir le respect de la vie privée, les données ne comportent pas les numéros de téléphone, et sont anonymisées au sein d’échantillons de 20 personnes au minimum, après validation par la CNIL. L’objectif est d’observer les flux de visiteurs : comptage, analyse de la provenance, dénombrement des nuitées, compréhension des habitudes, etc. La CNIL victime d’une cyberattaque ? Selon le site Zataz, le site des téléservices de la CNIL aurait été ponctuellement indisponible dans la journée du 15 avril. Un message laconique indiquait que « suite à une attaque informatique », le site était en maintenance. Il semble que cette page de maintenance existe bien sur le site de la CNIL, mais il s’agirait plutôt d’une page prévue en cas d’incident. Prise de notes des gendarmes : oui, mais pas pour un usage ultérieur Dans une décision du 13 avril 2021, le Conseil d’État a partiellement annulé le décret qui actait la création de l’application GendNotes destinée à la prise de notes des gendarmes sur le terrain. Si la création du traitement n’est pas remise en cause, le Conseil d’État a annulé l’article qui prévoyait l’usage ultérieur des données, estimant que cette finalité ne respectait pas l’exigence d’être « déterminée, explicite et légitime ». Suresnes : vidéosurveillance par intelligence artificielle La ville de Suresnes a conclu un partenariat avec une entreprise locale, afin d’expérimenter durant 18 mois un algorithme permettant de détecter les comportements suspects via une dizaine de caméras de vidéosurveillance, sur des lieux et pour des incivilités ciblés (rodéos à moto, dépôts d’ordures sauvages, infractions au Code de la route, rassemblements…), mais sans reconnaissance faciale. LE projet est soumis à l’autorisation de la CNIL qui ne s’est pas encore prononcée. Véhicules « intelligents » : deux ordonnances sur l’accès aux données et la responsabilité Le journal officiel du 15 avril 2021 a publié une ordonnance prise par le Gouvernement sur l’accès aux données des véhicules intelligents (à délégation de conduite). Cette ordonnance encadre l’accès aux données permettant la détection d’anomalies de circulation par les autorités habilitées, ainsi qu’aux données enregistrées en cas d’enquêtes. En cas d’accident, les assurances peuvent également accéder aux données sur la délégation de conduite des véhicules impliqués. Une seconde ordonnance traite de la responsabilité pénale en cas de circulation d’un véhicule à délégation de conduite. Après celui d’Apple, le traceur des téléphones Android devant la justice Après avoir porté plainte contre Apple et son identifiant unique, NOYB a lancé de nouvelles actions contre l’identifiant publicitaire d’Android (AAID) qui permet aux applications de suivre le comportement de l’utilisateur à son insu. NOYB s’appuie sur l’absence de consentement préalable et sur l’impossibilité pour l’utilisateur de supprimer cet identifiant ni de réinitialiser les données de suivi collectées. Une action a été entamée en particulier auprès de la CNIL (texte bilingue), au titre de l’article 82 de la Loi Informatique et Libertés. « L’âge du capitalisme de surveillance » : un constat glaçant Cet ouvrage de plus de 800 pages d’une professeure de Harvard part du constat que les entreprises technologiques comme Google et Facebook nous ont persuadés de renoncer à notre vie privée pour des raisons de commodité, dans une démarche qu’elle qualifie de capitalisme de surveillance. Son analyse remonte aux années 90 où Google n’utilisait les données personnelles que pour améliorer ses services, et date au « 11 septembre » l’obsession de « l’information totale » de presque toutes les démocraties du monde, et le début d’une transformation radicale de la nature humaine. À priori, pas pour le meilleur. Souveraineté : plaidoyer pour un rôle majeur de la France Un entrepreneur de startup a publié dans la presse un plaidoyer appelant la France et l’Europe à incarner « une troisième voie » dans le développement des technologies stratégiques, en s’affranchissant de la domination des États-Unis et de la Chine. Il note que la crise sanitaire a remis la souveraineté sur le devant de la scène, dans tous les domaines, mais surtout celui du numérique. Mais pour y réussir, il ne suffit pas d’incantations, il faut une volonté politique, un pilotage stratégique et des acteurs inventifs et déterminés. (Merci à Philippe Salaün) |