Veille Juridique n°59 – Mai 2023.

Metasanktion: 1,2 Milliarden Euro… und was dann?

La sanction imposée le 12 mai dernier par l’autorité irlandaise à Meta, la société mère de Facebook, est la plus élevée jamais imposée par une autorité de protection des données depuis l’entrée en vigueur du RGPD , au moment où le règlement fête ses cinq ans d’application.

Au cœur de cette décision se trouve le transfert par Facebook des données de ses utilisateurs européens vers les Etats-Unis, pays n’étant plus considéré comme offrant un niveau de protection adéquat depuis la décision de la Cour de justice de l’Union européenne du 16 juillet 2020 (arrêt Schrems II).

Cette nouvelle sanction est aussi le symbole la coopération entre autorités de protection des données, car la décision de l’autorité irlandaise est le résultat d’une procédure longue et ardue, pour ne pas parler de bras de fer avec ses homologues européens.

L’APD a ainsi été contrainte d’élargir le champ d’application de sa décision et d’imposer une amende significative.

Selon l’ONG NOYB et son président Max Schrems, à l’origine de la plainte, il n’y a pas forcément de quoi se réjouir.

La procédure aura duré trois ans, face à une autorité nationale pratiquant un blocage systématique aux différents stades de l’affaire, et aura occasionné plus de dix millions d’euros de frais de justice… pour une amende qui ira à l’État irlandais.

 

Quelles conséquences concrètes pour Meta ?

La décision prévoit un délai de mise en œuvre : la société a jusqu’à mi-octobre pour cesser de transférer les données de ses utilisateurs aux Etats-Unis.

Elle doit en outre supprimer de ses centres de données américains avant mi-novembre toutes les données déjà transférées.

Si la société a menacé de cesser de fournir ses services en Europe, on peut douter de la vraisemblance de cette annonce, l’Europe étant sa plus grande source de revenus après les Etats-Unis, avec la création de plusieurs centres de données situés sur le territoire européen.

La société a annoncé qu’elle intenterait un recours au niveau national contre l’autorité irlandaise et qu’elle allait demander la suspension de l’ordonnance en attendant l’épuisement de la procédure judiciaire.

Meta joue sans doute la montre, tablant sur un nouvel accord transatlantique régularisant avant l’automne les transferts de données vers les Etats-Unis.

Rappelons toutefois, d’une part, qu’un nouvel accord ne légalisera pas les transferts passés et les violations déjà avérées de la loi, et d’autre part que la barre est haute en ce qui concerne le futur accord transatlantique.

Le projet actuel a déjà essuyé de vives critiques de la part du Parlement européen, et il n’est pas certain qu’il sera à l’épreuve de la Cour de justice de l’Union européenne (CJUE).

 

Impact sur les GAFAMs et les responsables de traitement en général

Les lois américaines sur la surveillance, qui sont à l’origine des décisions de l’autorité irlandaise, de l’EDPB et de la CJUE, constituent un problème pour tous les grands fournisseurs américains de services en nuage, tels que Microsoft, Google ou Amazon.

Précisons que la loi de surveillance américaine concernée (FISA 702) doit être réautorisée d’ici décembre 2023.

Si plusieurs autorités de contrôle européennes ont déjà jugé illégale l’utilisation de services américains impliquant des transferts de données, leurs décisions n’étaient pas assorties d’une amende aussi importante que celle infligée à Meta.

Cette dernière pourrait inciter les grandes entreprises technologiques américaines et toutes celles qui utilisent des services « cloud » d’origine américaine à revoir leurs pratiques et à effectuer au minimum une analyse d’impact des transferts.

 

Encore faudrait-il que les autorités de protection des données se montrent suffisamment dissuasives dans leur application du RGPD.

Elles sont aujourd’hui critiquées pour leur manque d’efficacité, comme le montre le récent rapport du Conseil irlandais pour les libertés civiles (ICCL).

Ce dernier constate dans son analyse que le RGPD est rarement appliqué contre les Big Tech.

Peu d’affaires européennes majeures auraient donné lieu à des mesures d’application sérieuses : « le registre des décisions finales de l’EDPB révèle que la plupart (64 %) des 159 mesures d’exécution prises à la fin de l’année 2022 n’étaient que des réprimandes ».

L’étude pointe du doigt, sans surprise, la Commission irlandaise de protection des données, car l’autorité a vu 75 % de ses décisions d’enquête dans les affaires de l’UE annulées par un vote majoritaire au sein du Comité européen de protection des données.

Le contexte en matière de recours évolue toutefois vers une meilleure protection des individus : la directive européenne sur les recours collectifs doit être mise en œuvre cet été, ce qui donnera aux utilisateurs européens une voie de recours supplémentaire en leur permettant d’intenter des actions collectives en cas de violation du RGPD dans l’ensemble de l’Union européenne.

Les Pays-Bas, qui autorisent déjà ce type de recours, voient les actions en justice se multiplier.

L’organisation néerlandaise de défense des droits des consommateurs « Consumentenbond » regroupe actuellement des utilisateurs néerlandais de Facebook pour porter plainte contre les transferts de données entre l’Union européenne et les États-Unis.

Enfin, un arrêt récent de la CJUE (Österreichische Post AG) a ouvert la voie aux « petits litiges » pour les atteintes à la vie privée, confirmant qu’un seuil de gravité pour le dommage moral subi n’est pas requis, ce qui pourrait permettre aux utilisateurs de réclamer des dommages-intérêts pour des violations concernant par exemple le fait d’être soumis à la surveillance de masse des États-Unis.

Ceci conduirait à des demandes d’indemnisation qui dépassent de loin les sanctions actuelles.

 

Und auch

     

• La CNIL a publié le 16 mai un plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus.

Elle entend prolonger son action sur les caméras augmentées et élargira ses travaux aux IA génératives et aux grands modèles de langage (LLMs) ainsi qu’aux applications dérivées (notamment les chatbots).

Ces travaux permettront également de préparer l’entrée en application du projet de règlement européen sur l’IA.

• La CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO.

La Commission a relevé plusieurs manquements au RGPD, notamment concernant les durées de conservation des données, la collecte de données de santé via des tests en ligne, la sécurisation des données ainsi que les modalités de dépôt des cookies sur le terminal des utilisateurs.

• La CNIL a publié le 23 mai son rapport d’activité 2022.

Elle y recense les temps forts de cette dernière année, dont le renforcement de l’accompagnement des entreprises et administrations, les campagnes d’information du public et d’éducation au numérique des plus jeunes, le traitement des plaintes et l’action répressive.

• Le Conseil d’État a mis en ligne l’enregistrement de la journée d’échanges qu’il a hébergée le 10 février 2023, coorganisée avec la CNIL et l’Alliance IHU France, sur le thème « IA et mégadonnées, comment vont-elles révolutionner la recherche et la pratique médicales de demain ».

Elle faisait suite à l’étude du Conseil d’État « Intelligence Artificielle et action publique » d’août 2022.

• Par un arrêt du 23 avril 2023, la cour d’appel de Paris a considéré que des messages WhatsApp devaient être assimilés aux SMS lorsqu’ils sont échangés dans les mêmes conditions.

Dans le cadre d’un conflit entre une société et des ex-salariés, elle a jugé que l’employeur pouvait accéder aux messages non spécifiés « personnels » d’un groupe WhatsAPP dans le téléphone professionnel d’ex-salariés.

 

Europäische Institutionen und Gremien

• Alors que le RGPD célèbre son 5e anniversaire, de nombreuses études dressent un bilan mitigé de sa mise en œuvre.

L’ONG noyb publie sur ce sujet un aperçu des 800 dossiers GDPR qu’elle a déposés au cours des cinq dernières années auprès des autorités de protection des données (APDs), dont 86 % sont toujours en attente d’une décision.

L’ONG a identifié plus de 60 problèmes de procédure qui freinent l’application du RGPD.

Alors que l’amende infligée à Meta fait la une des journaux, l’ONG considère que les autorités chargées de la protection des données n’appliquent généralement pas le RGPD en temps voulu.

• Une évaluation réalisée par le Future of Privacy Forum (FPF), révèle quant à elle que les infractions à l’article 25 du RGPD concernant le « privacy by design » sont celles qui ont donné lieu aux amendes les plus élevées.

L’étude se base sur plus de 90 cas et explique que « certaines autorités de protection des données appliquent l’article 25 avant que d’autres violations du RGPD ne se produisent ou même avant que le traitement de données prévu n’ait lieu. »

• Le Comité européen de la protection des données (EDPB) vient d’élire Anu Talus, commissaire finlandaise à la protection des données, au poste de présidente.

La nouvelle présidente remplacera la présidente sortante, Andrea Jelinek, et supervisera les travaux du comité pour les cinq prochaines années.

• L’EDPB publie un recueil de cas sur le droit d’opposition et d’effacement de l’article 17 du RGPD. Il examine une sélection d’exemples de décisions tirées de son registre public.
• Le groupe de pilotage du « cadre de transparence et de consentement » de l’IAB Europe a publié la version 2.2 de son cadre de référence.

Les principales modifications comprennent la suppression de la base juridique de l’intérêt légitime pour la personnalisation de la publicité et du contenu, l’amélioration des informations fournies aux utilisateurs finaux et l’obligation pour les fournisseurs de fournir des informations supplémentaires sur leurs activités de traitement des données.

• Un groupe de 30 experts en informatique et en cybersécurité basés en Europe a écrit une lettre ouverte aux dirigeants de l’UE.

Ils y font part de leurs préoccupations concernant les risques graves que la proposition de règlement de la Commission européenne sur les abus sexuels concernant les enfants (CSA) fait peser sur la confidentialité et la sécurité de toutes les communications, ainsi que sur la santé générale de l’écosystème de l’internet et de l’information.

 

Actualité des pays membres d’Europe.

• L’autorité fédérale allemande de protection des données (BfDI) a confirmé que l’examen des développements technologiques telles que l’IA générative, du point de vue de la protection des données, font partie de ses missions.
• L’autorité danoise de protection des données a réprimandé un responsable de traitement pour avoir partagé des données à caractère personnel avec Meta Ireland sans s’être assuré au préalable que cette dernière respectait le RGPD lors du transfert de données vers les plateformes Meta aux États-Unis.
• Dans le cadre d’un scandale retentissant concernant une fuite de données sensibles, et suite à une plainte déposée par l’ONG noyb, l’APD maltaise a ordonné à C-Planet de se conformer à une demande d’accès et d’informer sur la source des données personnelles qu’elle détenait. En l’espèce, les données avaient été exposées dans le cadre d’une violation concernant les opinions politiques de 335 000 électeurs de l’île.
• L’Union néerlandaise des consommateurs a déposé une plainte collective contre Google pour le suivi de la localisation des utilisateurs, des visites sur le web et de l’utilisation des applications sans consentement valable. Google devrait indemniser tous les utilisateurs qui utilisent ses services depuis le 1er mars 2012.
• L’APD belge a ordonné l’interdiction du transfert de données fiscales de citoyens américains résidant en Belgique vers les États-Unis. Selon l’APD, l’accord FATCA, qui prévoit de tels transferts, n’est pas conforme au RGPD et l’autorité fiscale belge aurait dû procéder à une analyse d’impact.
• La Commission norvégienne de recours en matière de protection de la vie privée a estimé qu’une plateforme de location de voitures disposait d’une base juridique au titre de l’article 6, paragraphe 1, point f), du RGPD pour évaluer le crédit d’une personne concernée afin de réduire le risque financier de l’entreprise.
• Suite à une plainte anonyme contre une agence de recouvrement de créances, l’APD croate a émis une amende de 2 265 000 euros pour absence de mesures de sécurité, de consentement, et violation de l’obligation d’information par le responsable du traitement.
• Suite à une plainte, l’APD autrichienne a rendu une décision contre la société de reconnaissance faciale Clearview AI le 10 mai 2023. La décision constate des infractions au RGPD (art 5, 6 et 9), ordonne au responsable d’effacer les données du plaignant, et de nommer un représentant en Autriche au titre de l’article 27 du Règlement.
• Le 15 mai, l’Information Commissioner’s Office (ICO) a infligé une amende de 12 700 000 livres sterling à TikTok pour un certain nombre d’infractions à la législation sur la protection des données, notamment pour avoir utilisé les données personnelles d’enfants de manière illicite.

 

• On constate une tendance croissante visant à utiliser l’IA dans un contexte professionnel. Un avocat américain a ainsi utilisé ChatGPT pour rechercher des affaires juridiques pour un mémoire en justice, et au moins six des affaires juridiques citées étaient inexistantes – un cas typique d’hallucination de l’IA, dans lequel le chatbot invente des informations.

Le juge chargé de l’affaire a ainsi écrit : « La Cour est confrontée à une situation sans précédent. Un mémoire déposé par l’avocat du plaignant en opposition à une motion de rejet est rempli de citations de cas inexistants. » L’avocat s’est excusé et doit maintenant faire face à une audience de sanction.

• Le 16 mai, Sam Altman, PDG d’OpenAI, a témoigné devant le Congrès américain.

Après avoir reconnu que l’IA pouvait potentiellement « mal tourner » et déclaré souhaiter travailler avec le gouvernement pour éviter que cela ne se produise, il a nuancé ses propos : le développeur de ChatGPT estime qu’il est important de permettre aux entreprises et aux projets open-source de développer certains modèles « en dessous d’un seuil de capacité significatif », sans réglementation ou mécanismes lourds tels que des licences ou des audits.

• Le 23 mai, le Congrès américain a publié un rapport intitulé « Generative Artificial Intelligence and Data Privacy : A Primer » : le rapport se concentre sur les questions de protection de la vie privée et les considérations politiques pertinentes pour le Congrès.
• Également en matière d’IA, l’Electronic Privacy Information Center (EPIC) a publié son rapport intitulé « Generating Harms – Generative AI’s Impact & Paths Forward ». Le document jette un pont entre les domaines de la vie privée et de l’IA du point de vue des préjudices.
• La Federal Trade Commission des Etats-Unis a publié une déclaration de politique générale qui n’est pas passée inaperçue sur la collecte d’informations biométriques.

L’agence indique qu’elle utilisera ses compétences en matière de pratiques déloyales pour poursuivre les traitements préjudiciables en matière d’informations biométriques, et développe une interprétation large de la donnée biométrique, incluant les données telles qu’une photographie de visage, même si elle n’est pas traitée pour identifier la personne concernée.

• Le 18 mai, le procureur général de l’État de Washington a annoncé que Google verserait 39,9 millions de dollars à l’État pour pratiques trompeuses en matière de géolocalisation.

Google mettra également en œuvre une série de réformes afin d’accroître la transparence de ses paramètres de géolocalisation.

• La Commission européenne a publié, en collaboration avec l’ANASE (Association des Nations de l’Asie du Sud-Est), un guide sur les transferts de données à caractère personnel utilisant les clauses contractuelles types adoptées par les deux organismes.

Le guide sera publié en deux parties : un « Guide de référence » fournissant une comparaison entre les CMC de l’ANASE et les CSC de l’UE, et un « Guide de mise en œuvre » reprenant les meilleures pratiques des entreprises qui répondent aux exigences des deux ensembles de clauses contractuelles.

• Le Réseau ibéro-américain des autorités de protection des données (« RIPD ») a annoncé le 8 mai qu’il allait coordonner une enquête concernant ChatGPT.
• Le 11 avril 2023, la Cyberspace Administration of China (CAC) a publié un projet de mesures administratives pour les services d’intelligence artificielle générative (« projet de mesures sur l’IA »).

Ce projet serait aligné sur l’approche générale de la Chine en matière de réglementation des données, de la cybersécurité et du contenu en ligne, qui met fortement l’accent sur le maintien de l’ordre politique et social.

La CAC a également publié ce 30 mai des lignes directrices sur l’enregistrement de contrats types pour l’exportation de données personnelles.

• Le 23 mai, le ministère pakistanais des technologies de l’information et des télécommunications a finalisé un projet de loi sur la protection des données personnelles.

Il entrera en vigueur au plus tard deux ans après la date de sa promulgation, selon ce que le gouvernement fédéral pourra déterminer.

• La justice brésilienne a ordonné le blocage de l’application Telegram, très utilisée au Brésil, estimant que celle-ci ne collaborait pas suffisamment alors qu’une investigation était en cours concernant des groupes néonazis.

Le tribunal a condamné Telegram à une astreinte d’environ 200 000 euros par jour en l’absence de fourniture de ces éléments. L’application n’a fourni que partiellement les informations.