Veille Juridique n°72 – juin 2024.  

Suhtlus ja turundus sotsiaalmeedias: millised on professionaalide reeglid?

Les réseaux sociaux constituent un vivier de données permettant de cibler des prospects.

L’utilisation de ces données, qu’elles soient accessibles publiquement sur le réseau social ou via la constitution d’un réseau de contacts, reste soumise à la loi.

Elle doit respecter les principes du RGPD et de la directive européenne sur les communications électroniques (directive ePrivacy).

Les règles sont différentes, par exemple, si l’on contacte une société (« B2B ») ou une personne physique (« B2C »).

Les attentes des personnes vont en outre varier en fonction de l’existence ou non d’une relation préexistante : attention notamment à la compilation d’informations sur des personnes qui ne font pas partie de votre réseau de contacts (par exemple, collecte de noms de prospects sur des groupes de discussion).

Il importe de garder trois principes essentiels à l’esprit : la transparence, le respect des droits des personnes concernées, et la réactivité aux demandes de celles-ci.

• Informer sur les données collectées.

Il est conseillé :

• D’anticiper les effets d’une opération de communication en ligne, telle qu’un emailing, en ajoutant une mention à la fin du message expliquant notamment l’origine des données et la finalité de la communication.
• De fournir un article ou un lien fonctionnel qui mène vers une page d’information sur le responsable de traitement et sur les droits des personnes.
• De proposer une possibilité simple de contact (email dédié, formulaire de contact ou message privé sur les réseaux sociaux) pour permettre les demandes d’accès, de rectification ou d’effacement des données.
• Respecter les droits des personnes, et obtenir le cas échéant leur consentement.

Certaines techniques de prospection peuvent s’avérer plus intrusives que d’autres.

Sur LinkedIn par exemple, InMail permet (moyennant paiement) d’envoyer des messages directement dans la boîte de réception de tout utilisateur non-membre de son réseau de relations.

Certains logiciels de marketing permettent par ailleurs l’importation des contacts (y compris les profils et les photos) provenant de réseaux sociaux tels que LinkedIn, Facebook, Twitter, Viadeo, YouTube ou Klout pour traitement ultérieur.

Ces techniques de prospection doivent respecter les règles du marketing par email, telles que prévues par le RGPD et la directive ePrivacy.

On rappelle ainsi les principes suivants :

• Respect de l’opt-in, ou obtention de l’accord préalable du destinataire de la publicité́ : c’est le cas pour envoyer de la publicité́ « B2C » par email, SMS, MMS, automate d’appels ou fax.
• Respect de l’opt-out, qui permet d’envoyer des sollicitations lorsque le destinataire de la publicité́ ne s’y est pas opposé : c’est le cas pour la publicité́ «B2B» adressée par email et «B2C» adressée par voie postale ou par téléphone.
• Organiser la gestion des demandes des personnes concernées.

Il s’agit de prévoir :

• Une réponse type aux internautes qui exerceraient par exemple leur droit d’opposition et / ou demanderaient l’accès à leurs données.
• Une procédure interne afin de traiter ces demandes dans les meilleurs délais, le délai de principe prévu par RGPD étant d’un mois.

La réactivité et l’efficacité de la réponse est importante car elle contribue à la réputation en ligne du responsable de traitement.

 

La Commission nationale de l’informatique et des libertés (CNIL) a annoncé effectuer des contrôles dans le cadre des Jeux olympiques et paralympiques afin de garantir le respect de la vie privée des spectateurs.

Elle se concentrera en particulier sur les dispositifs de caméra « augmentée », les codes QR pour les zones restreintes, les services de billetterie et les données des bénévoles.

La CNIL a enregistré 167 signalements d’infractions au RGPD à l’issue du scrutin européen.

Elle rappelle aux partis politiques, dans le contexte des élections législatives anticipées, les règles à respecter et informe qu’elle procédera à des contrôles en fonction du nombre et de la nature des signalements qui seront reçus dans le cadre des élections.

Après la publication de fiches pratiques en avril dernier, la CNIL a publié le 10 juin une deuxième série de fiches et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle (IA).

 Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes, et portent notamment sur la base légale de l’intérêt légitime, la transparence, les droits des personnes, l’annotation des données et la sécurité du développement d’un système d’IA.

Les fiches sont soumises à consultation publique jusqu’au 1er septembre 2024.

Enfin, la CNIL se penche dans une étude publiée le 4 juillet sur le développement des alternatives aux techniques de traçage via les cookies tiers et sur leurs conséquences (voyez également à ce sujet, infra, les questions soulevées par la « privacy sandbox » de Google).

 

Euroopa institutsioonid ja organid

Le 1er juillet, la Commission européenne a informé Meta de ses conclusions préliminaires selon lesquelles son modèle publicitaire « pay or consent » n’est pas conforme à la loi sur les marchés numériques (DMA, art 5 paragraphe 2).

Ces conclusions confirment celles publiées par le Comité européen de la protection des données (EDPB) en avril dernier.

Selon la Commission, ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée mais équivalente des réseaux sociaux de Meta.

Ces conclusions préliminaires ne préjugent pas de l’issue de l’enquête.

Meta a maintenant la possibilité d’exercer son droit à la défense et d’y répondre par écrit.

La Commission conclura son enquête dans un délai de 12 mois à compter de l’ouverture de la procédure, le 25 mars 2024.

Si les conclusions préliminaires de la Commission devaient être finalement confirmées, la Commission pourrait imposer des amendes allant jusqu’à 10 % du chiffre d’affaires mondial total de Meta et 20 % en cas d’infraction répétée.

Dans le cadre du Règlement sur la gouvernance des données (DGA), la Commission européenne a publié la liste des premiers « intermédiaires de données » qui lui ont été notifiés par les États membres.

Les intermédiaires de données fonctionnent comme des tiers neutres qui mettent en relation des individus et des entreprises avec des utilisateurs de données.

Cinq entreprises ont été enregistrées, dont trois en France : AGDATAHUB, Hub One DataTrust, M-ITRUST. Les deux autres ont été notifiés par la Finlande et par la Hongrie (via l’AFCDP).

L’EDPB a lancé le 27 juin le projet « AI Auditing » : celui-ci entend aider les autorités chargées de la protection des données (APDs) à inspecter les systèmes d’IA en définissant une méthodologie sous la forme d’une liste de contrôle pour effectuer l’audit d’un algorithme et propose des outils qui amélioreraient leur transparence.

Le Contrôleur européen de la protection des données (EDPS) a publié le 3 juin ses orientations sur « l’intelligence artificielle générative et la protection des données personnelles » afin de fournir aux institutions, organes, bureaux et agences de l’UE des conseils pratiques et des instructions sur le traitement des données personnelles lors de l’utilisation de systèmes d’intelligence artificielle générative, et de faciliter leur conformité avec les exigences du cadre juridique de la protection des données.

Le Groupe de travail international sur la protection des données dans le domaine des technologies (IWGDPT) a adopté le 5 juin un document de travail sur la technologie de reconnaissance faciale.

Le document décrit les possibilités d’utilisation dans les secteurs privé et public et présente aussi bien les risques que les recommandations pratiques pour une application conforme à la protection des données.

Le 20 juin, la Cour de justice de l’Union européenne (CJUE) a estimé dans l’affaire C 590/22 que la crainte d’une personne concernée que ses données à caractère personnel aient été communiquées à des tiers est suffisante pour donner lieu à une indemnisation, si cette crainte, avec ses conséquences négatives, est dûment prouvée.

Il n’est pas nécessaire d’établir que ces données ont effectivement été communiquées à des tiers pour justifier cette indemnisation (via GDPR news).

La Cour a également considéré le 20 juin, dans les affaires jointes C 182/22 and C 189/22 – Scalable Capital, que le préjudice moral causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un préjudice physique.

Par ailleurs, pour qu’un événement puisse être qualifié d’usurpation d’identité, les données à caractère personnel doivent avoir été effectivement utilisées de manière abusive par un tiers.

Dans un jugement du 6 juin (Bersheda and Rybolovlev v. Monaco), la Cour européenne des droits de l’homme a considéré que les investigations menées par le juge d’instruction sur le téléphone portable d’un avocat et la récupération massive et indifférenciée de données personnelles – y compris celles qui avaient été préalablement effacées par le requérant – ont excédé la compétence de ce juge, et n’ont pas été accompagnées de garanties propres à assurer le respect du statut et du secret professionnel du requérant en tant qu’avocat.

Sous la pression de la société civile et de l’organe européen de mise en œuvre du règlement sur les services numériques (DSA), LinkedIn a supprimé le ciblage des publicités basé sur les données personnelles sensibles des utilisateurs de sa plateforme.

Ce type de ciblage était considéré comme enfreignant le DSA.

Ettevõte Meta a confirmé mi-juin qu’elle mettait en pause ses projets d’entraînement de ses systèmes d’IA en utilisant les données de ses utilisateurs dans l’UE et au Royaume-Uni.

Le projet visait les données des utilisateurs de Facebook, Instagram et Threads.

Cette décision fait suite à l’action de la Commission irlandaise de protection des données, qui agit au nom de plusieurs APDs dans l’ensemble de l’UE et notamment de l’autorité de Hambourg.

 

Uudised Euroopa liikmesriikidest.

Belgia APD a infligé le 3 juin une amende de 172 000 euros à une société qui n’avait pas donné suite à une demande d’effacement de données et a continué à envoyer des courriels de marketing direct.

Les arguments du responsable du traitement visant à rejeter la faute sur le DPO n’ont pas été pris en compte par l’APD : il incombe au responsable de traitement de répondre aux demandes d’accès et de s’assurer que le DPO dispose de ressources suffisantes.

En Grèce, l’APD a imposé des amendes de 400 000 et 40 000 euros respectivement au ministère de l’Intérieur et à un député européen pour avoir envoyé des communications politiques non sollicitées, les adresses email des personnes concernées ayant été fournies au député européen par le ministère de l’Intérieur.

Au Luxembourg, l’APD a considéré que l’utilisation de la vidéosurveillance pour justifier le licenciement d’un employé violait le principe de limitation de la finalité du RGPD si elle avait été installée à l’origine pour assurer la sécurité des employés.

Aux Pays-Bas, un tribunal a interdit à Microsoft, LinkedIn et Xandr de placer sur des sites web tiers des cookies de suivi sans le consentement de l’utilisateur et a imposé une amende de 1 000 euros par entreprise pour chaque jour de non-respect de la décision.

Le tribunal a estimé que ces plateformes restaient responsables de la collecte d’un consentement valable, même lorsqu’elles confient cette collecte à des sites web tiers qui intègrent leurs technologies de traçage.

Taanis, l’APD a réprimandé la ville de Copenhague pour n’avoir pas empêché l’accès potentiel aux données personnelles de 3,7 millions de personnes par 37 500 employés non autorisés.

L’APD lettonne a infligé une amende de 1 000 euros à une société proposant des services de photographie dans un parc d’attractions.

La société prenait les photos des visiteurs sur la base d’un consentement implicite qui ne pouvait pas être considéré comme une action positive.

En Italie, l’APD a infligé une amende de 100 000 euros à une entreprise pour le traitement illégal de numéros de téléphone à des fins de télémarketing.

L’APD a estimé qu’un responsable du traitement ne peut pas transférer sa responsabilité et ses obligations au titre du RGPD au sous-traitant au moyen d’une clause contractuelle.

L’APD suédoise a condamné Avanza Bank AB à une amende de 1 318 955,55 euros (15 millions de SEK) pour violation de l’article 5(1)(f) et de l’article 32 du RGPD, l’activation accidentelle de deux fonctions de Meta Pixel ayant entraîné le transfert non autorisé de données à caractère personnel vers Meta Pixel.

En Pologne, l’APD a infligé une amende de 54 600 euros à une entreprise après que la perte d’une clé USB contenant des données non cryptées sur les employés a entraîné une violation de données.

Le 13 juin, l’ONG NOYB a porté plainte auprès de l’APD autrichienne contre les pratiques de Google en matière de collecte de données personnelles via son «privacy sandbox ».

L’ONG rappelle que, depuis que Google a annoncé en septembre 2023 qu’il supprimerait progressivement les cookies tiers de son navigateur Chrome, les utilisateurs ont été progressivement incités à activer une prétendue « fonction de confidentialité des publicités » qui permettrait en réalité à Google de les tracer.

Le 4 juin, NOYB a également porté plainte en Autriche contre Microsoft, dont les services «365 Education » violeraient les droits des enfants en matière de protection des données.

Selon l’ONG, lorsque les élèves ont voulu exercer leurs droits en vertu du RGPD, Microsoft a déclaré que les écoles étaient « responsable » de leurs données, alors que les écoles n’ont aucun contrôle sur les systèmes de Microsoft.

L’association Eu Travel Tech a déposé une plainte fin mai auprès des autorités françaises et belges de protection des données contre Ryanair, concernant sa récente mise en œuvre d’une exigence de traitement des données biométriques des clients pour accéder à la gestion des réservations et aux fonctions d’enregistrement en ligne.

L’association considère que ce processus de vérification biométrique viole les principes de légalité, d’équité et de transparence du RGPD (via l’AFCDP).

 

L’OCDE a publié le 26 juin un rapport sur l’IA, la gouvernance des données et la protection de la vie privée.

Ce rapport fait le point sur les initiatives nationales et régionales et suggère des domaines potentiels de collaboration.

En plaidant pour une meilleure coopération internationale, le rapport vise à guider le développement de systèmes d’IA qui respectent et soutiennent la vie privée.

L’OCDE a également publié le 19 juin un document de travail intitulé « vers une sécurité numérique dès la conception pour les enfants ».

Le document se concentre sur les actions à mener par les fournisseurs de services numériques, et propose huit mesures clés, notamment des outils pratiques, des mesures visant à favoriser une culture de la sécurité et des stratégies d’atténuation des dommages.

Ces éléments sont illustrés par des études de cas, qui mettent en évidence la nécessité d’adopter des approches adaptées au contexte.

L’Agence californienne de protection de la vie privée (CPPA) et la CNIL ont signé une déclaration de coopération, le 25 juin 2024, à Paris.

La CNIL indique que les deux autorités entendent associer leurs efforts pour renforcer la protection des données personnelles des citoyens français et californiens.

Nvidia (l’un des principaux fournisseurs de semi-conducteurs pour l’informatique de l’IA), Microsoft et OpenAI feraient l’objet d’une enquête antitrust aux États-Unis.

Selon un rapport de Politico, le ministère de la Justice (DOJ) et la Federal Trade Commission (FTC) coopéreront sur cette question. Le DOJ se concentrera sur Nvidia, et la FTC examinera le partenariat entre Microsoft et OpenAI afin de déterminer s’ils bénéficient d’un avantage déloyal.

Le Japon a adopté le 12 juin une loi similaire au règlement européen sur les marchés numériques (DMA).

Le texte inclurait des « obligations pour assurer l’interopérabilité, la transparence et la portabilité des données ».

La loi entrera en vigueur fin décembre 2025.

La société américaine Dropbox a annoncé début mai avoir été victime d’une cyberattaque.

L’intrusion malveillante concerne sa plateforme de signature électronique sécurisée de documents, Dropbox Sign, anciennement HelloSign.

Les données dérobées comprennent des noms, des adresses e-mail, des mots de passe cryptés, des informations de paiement, ainsi que des informations d’authentification.

La société affirme avoir réinitialisé les mots de passe de tous les utilisateurs et déconnecté l’intégralité des sessions (via l’AFCDP).