Veille Juridique n°62 – Août 2023.

DMA, DSA : les nouvelles obligations des géants de la tech.

En ce début septembre, la protection des droits des utilisateurs en ligne s’étoffe, avec l’application du Digital Services Act aux grandes plateformes et la publication de la liste des entreprises soumises au Digital Markets Act.

• Depuis le 25 août, le règlement européen sur les services numériques (DSA) s’applique aux très grandes plateformes en ligne (VLOP) et très grands moteurs de recherche en ligne (VLOSE).

Le règlement s’appliquera également à partir du 17 février 2024 à tous les intermédiaires qui offrent leurs services à des utilisateurs basés dans l’UE, y compris les plateformes en ligne telles que les magasins d’applications, les plateformes d’économie collaborative et les plateformes de médias sociaux, avec des obligations plus restreintes.

Des exceptions additionnelles sont prévues pour les PMEs et les TPEs.

Dix-neuf entreprises entrent dans la catégorie des VLOPs et des VLOSEs, selon la décision de la Commission européenne du 25 avril, dont Tiktok, Facebook, X, Snapchat, Youtube et Google Search, des magasins en ligne influents comme Amazon et Zalando et les deux grands moteurs de recherche en ligne Bing et Google Search

Ces entreprises devront se conformer à un ensemble d’obligations en matière de transparence, de protection des mineurs, de modération des contenus, et de respect de la vie privée.

Elles devront en particulier identifier et évaluer les risques systémiques découlant de leurs services, y compris les systèmes algorithmiques, tels que :

• La diffusion de contenus illégaux
• Les effets négatifs sur l’exercice des droits fondamentaux
• Les effets négatifs sur le discours civique et les processus électoraux ;
• Les effets négatifs sur la violence fondée sur le genre, la protection de la santé publique et les mineurs ;
• Les conséquences négatives graves pour le bien-être physique et mental de la personne.

Plusieurs obligations du DSA recoupent celles du RGPD. Celles-ci sont recensées dans un article récent du « Future of Privacy Forum ».

On relève par exemple des obligations similaires ou complémentaires en matière de « dark patterns », de publicité ciblée basée sur des données sensibles ou concernant des mineurs, de transparence, de profilage, d’analyse de risques et de suppression de contenus illégaux.

Les procédures de contrôle sont complexes et risquent d’interférer avec celles du RGPD : contrairement à ces dernières, qui assurent une régulation principalement au niveau national avec une coordination du Comité européen de protection des données pour les cas transfrontaliers, le DSA centralise les contrôles au niveau de l’UE en ce qui concerne les VLOPs et les VLOSEs, tout en donnant aux États membres une responsabilité pour les autres prestataires de services intermédiaires.

Souhaitons qu’une coordination soit mise en place entre ces différentes instances, afin d’orienter tant les entreprises visées que les particuliers souhaitant intenter un recours.

• Si le Digital Markets Act est en vigueur depuis le mois de mai, c’est le 6 septembre que la Commission a publié la liste des six géants de la tech, les « gatekeepers » qui devront respecter ses principes. Il s’agit d’Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft.

La Commission indique qu’un total de 22 services de plateforme de base exploités par ces six gardiens sont concernés.

L’objectif premier est d’empêcher ces entreprises de profiter d’avantages liés à leur position dominante.

Ainsi, le texte interdit l’auto-référencement ou l’obligation faite aux utilisateurs professionnels d’utiliser uniquement les services ou produits de l’entreprise en question.

Les « gatekeepers » ne peuvent pas non plus interdire aux utilisateurs professionnels d’offrir et de promouvoir des services concurrents et ils ont l’obligation de partager avec eux les informations générées par l’utilisation de leur plateforme.

Des obligations d’interopérabilité spécifiques sont aussi prévues pour les messageries en ligne, et des options de choix pour les systèmes d’exploitation, les navigateurs, les moteurs de recherche et les assistants virtuels.

En outre, il est interdit aux « gatekeepers » de suivre et de profiler les utilisateurs à des fins de ciblage publicitaire, sauf s’ils obtiennent leur consentement, et de les empêcher de désinstaller leurs applications préchargées.

Certaines de ces obligations viennent donc renforcer celles prévues par le DSA en termes de protection des utilisateurs, en particulier en matière de profilage.

Plusieurs entreprises telles que TikTok, Meta et Google ont ainsi déjà modifié leurs conditions d’utilisation.

Les amendes prévues par le DSA et le DMA peuvent atteindre respectivement 6% et 10% du chiffre d’affaires des entreprises concernées.

En cas de violations répétées du DMA, la sanction peut grimper à 20% du chiffre d’affaires…

Des montants qui dépassent les 4% prévus par le RGPD, déjà présentés comme dissuasifs par le législateur au moment de l’adoption du règlement.

 

En ook

• La CNIL prépare un projet de recommandation sur les systèmes à risque majeur en cas de violation de sécurité, et lance une consultation publique.

Elle entend regrouper l’ensemble des pratiques avancées de sécurité au sein d’un unique document, qui cible tout particulièrement les traitements dits « critiques », définis par les deux critères cumulatifs suivants :

• Le traitement est à grande échelle au sens du RGPD ;
• Une violation de données personnelles pourrait avoir des conséquences très importantes soit pour les personnes concernées, soit pour la sûreté de l’État ou pour la société dans son ensemble.

Il est possible de participer à la consultation jusqu’au 8 octobre 2023.

• La CNIL a publié le 8 août une note d’information sur les balises connectées, afin d’aider toute personne victime d’une utilisation détournée ou illégale à se protéger.

Ces balises, qui permettent de localiser et de retrouver les objets auxquels elles sont attachées (par exemple, des clés ou encore un portefeuille), sont parfois utilisées pour localiser des personnes à leur insu.

• Pôle emploi a annoncé le 23 août que les données personnelles d’environ dix millions de personnes inscrites dans ses fichiers ont été dérobées après un « acte de cyber-malveillance ».

Ces données étaient sous-traitées à la société Majorel, responsable de la numérisation des documents envoyés par les demandeurs d’emploi.

Les nom et prénom, le statut actuel ou ancien de demandeur d’emploi ainsi que le numéro de sécurité sociale pourraient être concernés.

En revanche les « adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires » n’auraient pas été compromis.

 

Institutions et organismes européens

• Le 11 octobre, l’Agence européenne pour la cybersécurité (ENISA) organise en collaboration avec la Commission européenne le Trust Services and eID Forum, afin de suivre l’évolution de l’environnement juridique, le portefeuille numérique européen et la protection des activités en ligne des citoyens dans l’ensemble de l’UE.

L’ENISA publie également des lignes directrices pour smartphones : « SMASHING – Smartphone Secure development Guidelines ».

L’outil fournit une cartographie des mesures pour les développeurs d’applications pour smartphones visant à garantir le développement d’applications mobiles sécurisées.

• L’Institut Européen des Normes de télécommunication (ETSI) a publié un rapport sur la « Sécurisation de l’intelligence artificielle (SAI) ; Manipulation automatisée des représentations d’identité multimédia ».

Le document couvre les techniques basées sur l’IA pour manipuler automatiquement les données d’identité existantes ou créer de fausses données d’identité représentées dans différents formats de médias, tels que l’audio, la vidéo et le texte (deepfakes).

Il décrit les différentes approches techniques et analyse les menaces que représentent les deepfakes dans différents scénarios d’attaque.

Il propose ensuite des mesures techniques et organisationnelles pour atténuer ces menaces et examine leur efficacité et leurs limites.

• Dans le contexte de son programme de contrôles 2023, l’EDPB se concentre sur le rôle des DPOs.

Un article publié par l’IAPP le 31 juillet recense les décisions de référence des autorités de protection des données européennes concernant la désignation et les compétences des DPOs.

• La société Fitbit, propriété de Google, fait l’objet de plaintes relatives à la protection de la vie privée dans l’Union européenne, alléguant que l’entreprise exporte illégalement des données d’utilisateurs en violation des règles de protection des données de l’UE.

Les plaintes visent l’affirmation de Fitbit selon laquelle les utilisateurs ont consenti aux transferts internationaux de leurs informations – vers les États-Unis et ailleurs -, alors que selon l’ONG NOYB l’entreprise force les utilisateurs à donner leur consentement.

 

Actualité des pays membres d’Europe.

• Aux Pays-Bas, un premier rapport de l’APD daté du 1er septembre appelle à des mesures supplémentaires pour contrôler les risques liés aux algorithmes et à l’IA en prévision de la législation européenne à venir.

Pour mieux les maîtriser, les pouvoirs publics et les entreprises doivent faire face à deux défis.

Tout d’abord, les risques liés à l’intégration rapide des innovations de l’IA dans la société, comme les chatbots intelligents.

Deuxièmement, la nécessité pour toutes les institutions publiques et privées importantes aux Pays-Bas de comprendre leur utilisation d’algorithmes à haut risque – ceux qui ont un impact substantiel sur la vie des individus. Le rapport liste les actions à mettre en œuvre.

• L’APD espagnole a infligé une amende de 20 000 euros à une société de médias pour avoir publié une photo tirée du profil Instagram privé de la personne concernée et l’avoir postée sur un blog avec son nom et son âge, en violation de l’article 6(1) du RGPD.

Elle a également imposé une amende de 120 000 € (réduite à 72 000 €) à Fourth Party Logistics SL pour sous-traitance illégale en raison de l’absence de formalisation des contrats et de l’absence d’autorisations préalables à la formalisation.

• En Croatie, une photo identifiant un officier de police a été postée en commentaire d’une vidéo d’une opération de police diffusée dans un groupe public sur Facebook.

L’APD a constaté une violation de l’article 5(1(b) et de l’article 6(1) du RGPD et a ordonné le retrait de la photo.

• Dans un contexte semblable, l’APD chypriote a infligé une amende de 7 000 euros à un journal local pour violation de l’article 5(1)(c) et l’article 6 du RGPD : le journal avait publié les noms et les photos d’officiers de police en service.
• Dans le cadre d’une enquête conjointe, les autorités de protection des données des pays baltes ont contrôlé et sanctionné une société de location de voitures.

Dans le calcul de l’amende, l’APD lettone a souligné comme facteur aggravant le manque total de coopération de la part du responsable du traitement.

Elle a d’abord estimé qu’une amende de 15 000 euros était appropriée. Toutefois, compte tenu des difficultés économiques rencontrées par le responsable du traitement et du risque élevé d’insolvabilité, elle a finalement réduit l’amende à 1 000 euros.

• La nouvelle loi fédérale suisse sur la protection des données est entrée en vigueur le 1er septembre.

Parmi les nouvelles dispositions inspirées du RGPD, on relève l’analyse d’impact pour le traitement de données sensibles, le registres des activités de traitement, le conseiller à la protection des données (DPO) et le signalement des violations de données. Le concept de « Privacy by Design » est désormais explicitement mentionné.

 

• Le 24 août, douze régulateurs internationaux de la protection des données et de la vie privée des Amériques, d’Europe, d’Afrique et de l’APAC ont annoncé qu’ils attendaient des plateformes de médias sociaux et d’autres sites qu’ils se protègent contre la récupération illégale de données (« web scraping »).

Cette annonce réitère les conseils précédemment fournis par des régulateurs tels que le Bureau de la Commission australienne de l’information, la CNIL ou encore le Bureau du Commissaire à l’information du Royaume-Uni à la suite d’enquêtes sur les pratiques de traitement des informations personnelles de Clearview AI, Inc. et sur les obligations de notification des violations de données.

• Aux Etats-Unis, la Cybersecurity and Infrastructure Security Agency (« CISA »), la National Security Agency (« NSA ») et le National Institute of Standards and Technology (« NIST ») ont publié le 21 août une fiche d’information commune sur la préparation à l’informatique quantique afin d’alerter les organisations – en particulier celles qui soutiennent les secteurs d’infrastructures

critiques – sur les menaces de l’informatique quantique et d’inciter ces organisations à commencer à planifier la migration future vers des normes cryptographiques post-quantiques (« PQC »).

• Le gouvernement américain lance le Cyber Trust Mark, son programme de labellisation de la sécurité de l’Internet des Objets.
• Aux Etats-Unis également, une violation de données affecte la société Tesla : 75 000 personnes sont concernées.

Deux anciens employés de Tesla ont communiqué au journal Handelsblatt des informations personnelles et données de contact concernant d’autres employés.

L’entreprise a notifié la violation de sécurité à l’Avocat Général du Maine et offert aux personnes concernées des services de protection contre le vol d’identité.

En avril 2023, des employés avaient visionné et partagé des vidéos privées enregistrées par les Teslas de clients, réalisées à partir des systèmes de sécurité Sentry Mode des véhicules.

Tesla n’est pas la seule société suscitant des questions de protection de la vie privée.

Une étude publiée le 5 septembre par la fondation de Mozilla qualifie les voitures de 25 constructeurs automobiles de « cauchemars sur roues en matière de confidentialité des données ».

La fondation a évalué les politiques et pratiques de 25 constructeurs automobiles et avertit que ceux-ci peuvent collecter et exploiter commercialement bien plus que l’historique de localisation, les habitudes de conduite, l’historique des navigateurs embarqués et les préférences musicales des utilisateurs.

Certains fabricants peuvent traiter des données profondément personnelles, telles que – selon la politique de confidentialité – l’activité sexuelle, le statut d’immigrant, la race, les expressions faciales, le poids, la santé et même des informations génétiques.

En outre plus de la moitié des fabricants vendent les données à des tiers.

• De nouvelles lignes directrices ont été publiées en Chine le 25 août 2023, concernant l’étiquetage des contenus générés par l’IA : Le Comité technique national chinois de normalisation de la sécurité de l’information (« TC260 ») a publié la version finale des « Directives pratiques pour les normes de cybersécurité – Méthode de marquage du contenu dans les services d’intelligence artificielle générative »
• Le Canada publie également un code de pratique pour l’IA générative et encourage les contributions sur son document.
• En Inde, le Digital Personal Data Protection Act 2023 a été publié au journal officiel le 12 août.

Si cette loi est accueillie favorablement car elle apporte une protection aux données de 760 millions d’internautes, elle suscite également des critiques quant au niveau de protection offert, au regard notamment de l’arrêt historique Puttaswamy, qui a consacré le droit à la vie privée en Inde il y a cinq ans déjà.

• Le 31 août, Apple a rendu public l’abandon du développement de sa fonction de balayage iCloud pour identifier les contenus pédopornographiques (CSAM).

La société se concentre dorénavant sur un ensemble d’outils et de ressources sur l’appareil des utilisateurs, connus sous le nom de « Communication Safety features ».

Après avoir collaboré avec un ensemble de chercheurs en matière de sécurité et de protection de la vie privée, des groupes de défense des droits numériques et des défenseurs de la sécurité des enfants, l’entreprise a conclu qu’elle ne pouvait pas poursuivre le développement d’un mécanisme de balayage du cloud, même s’il était conçu spécifiquement pour préserver la vie privée. 

« L’analyse des données iCloud privées de chaque utilisateur créerait de nouveaux vecteurs de menace que les voleurs de données pourraient trouver et exploiter. Cela créerait également un risque de conséquences involontaires. La recherche d’un type de contenu, par exemple, ouvre la voie à une surveillance de masse et pourrait susciter le désir de rechercher d’autres systèmes de messagerie cryptée pour tous les types de contenu. »

Cette position publique est importante dans le contexte actuel, alors que le Royaume-Uni, l’UE et les Etats-Unis préparent des législations visant à imposer un screening généralisé aux acteurs du web dans le contexte de la lutte contre la cybercriminalité en général et de la protection des enfants en ligne plus particulièrement.