Veille Juridique N°20 – 10 février 2020

C’est ce que l’on retient des premières semaines de cette nouvelle année, avec de nombreux débats à l’occasion d’événements marquants :

• La journée internationale de la protection des données ce 28 janvier,
• La conférence internationale de la protection des données organisée la semaine précédente à Bruxelles par le secteur académique, et
• Le forum international de la cybersécurité à Lille dans les derniers jours de janvier.

Février ne sera pas en reste, avec à Paris la conférence « data protection intensive » organisée par l’association internationale des DPOs (IAPP).

Parmi les nombreux sujets abordés, on en retiendra deux : l’intensification des débats autour de la reconnaissance faciale, et la situation spécifique des TPE et PME au regard du RGPD.

La reconnaissance faciale en question

Ce qui a mis le feu aux poudres fin janvier, c’est l’hypothèse, émise dans un livre blanc de la Commission européenne, d’un moratoire sur la reconnaissance faciale dans les lieux publics.

Ce document, au stade de projet, n’était pas destiné à être diffusé, et la Commission a annoncé entre-temps renoncer à la possibilité d’un moratoire et privilégier d’autres pistes de régulation.

Elle présentera son document sur l’intelligence artificielle le 19 février prochain.

L’idée de réglementer de façon plus stricte, voire d’interdire la reconnaissance automatique des personnes dans certains lieux, fait son chemin aussi bien chez les régulateurs que dans les secteurs privé et public et au-delà même de l’Europe.

Le Contrôleur européen de la protection des données (EDPS) et le Commissaire à la protection des données du Conseil de l’Europe notamment se sont exprimés sur ce sujet.

Le Comité européen de la protection des données (EDPB) aborde également le sujet dans ses dernières lignes directrices adoptées fin janvier.

De plus en plus de villes, comme San Francisco et Cambridge, ont banni cette technologie de leur espace public.

Les possibilités d’utilisation des données créent une incertitude telle que les géants des nouvelles technologies tels que Microsoft appelle aussi à plus de clarté.

Parmi les arguments invoqués, on relève en particulier les risques de discrimination en fonction de l’origine ethnique et autres biais donnant lieu à de trop nombreux « faux positifs ».

La perspective d’un espace public sous surveillance totale pose aussi question au regard des possibilités actuelles de collecte de données : on pense à la base de données de Clearview, la société qui stocke les visages accessibles sur l’ensemble des réseaux sociaux pour les revendre aux forces de l’ordre aux Etats-Unis, et qui a fait les titres de la presse en ce début d’année.

La dimension internationale de la problématique mérite également d’être soulignée.

En témoigne la récente question parlementaire au niveau européen concernant le projet de « Safe city » développé en Serbie, sur base de la technologie chinoise de reconnaissance faciale. 

La situation des TPE et PME

Les débats qui ont eu lieu lors des différents événements de janvier ont mis en lumière les principaux défis que rencontrent les (très) petites et moyennes entreprises.

Si elles représentent la plus grande part de l’économie européenne, elles sont les plus démunies lorsque l’on aborde les questions de sécurité de leur plateforme informatique, de l’utilisation du cloud, de la sous-traitance et de l’utilisation d’outils d’auto-évaluation (audits).

Face à ces questions, plusieurs initiatives ont vu le jour. 

ENISA (l’agence européenne pour la cybersécurité) a lancé ce 28 janvier une plateforme en ligne pour aider les entreprises, et en particulier les PME, à sécuriser leurs données.

On recense également deux initiatives destinées à aider les développeurs de sites web : le guide de la CNIL, et celui de l’organisation EDRI visent à accompagner le développement de sites dans le respect du RGPD.

Si le choix d’un cloud sécurisé (et idéalement européen) reste complexe, notons les efforts des régulateurs européens en ce sens. Microsoft par exemple vient de modifier les conditions contractuelles d’Office 365 sous la pression de l’EDPS et des Pays-Bas, afin de les mettre en conformité avec le RGPD.

Et aussi :

En France :

Comme annoncé, la CNIL a publié le 14 janvier 2020 un projet de recommandation concernant l’utilisation des cookies et autres traceurs.

Elle vise à clarifier les conditions d’obtention du consentement, et inclut des exemples concrets de notice aux internautes. Le texte est ouvert à la consultation jusqu’au 25 février.

En Europe :

La sortie du Royaume-Uni de l’Union européenne aura des conséquences sur les transferts de données.

Il n’y aura néanmoins pas de changement durant l’année 2020, année de transition pendant laquelle la Commission européenne évaluera le niveau de protection offert par le Royaume-Uni afin d’adopter une éventuelle décision d’adéquation. 

Les communiqués de l’ICO (autorité de supervision britannique) et de la CNIL précisent ces éléments.

International :

• Etats-Unis : Après l’entrée en vigueur début 2020 du California Consumer Privacy Act, c’est au tour de l’Etat de Washington de préparer un projet de loi sur la vie privée.

• Indonésie : une loi sur la protection des données a été déposée au parlement le 28 janvier dernier. Sa dernière version datée du 6 décembre 2019, fortement inspirée du RGPD, s’applique aux secteurs public et privé.

Pour mémoire, la liste des pays dont les lois sont considérées comme adéquates par l’Union européenne, facilitant ainsi les transferts de données vers ces pays, est disponible ici.

• Andorra,
• Argentina,
• Canada (commercial organisations),
• Faroe Islands,
• Guernsey,
• Israel,
• Isle of Man,
• Japan,
• Jersey,
• New Zealand,
• Switzerland,
• Uruguay and the
• United States of America (limited to the Privacy Shield framework)

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.