Veille juridique
registre de traitement RGPD

DSA – DMA : deux piliers de la stratégie numérique européenne.

Veille Juridique n°46 – Avril 2022

DSA – DMA : deux piliers de la stratégie numérique européenne. Depuis la conclusion d’un accord politique dans la nuit du 22 au 23 avril, le DSA ou Digital Services Act est l’objet de nombreux commentaires dans le monde du numérique.

Cette législation sur les services numériques est en effet, avec la législation sur les marchés numériques (Digital Markets Act), au cœur du dispositif européen présenté par la Commission européenne le 15 décembre 2020.

L’objectif de cette stratégie est de créer des conditions de concurrence plus équitables et de rendre les plateformes en ligne plus responsables du contenu qu’elles publient.

Le DSA, en particulier, vise à rendre l’environnement numérique plus transparent et plus sûr, en définissant les responsabilités des fournisseurs de services numériques.

Il viendra compléter la directive européenne sur le commerce électronique et d’autres textes tels que la réglementation « platform to business » ainsi que les dispositions sectorielles réglementant par exemple la modération des discours de haine en ligne, le terrorisme, la discrimination, ou les droits d’auteur.

Le DSA s’appliquera aux plateformes telles que les moteurs de recherche, les médias sociaux ou les plateformes de e-commerce. 

Ce texte a fait l’objet de nombreux débats et de pressions, tant de la société civile qui demandait un champ d’application suffisamment large que des acteurs économiques du numérique dont les requêtes allaient en sens inverse.

S’est posée, en particulier, la question de la portée d’une réglementation des « dark patterns » et autres mécanismes visant à influencer le comportement des visiteurs (cf notre lettre n°45).

L’accord politique qui a été trouvé semble atteindre un équilibre entre le contrôle d’une économie hypercentralisée des plateformes d’une part et le respect des droits fondamentaux, de la liberté d’expression et de la non-discrimination des individus d’autre part.

On relève en particulier les éléments suivants :

  • Un mécanisme de recours devrait permettre aux personnes ayant identifié un contenu potentiellement illégal d’obtenir une réaction de l’hébergeur, selon une procédure transparente et sans transformer ces derniers en auxiliaires de police.
  • La publicité ciblée sera limitée, sans que puissent être utilisées les données sensibles des utilisateurs.
  • Les dark patterns seront également interdites – l’inclusion des cookies dans cette interdiction étant incertaine.
  • Un mécanisme de réponse aux situations de crise, introduit dans le contexte de la guerre en Ukraine, permet à la Commission de déclarer un état d’urgence numérique en concertation avec les régulateurs nationaux.

Notons que ces mesures s’appliquent aux plateformes, et laissent dont la situation inchangée en ce qui concerne les sites web de façon générale.

Ceux-ci restent néanmoins soumis aux dispositions du RGPD et de la directive européenne sur les communications électroniques.

Le DMA complète la stratégie numérique en visant plus particulièrement les «contrôleurs d’accès» sur les marchés numériques, ou « gatekeepers » qui ont une position économique forte dans l’Union européenne et qui relient une base d’utilisateurs importante à un grand nombre d’entreprises.

Un accord politique a également été trouvé sur ce texte, le 25 mars dernier, qui a permis de préciser le champ d’application du DMA : la notion recouvre les places de marché numériques, les magasins d’applications, moteurs de recherche, réseaux sociaux, services en nuage, services de publicité, assistants vocaux et navigateurs web.

Le DMA vise à garantir que ces plateformes se comportent équitablement en ligne.

Ainsi, elles devront par exemple assurer l’interopérabilité des fonctionnalités de base de leurs services de messagerie instantanée.

Par ailleurs, elles ne pourront plus :

  • Favoriser leurs propres produits ou services au détriment de ceux des autres (auto-référencement)
  • Réutiliser des données privées collectées lors d’un service aux fins d’un autre service
  • Établir des conditions inéquitables pour les utilisateurs professionnels
  • Préinstaller certaines applications logicielles
  • Exiger des développeurs d’applications qu’ils utilisent certains services (par exemple, des systèmes de paiement ou des fournisseurs d’identité) pour figurer dans les magasins d’applications

Notons toutefois les inquiétudes exprimées depuis par plus de 40 représentants du secteur de la concurrence et de la protection des données : la semaine du 21 avril, ceux-ci ont publié une lettre expliquant leurs craintes par rapport à un texte trop peu précis, qui permettrait aux entreprises concernées de combiner toutes les données en leur possession à l’aide d’un consentement unique, alors que le RGPD exige une base légale pour chaque type de traitement opéré.

Le DMA, comme le DSA, ne sont pas encore définitifs : ils doivent être approuvés en séance plénière du Parlement européen avant d’être adoptés.

Entre-temps, et compte tenu des enjeux, l’Europe ne perd pas de temps : elle prévoirait d’ouvrir un bureau à San Francisco afin de nouer le dialogue avec les géants technologiques de la Silicon Valley, ceux-là même qui feront l’objet de contrôles étroits en raison des nouvelles règles numériques.

Et aussi

France :

  • Une étude publiée mi-avril par l’école de journalisme de Sciences Po indique que 184 sites de l’administration publique française utilisent Google Analytics, malgré les implications pointées par la CNIL et ses homologues en matière de transferts vers les Etats-Unis.

Parmi ces sites figurent ceux du Conseil d’Etat, des douanes, et de la présidence.

  • La CNIL publie des ressources sur l’intelligence artificielle à l’intention de différents publics : pour les professionnels, un rappel des principes, des positions de la CNIL et un guide d’auto-évaluation ; pour le grand public, des ressources afin de mieux comprendre la problématique ; enfin pour les spécialistes, des informations et études concernant les enjeux et l’état de la technique.
  • La CNIL a modifié début avril ses procédures répressives et créé une procédure allégée pour les dossiers peu complexes: pas de réunion du collège ni de séance publique sauf à la demande de l’organisme concerné.

Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées :  rappel à l’ordre, amendes de 20 000 € maximum et injonction avec astreinte plafonnée à 100 € par jour de retard.

Ces sanctions ne sont pas rendues publiques.

  • Le 15 avril 2022, la formation restreinte de la CNIL a prononcé une amende de 1,5 million d’euros à l’encontre de la société Dedalus Biologie pour défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.

Les manquements techniques et organisationnels en matière de sécurité ont été identifiés dans le cadre d’opérations de migration du logiciel.

Europe :

La Commission européenne a lancé ce 3 mai sa proposition pour un espace européen des données de santé (EHDS).

La Proposition vise à la fois à faciliter l’accès aux citoyens à leurs données de santé sous forme électronique et à les partager avec d’autres professionnels de la santé au sein de l’UE, tout en permettant un accès à ces données à des conditions strictes aux chercheurs, innovateurs, institutions publiques ou entreprises.

Chaque État membre devra désigner une autorité de santé numérique qui participera à une infrastructure numérique transfrontière (MyHealth@EU).

Comité européen de la protection des données (EDPB)

  • Le 6 avril 2022, le Comité européen de la protection des données (EDPB) a publié une déclaration sur le projet de cadre transatlantique de protection des données personnelles.

Cette déclaration fait suite à l’accord de principe entre la Commission européenne et les États-Unis annoncé le 25 mars 2022.

L’EDPB rappelle que cette annonce ne constitue pas un cadre légal sur lequel les exportateurs de données peuvent fonder leurs transferts.

Ils doivent continuer à mettre en œuvre les actions requises pour être en conformité notamment avec l’arrêt Schrems II de la Cour de justice de l’Union européenne.

  • L’EDPB a également publié le 28 avril une position commune concernant la coopération entre autorités de protection des données en matière de contrôle du respect du RGPD.

Le document confirme la volonté des APDs de renforcer leur coopération, en identifiant les questions transfrontières d’importance stratégique, en favorisant les enquêtes communes, les échanges d’informations et en améliorant certaines règles de procédure.

Contrôleur européen de la protection des données (EDPS)

Le Contrôleur européen de la protection des données (EDPS) organise les 16 et 17 juin prochains à Bruxelles une conférence axée sur le respect du RGPD dans le monde numérique.

CPDP

Notons également la conférence académique annuelle CPDP (Computers, Privacy and Data Protection), reportée aux 23-25 mai cette année. Le programme s’articule autour du thème « The age of intelligent machines ».

Parlement Européen

Le 19 avril, la commission d’enquête Pegasus du Parlement européen a démarré ses travaux.

La commission a douze mois pour élaborer son rapport sur le spyware utilisé par plusieurs gouvernements pour espionner de nombreuses personnalités publiques, politiques ainsi que des journalistes et activistes.

Cour Justice de l’Union européenne

Deux arrêts importants de la Cour Justice de l’Union européenne ont été publiés le mois dernier :

  • la Cour a confirmé le 5 avril sa jurisprudence selon laquelle les données de communication électroniques (y compris de localisation) ne peuvent être conservées de façon générale et sans distinction pour lutter contre les crimes graves.
  • Le 28 avril, la Cour a reconnu explicitement que les associations de défense des consommateurs peuvent exercer des actions représentatives contre des atteintes à la protection des données à caractère personnel, indépendamment de la violation concrète du droit à la protection des données d’une personne concernée et en l’absence de mandat à cette fin.

L’autorité espagnole de protection des données a imposé une amende de 1500€ à une personne ayant installé une caméra de vidéosurveillance vers la voie publique et à proximité d’habitations privées, sans affiche d’information et en violation des articles 5(1)(c) et 13 du RGPD.

L’APD des Pays-Bas a sanctionné le ministère des affaires étrangères à hauteur de 565 000€ pour mesures de sécurité insuffisantes et absence d’information adéquate des personnes concernées dans le contexte des demandes de visas.

L’autorité hongroise de protection des données a sanctionné une banque à hauteur de 670 000 € pour utilisation illégale de l’intelligence artificielle. La banque effectuait des analyses automatiques des enregistrements audios de son service client.

L’autorité danoise de protection des données a imposé une amende de 1 345 000 € à la Danske Bank pour défaut de procédures de conservation et de suppression des données dans plus de 400 systèmes informatiques concernant plusieurs millions de personnes. Le dossier fait également l’objet d’une enquête de police.

En Belgique, l’APD a imposé une amende de 200.000 euros à Brussels Airport Zaventem et de 100.000 euros à l’aéroport Bruxelles Sud Charleroi pour des contrôles de température des passagers effectués dans le cadre de la lutte contre le COVID-19 sans base légale valable.

International :

Des inquiétudes s’expriment quant aux capacités d’écoute et d’enregistrement des enceintes intelligentes.

Une étude académique publiée fin avril précise l’utilisation par Amazon des données collectéespar Alexa à des fins de ciblage publicitaire, et la valorisation de ces données revendues trente fois plus cher que les autres.

Mi-avril, le Commissaire aux droits humains d’Irlande a émis les mêmes réserves auprès du ministre de la Justice concernant cette fois la réutilisation de ces données dans le cadre d’enquêtes de police.

Le 21 avril, le Secrétaire d’Etat des Etats-Unis Gina M. Raimondo a publié un communiqué sur la création du “Global CBPR forum”.

Ce forum vise à faciliter le transfert de données à caractère personnel et les activités commerciales entre les Etats-Unis, le Canada, le Japon, la République de Corée, les Philippines, Singapour et Taïwan.

Notons que les CBPRs (Cross Border Privacy Rules) existent depuis une dizaine d’années, avec des entreprises certifiées principalement aux Etats-Unis.

L’OCDE projette de developper un cadre d’accès gouvernemental aux données du secteur privé (trusted government access to private sector data).

Ce thème est une des priorités de l’organisation internationale pour 2022, au même titre que la localisation des données et les transferts internationaux de données à caractère personnel.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.