Le règlement EIDAS 2.0 est entré en vigueur le 20 mai 2024
Diapositive précédente Diapositive suivante PArtagez cet article
Amende de 3 millions d’euros : le Conseil d’Etat confirme la sanction de la CNIL
Diapositive précédente Diapositive suivante PArtagez cet article
Bannières cookies : des clarifications nécessaires par le CEPD
Sans surprise, les bannières cookies des sites internet donnent lieu depuis la directive ePrivacy à de nombreuses plaintes. Près d’une vingtaine d’autorités de protection des données européennes, dont la CNIL, ont ainsi été saisies de plusieurs centaines de plaintes à ce sujet par l’association NOYB (organisation autrichienne relative à la protection de la vie privée). Le Comité Européen de la Protection des Données (CEPD) a donc pris le sujet à bras-le-corps en constituant une « Task force » dédiée, pour apporter des réponses harmonisées au niveau européen. Le rapport de cette Task force précisant les bonnes pratiques en la matière a été adopté par le CEPD le 17 janvier 2023. Si ce rapport n’apporte aucune solution nouvelle, il a le mérite de clarifier certains points : • Consentement aux cookies : le CEPD rappelle qu’il est obligatoire de disposer de boutons de refus et d’acceptation des cookies. Ces boutons doivent être placés au même niveau et être aussi facilement accessibles et visibles l’un que l’autre (en termes de contrastes et de couleurs notamment). Le consentement doit être donné par une action positive, une case pré-cochée n’est donc pas valide. Le CEPD estime utile de rappeler que le consentement doit pouvoir être retiré à tout moment et facilement (icône par exemple). • Design des bannières : le support visuel doit être clair, simple et lisible pour l’utilisateur. La bannière ne doit pas donner l’impression que refuser les cookies pourrait empêcher l’utilisateur d’accéder au site. Il est important que l’utilisateur comprenne qu’il peut refuser les cookies s’il le souhaite (à l’exception des cookies techniques nécessaires au fonctionnement du site comme la taille de l’écran d’ordinateur pour afficher correctement le site internet sur l’écran). Pour que le consentement de l’utilisateur soit valide, la bannière doit fournir des informations claires (types de cookies, finalité et responsable de traitement). Les sanctions prévues en cas de non-respect de la directive ePrivacy sont identiques à celles prévues par le RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Ainsi, même si le rapport du CEPD n’est pas juridiquement contraignant, il est fortement recommandé aux éditeurs de sites internet et d’applications mobiles de faire évoluer leurs pratiques en matière de bannières cookies pour en tenir compte. Ces éclaircissements vont en effet être utilisés par les autorités compétentes (la CNIL en France) pour finaliser l’instruction des plaintes dont elles ont été saisies à ce sujet et, sans nul doute, serviront également à unifier dans l’Union Européenne autant que possible le traitement des plaintes futures. PArtagez cet article
Données personnelles
Meta a été condamnée à 5,5 millions d’euros d’amende par l’autorité de contrôle des données personnelles irlandaise concernant sa messagerie WhatsApp le 19 janvier 2023, pour défaut de transparence. WhatsApp a procédé en 2018 à une mise à jour de ses conditions générales d’utilisation, en exigeant des utilisateurs existants et nouveaux qu’ils cliquent sur la case « Accepter et continuer » pour pouvoir faire usage du service. Ce contrat conclu avec les utilisateurs intégrait des clauses sur les modalités de collecte et de traitement de leurs données personnelles, notamment pour la fourniture des services et de dispositifs d’amélioration et de sécurité. Du point de vue de WhatsApp, traiter des données personnelles dans ce but était nécessaire à l’exécution du contrat et constituait donc la base légale du traitement. L’autorité de contrôle irlandaise, saisie par un plaignant allemand sur cette question, n’est pas de cet avis : Elle considère dans un premier temps que la base légale invoquée par WhatsApp n’est pas clairement expliquée aux utilisateurs, ce qui contrevient au principe de transparence prévu dans le RGPD. De plus, selon la décision rendue, WhatsApp n’était pas en droit d’invoquer l’exécution du contrat comme base légale du traitement de données personnelles à des fins d’amélioration et de sécurité du service. Inclure ces clauses dans les conditions générales d’utilisation s’apparente à un « consentement forcé » car sans acceptation des CGU, les utilisateurs n’ont pas accès aux services de WhatsApp. WhatsApp aurait donc dû demander le consentement exprès, libre et éclairé des utilisateurs. Cette condamnation est déjà la deuxième en ce début d’année 2023, Meta ayant déjà été condamnée à une amende bien plus conséquente de 390 millions d’euros pour manquement au RPPD concernant les règles de la publicité ciblée. PArtagez cet article
Intervention au sein du M2 VMI de Paris Descartes
Chloé Aldebert est intervenue en janvier 2023 auprès des étudiants du Master 2 Vision Machine Intelligente de Paris Descartes dans le cadre de 12 heure de cours. La formation avait pour objectif de sensibiliser les étudiants aux notions et problématiques en matière de données personnelles, propriété intellectuelle et contrats informatiques. PArtagez cet article