Ryanair et la reconnaissance faciale - RGPD
La Commission irlandaise de protection des données (DPC) a ouvert une enquête sur la manière dont Ryanair traite les données personnelles de ses clients lors des processus de vérification, en particulier pour les réservations effectuées via des sites internet tiers ou des agences de voyage en ligne. Ryanair, basée en Irlande, la plus grande compagnie aérienne d'Europe avec 184 millions de passagers, justifie ces vérifications supplémentaires par le fait que les agences de voyage tierces ne transmettent pas toujours correctement les informations essentielles, comme l'adresse e-mail et les détails de paiement des passagers.
En réponse à une plainte déposée l'an dernier, Ryanair avait déjà déclaré que ses méthodes de vérification, qu'elles soient biométriques ou non, étaient pleinement conformes aux exigences du RGPD. La compagnie a également affirmé que ces mesures de protection visaient à protéger les consommateurs contre certaines agences de voyage non approuvées qui fournissent de fausses informations pour dissimuler leurs pratiques de surfacturation et d'escroquerie.
Par ailleurs, le Comité européen de la protection des données (CEPD) a, dans un avis récent (avis 11/2024), rappelé que l'utilisation de données biométriques, notamment les technologies de reconnaissance faciale, présente des risques particuliers pour les droits et libertés des personnes concernées. Le CEPD a insisté sur l'importance d'évaluer attentivement ces risques avant de recourir à de telles technologies, compte tenu de l'impact potentiel sur les droits fondamentaux des individus.
Sony et la protection du droit d’auteur
Dans une récente décision, la Cour de justice de l’Union européenne (CJUE) a clarifié les limites de la protection du droit d’auteur en ce qui concerne les logiciels. L’affaire concernait un logiciel développé par Datel, qui permettait aux utilisateurs de contourner certaines restrictions d’accès aux jeux PSP de Sony.
La CJUE a souligné que, malgré les modifications apportées par le logiciel de Datel aux données variables du jeu, ces modifications ne sont pas considérées comme « une forme d’expression » protégée par la législation sur le droit d’auteur de l’Union européenne. En effet, la Cour a établi que le simple fait de modifier des variables temporaires dans la mémoire d’un ordinateur ne confère pas aux développeurs de logiciels le droit d’interdire leur commercialisation par des tiers.
La Cour a également affirmé que « le développeur d’un programme d’ordinateur ne peut pas interdire la commercialisation par un tiers d’un logiciel qui ne fait que modifier des variables transférées temporairement dans la mémoire d’un ordinateur ». Cette position signifie que les logiciels qui interagissent avec d'autres programmes protégés par le droit d’auteur, mais qui ne reproduisent ni ne modifient leur structure interne, peuvent être légalement commercialisés.
Cette décision a des implications importantes pour l'industrie des jeux vidéo et le développement de logiciels, car elle établit un précédent en matière de droit d’auteur. Elle pourrait encourager l'innovation en permettant aux développeurs de créer des outils qui interagissent avec des logiciels protégés sans craindre de violer les droits d’auteur, tant que ces outils ne modifient pas les éléments fondamentaux du programme original.
Les intérêts légitimes : peuvent-ils être commerciaux ? - RGPD
L’arrêt du 4 octobre 2024 de la CJUE
Le concept d'intérêts légitimes comme base légale pour le traitement des données à caractère personnel soulève des débats, notamment aux Pays-Bas. Selon l'autorité néerlandaise de protection des données, les intérêts purement commerciaux ne peuvent pas être invoqués comme légitimes à moins d'avoir une base légale précise. Toutefois, dans un arrêt du 4 octobre 2024, la Cour de justice de l’Union européenne (CJUE) a élargi la définition des « intérêts légitimes » sous le RGPD, précisant qu'ils ne doivent pas forcément être fixés par la loi, et qu’un éventail plus large d’intérêts peut être considéré comme légitime.
Les lignes directrice du 8 octobre 2024 du CEPD
De son côté, le 8 octobre 2024, le Comité européen de la protection des données (CEPD) a publié un projet de lignes directrices sur le traitement des données à caractère personnel fondé sur des intérêts légitimes (article 6, paragraphe 1, point f) du RGPD). Ces lignes directrices précisent que pour qu'un intérêt soit légitime, il doit être licite, bien défini et actuel, et non spéculatif. Le CEPD insiste également sur la nécessité d’un test rigoureux de mise en balance entre les intérêts du responsable du traitement et les droits des personnes concernées. Ce test doit être transparent et basé sur les faits. En outre, les droits des personnes prennent souvent le dessus sur les intérêts du responsable du traitement. Si le test montre que les intérêts du responsable sont en conflit avec ceux des individus, des garanties supplémentaires peuvent être mises en place pour minimiser l'impact sur les personnes concernées et réévaluer la situation.
Data Protection Framework – données personnelles
La Commission européenne a récemment effectué son premier examen du cadre de protection des données entre l’UE et les États-Unis, connu sous le nom de Data Protection Framework (DPF), un an après son adoption en juillet 2023. Ce cadre est essentiel pour réguler le transfert de données personnelles vers des entités situées aux États-Unis. Dans son rapport, la Commission conclut que les autorités américaines ont mis en place les structures nécessaires pour garantir le bon fonctionnement du DPF. Celui-ci vise à assurer la protection des données personnelles tout en respectant les impératifs de sécurité nationale.
Le rapport met en avant plusieurs éléments clés, notamment les garanties instaurées pour restreindre l'accès des services de renseignement américains aux données personnelles, s’assurant que cet accès demeure proportionné et justifié par des préoccupations de sécurité nationale. Un autre point important est la création d'un mécanisme de recours indépendant, qui permet aux individus de signaler des violations de leurs droits en matière de protection des données et de demander réparation.
De plus, le rapport émet des recommandations visant à encourager les autorités américaines et européennes à élaborer des lignes directrices communes pour clarifier les principales exigences du RGPD. Il suggère également de maintenir une surveillance continue, avec des rapports réguliers sur l’efficacité du cadre.
Cet examen repose sur les contributions de divers acteurs, y compris des organismes, des associations professionnelles et les autorités de protection des données des deux côtés de l'Atlantique. La consultation du public a également été réalisée via la plateforme « Have your Say », favorisant ainsi une participation ouverte.
Le Data Act
La loi sur les données de l'UE a été publiée au Journal officiel de l'UE le 22 décembre 2023 et entrera en vigueur le 12 septembre 2025. Il s'agit d'un élément central de la stratégie européenne en matière de données, qui vise à promouvoir l'accès aux données et leur utilisation dans l'Union européenne. L'objectif est de créer un écosystème de données qui soutienne l'innovation, la compétitivité et la création de valeur ajoutée pour les entreprises et les citoyens.
La loi européenne sur les données, proposée par la Commission européenne en février 2022, vise à faciliter l’accès aux données et à améliorer leur utilisation. Elle s’ajoute aux règlements existants comme le RGPD et ePrivacy, en mettant l’accent sur le partage et la portabilité des données. L’objectif est de permettre aux entreprises, aux institutions publiques et aux citoyens d’accéder plus facilement aux données afin de favoriser l’innovation et la croissance basée sur les données.
La loi impose aux entreprises qui collectent ou traitent des données de les rendre accessibles à d’autres entreprises et organismes publics, notamment dans les secteurs utilisant des technologies telles que l’Internet of Things (IoT). Elle permet aussi aux utilisateurs de transférer leurs données entre différents fournisseurs, ce qui renforce la concurrence et leur donne plus de contrôle sur leurs informations.
Pour les entreprises, cela implique de revoir leurs pratiques de traitement des données, de mettre à jour leurs systèmes pour s’assurer qu’ils répondent aux exigences de la loi, et d’explorer de nouveaux modèles commerciaux basés sur l’échange de données. En même temps, cette législation leur permettra de mieux réagir aux changements du marché en prenant des décisions basées sur des données fiables, renforçant ainsi leur compétitivité. Cependant, le non-respect de ces nouvelles règles pourra entraîner des sanctions, des amendes, voire des restrictions sur l’utilisation des données.
Comentarios