L’avis 08/2024 du CEPD du 7 avril 2024 sur le consentement valable dans le cadre des modèles de « Consent or Pay » mis en œuvre par les grandes plateformes en ligne
L'avis en question traite principalement de l'utilisation répandue du modèle « Pay or Consent », par lequel les grandes plateformes en ligne, attirant un nombre important d'utilisateurs, proposent deux options : soit accepter que leurs données personnelles soient utilisées à des fins publicitaires, soit payer une somme pour éviter leur utilisation. Le Comité Européen de la Protection des Données (CEPD), dans le cadre de l'article 64, paragraphe 2 du RGPD, estime que dans de nombreux cas, ce modèle ne permet pas de respecter les critères du consentement valide. Selon le CEPD, forcer les utilisateurs à choisir entre donner leur consentement au traitement de leurs données ou payer une redevance pose un problème, dans la mesure où la protection des données ne devrait jamais être réduite à une transaction financière.
Le CEPD reconnaît toutefois que les entreprises peuvent fixer librement leurs tarifs et structurer leurs modèles de revenus. Cependant, cette flexibilité doit être pondérée par le droit fondamental des individus à la protection de leurs données personnelles. Les autorités de protection des données, chargées d’assurer la conformité avec le RGPD, doivent veiller à ce que les exigences de consentement soient respectées. Elles ont aussi le pouvoir d'évaluer dans quelle mesure la présence d'une redevance pourrait limiter la liberté de choix des utilisateurs. Bien que les entreprises puissent déterminer le montant des frais, les autorités de contrôle peuvent imposer des mesures correctives.
Guide de protection des données de la CEPD
Ce guide destiné aux petites entreprises est désormais disponible en 18 langues dont le français, l’anglais et l’allemand ! Le document aide les propriétaires de petites entreprises dans leurs efforts tendant à se conformer aux règles en matière de protection des données. Il vise à sensibiliser le public au RGPD et à fournir aux PME des informations pratiques sur la conformité au RGPD dans un format accessible et facilement compréhensible.
Décision de la CJUE dans les affaires jointes C-17/22 et C-18/22 datée du 12 septembre 2024
Cette décision met en lumière des restrictions plus strictes en ce qui concerne le partage des données personnelles, notamment celles impliquant les coordonnées. La Cour a examiné les conditions dans lesquelles le traitement des données peut être considéré comme légal, même sans consentement explicite.
La Cour a abordé plusieurs points clés :
Le Traitement nécessaire à l'exécution d'un contrat : Pour être justifié, le traitement doit être « objectivement indispensable » à la réalisation du contrat. Un traitement simplement pratique ou avantageux ne suffit pas. La Cour a estimé que la transmission des coordonnées de partenaires commerciaux ne répondait pas à cette exigence, en particulier si le contrat interdit cette divulgation.
Les Intérêts légitimes du responsable du traitement ou d'un tiers : Même si l’on peut reconnaître un intérêt légitime pour le responsable du traitement ou un tiers, la Cour a jugé que les droits fondamentaux des personnes concernées l’emportaient sur ces intérêts.
Le Respect d'une obligation légale : La Cour a rappelé que toute obligation de traiter des données personnelles doit être établie par une loi nationale claire, précise et prévisible.
Cette décision souligne que le consentement des individus demeure central pour justifier le traitement des données dans le cadre du RGPD. Bien qu’il existe des motifs alternatifs tels que l’intérêt légitime, en l’absence de consentement, ces motifs doivent être appliqués de manière très stricte et restrictive. Ainsi, lorsque le consentement n’est pas obtenu, les entreprises doivent interpréter les autres bases légales avec prudence.
Guidelines 01/2023 sur l’article 37 de la directive relative à l’application des lois adopté le 19 juin 2024
Ces directives établissent les normes légales à respecter par les autorités compétentes lors du transfert de données personnelles vers des pays extérieurs à l'UE ou des organisations internationales. Elles décrivent en détail les étapes nécessaires pour évaluer si les garanties dans ces pays tiers sont adéquates. Cela inclut une analyse approfondie des risques associés, prenant en compte les spécificités de chaque situation et les impacts potentiels sur les droits et libertés des personnes concernées.
L’accent est mis sur l’importance de mettre en place des garanties juridiquement contraignantes pour protéger les données personnelles. Ces garanties doivent assurer un niveau de protection similaire à celui en vigueur au sein de l’Union européenne pour les transferts vers des pays tiers ou des organisations internationales.
Les responsables de traitement ont l’obligation de maintenir une transparence et une responsabilité accrues, notamment en informant et collaborant avec les autorités de protection des données sur les transferts effectués. Ils doivent également procéder à des révisions régulières des mesures de protection mises en place, tout en veillant à ce que les transferts soient sécurisés et conformes aux exigences légales. De plus, ils ont la responsabilité d'assurer des mesures de protection appropriées tout au long du processus.
Enquête sur l’Intelligence Artificiel de Google dès le 12 septembre 2024
La Commission irlandaise de protection des données (DPC) a lancé une enquête sur le modèle d'IA Pathways Language Model 2 (PaLM 2) de Google, utilisé pour le traitement du langage naturel. L’objectif est de vérifier si Google a mené une analyse d'impact relative à la protection des données (AIPD), comme l'exige le Règlement général sur la protection des données (RGPD) de l’Union européenne. En particulier, l’enquête cherche à déterminer si Google a correctement évalué les risques liés à la collecte et à l’utilisation de données personnelles provenant de résidents de l’Espace économique européen (EEE) pour former ses modèles d'IA, et si cela pourrait compromettre les droits et libertés fondamentaux des individus.
L'article 35 du RGPD impose la réalisation d'une analyse d'impact lorsqu'un traitement de données, surtout lorsqu'il repose sur de nouvelles technologies, présente un risque élevé pour les droits et libertés des personnes concernées, compte tenu de la nature, de l’étendue, du contexte et des objectifs du traitement. L'AIPD constitue un outil essentiel pour garantir la conformité au RGPD, permettant aux responsables du traitement des données d'identifier et de réduire les risques liés aux traitements à risque élevé. Si la DPC conclut que Google a enfreint le RGPD, l'entreprise pourrait faire face à des sanctions financières, pouvant atteindre jusqu'à 4 % de son chiffre d’affaires annuel mondial. Cette enquête s'inscrit dans une tendance plus large visant à renforcer la surveillance sur la manière dont les grandes entreprises technologiques utilisent les données personnelles pour développer des systèmes d'IA sophistiqués.
Les chatbots LLM
Le commissaire de Hambourg pour la protection des données et la liberté d'information a, dans un document publié le 15 juillet, affirmé que les LLM (modèles de langage large) ne stockent pas de données personnelles. Par conséquent, ce sont les entreprises déployant ces chatbots LLM, et non les fournisseurs des LLM, qui devraient être responsables des demandes des personnes concernées, notamment en ce qui concerne les données saisies et générées par ces chatbots.
Il convient tout d'abord de rappeler que les chatbots LLM sont des systèmes d'IA sophistiqués conçus pour comprendre et produire du langage de manière à imiter la communication humaine. En se basant sur le principe de loyauté inscrit à l'article 5, paragraphe 1, point a) du RGPD, comme l'a souligné le groupe de travail ChatGPT du CEPD, il est essentiel que les responsables du traitement ne transfèrent pas les risques de l'utilisation de ces technologies aux personnes concernées. Autrement dit, les entreprises doivent assumer la responsabilité des risques liés à l'exploitation de ces systèmes.
Les fournisseurs de chatbots LLM doivent donc reconnaître que les utilisateurs peuvent, tôt ou tard, insérer des données personnelles dans leurs interactions avec les chatbots. Il ne serait pas acceptable que ces fournisseurs tentent de rejeter cette responsabilité sur les utilisateurs eux-mêmes, en prétendant qu'ils sont responsables des données qu'ils saisissent. Par conséquent, les entreprises ne peuvent se contenter de déployer de nouvelles technologies sans en assumer pleinement les conséquences et les responsabilités qui en découlent.
Décision de la CJUE du 4 octobre 2024
Ce 4 octobre 2024, la Cour de Justice de l’Union européenne a rendu un arrêt très important dans l’affaire Lindeapotheke, C-21/23, dans lequel elle a constaté que les informations saisies par les clients lors de leur commande en ligne de médicaments (soumis ou non à prescription médicale) tel que leur nom ou leur adresse constituent des données relatives à la santé au sens du RGPD.
De plus, toujours dans ce même arrêt, elle confirme que les concurrents peuvent invoquer les violations au RGPD comme constituant une pratique commerciale déloyale interdite.
Opinion 22/2024 du CEPD du 7 octobre 2024
Le CEPD a publié deux documents importants pour les professionnels, dont un avis sur les obligations liées aux sous-traitants et sous-traitants ultérieurs. Ce document traite des vérifications à effectuer par le responsable de traitement, de la documentation nécessaire, et de la répartition des responsabilités entre responsable et sous-traitant.
Le responsable de traitement doit toujours avoir accès à la liste des sous-traitants et surveiller les transferts de données hors EEE. Les sous-traitants doivent fournir des informations pertinentes de manière proactive, et les contrats doivent préciser les cas où ils peuvent traiter des données au-delà des instructions reçues, notamment en cas d’obligation légale.
Comments