Veille données personnelles – Février 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans Data4Coffee. Ne passez pas à côté des infos clés !
Pour vous inscrire, écrivez à data4coffee@squairlaw.com.
1. FRANCE
1.1. Plusieurs éditeurs de sites mis en demeure de modifier leurs bannières cookies
[12 décembre] La CNIL a annoncé avoir mis en demeure plusieurs éditeurs de sites web d’ajuster leurs bannières cookies jugées trompeuses. Il leur est notamment reproché de mettre en avant de manière disproportionnée le bouton d’acceptation des traceurs, grâce à des choix de couleur, la taille et la police, tout en rendant le bouton de refus moins visible. Certains éditeurs placent également l’option de refus au milieu des mentions d’information pour la rendre moins discernable ou la formuleraient de manière ambiguë (« je décline les finalités non essentielles »), tout en affichant l’option d’acceptation plusieurs fois dans la bannière.
Source : Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web | CNIL
1.2. Sanction de 240 000 euros à l’encontre de KASPR pour son outil d’extraction de données
[19 décembre] La CNIL a prononcé une amende de 240 000 € à l’encontre de la société KASPR, éditeur d'un outil permettant aux utilisateurs d’obtenir les coordonnées professionnelles des visiteurs de leurs profils LinkedIn, y compris de ceux ayant opté pour une visibilité limitée de leurs informations sur le réseau. La CNIL a jugé que ce traitement était illicite en raison d’une absence de base légale. L’autorité a en outre relevé que l’information des personnes n’avait été réalisée que 4 ans après la mise en place de ce traitement, via un e-mail rédigé en anglais. La CNIL a considéré que l’utilisation de l’anglais « ne permettait pas une information transparente et compréhensible ».
Source : Aspiration de données : sanction de 240 000 euros à l’encontre de la société KASPR | CNIL
Consultez notre article pour une analyse de cette décision.
1.3. Publication des conclusions de la mission Lasserre sur le dialogue entre protection des données et la concurrence
[19 décembre] La CNIL a publié les conclusions de la mission Lasserre, visant à renforcer les synergies entre protection des données et droit de la concurrence. Le rapport propose 15 mesures pour harmoniser ces deux domaines, en respectant l'indépendance de chaque autorité. Il souligne l'importance pour la CNIL d'intégrer l'analyse concurrentielle afin d’identifier plus efficacement des traitements illicites et d’adapter certains concepts économiques, tels que le « data power », au contexte de la protection des données.
Sources :
- Conclusions de la mission Lasserre sur la protection des données et la concurrence : pour approfondir le dialogue | CNIL
- Conclusions de la mission de réflexion portant sur l’articulation entre protection des données et concurrence – Mission Bruno Lasserre
1.4. Publication des recommandations de la CNIL en matière de permissions dans les applications mobiles
[14 janvier] Dans le prolongement de ses recommandations destinées aux concepteurs d’applications mobiles en date de septembre 2024, la CNIL a publié un article visant à aider les fournisseurs d’OS et les éditeurs d’applications à articuler les notions de consentement et de permission. Elle y rappelle notamment que ces permissions « techniques » ne sont pas conçues pour collecter un consentement valide au sens du RGPD.
1.5. Publication du plan stratégique 2025-2028 de la CNIL
[16 janvier] Dans son plan stratégique 2025-2028, la CNIL a annoncé orienter son action autour des principaux axes suivants : l’IA, la protection des mineurs en ligne, la cybersécurité, les applications mobiles et l’identité numérique. La CNIL y détaille les différents objectifs et futures actions associés à chacun de ces axes.
1.6. Le bilan des contrôles de la CNIL en matière de droit d’accès dans le cadre d’une action coordonnée européenne
[20 janvier] La CNIL publie les conclusions de son action coordonnée avec d’autres autorités européennes sur le droit d’accès des citoyens à leurs données personnelles. Les contrôles révèlent des manquements fréquents, notamment des réponses tardives ou incomplètes. La CNIL rappelle que ce droit est essentiel pour la transparence et le contrôle des données par les individus. Elle mentionne certaines pratiques susceptibles de faire l’objet d’une sanction, tel que la fourniture des informations traitées, sans inclure une copie des données traitées ou l’exclusion systématique dans les réponses de certains traitements.
1.7. Applications mobiles : intégrer des SDK en respectant la vie privée
[21 janvier] La CNIL publie des recommandations pour l’intégration de SDK (software development kit) dans les applications mobiles, afin de garantir la protection des données personnelles des utilisateurs. Elle insiste sur l’importance de la transparence, du respect du consentement et de la minimisation des données collectées. Les développeurs doivent vérifier les traitements effectués par lesSDK et intégrer des mesures de conformité dès la conception (Privacy by Design).
Source : Applications mobiles : comment intégrer des SDK et respecter la vie privée des utilisateurs ? | CNIL
1.8. Violations massives de données en 2024 : enseignements et mesures préconisées par la CNIL
[28 janvier] En 2024, la CNIL a enregistré une augmentation de 20% du nombre de violations de données personnelles. La CNIL souligne que les violations de données massives sont souvent dues à des défauts de sécurité récurrents. Dans cet article, elle y décrit le mode opératoire des attaquants et liste des exemples de mesures pouvant prévenir les différents risques identifiés.
1.9. Le rapport du Laboratoire d’innovation numérique de la CNIL (LINC) sur le droit d’accès sur les réseaux sociaux
[30 janvier] Après avoir étudié le parcours d’accès aux copies des données personnelles de 10 réseaux sociaux sur la base d’une grille d’analyse de 30 questions, le rapport du LINC (Laboratoire d’Innovation Numérique et de Conformité) met en lumière qu’entre 44 % et 76,5% des bonnes pratiques recensées dans sa grille d’analyse sont mises en place dans les parcours des réseaux sociaux. Le bilan souligne les retards et le manque de coopération des plateformes, ainsi que les conséquences juridiques pour le respect du droit d'accès, notamment pour les utilisateurs et les régulateurs. Il appelle à un renforcement de la transparence des plateformes et à une mise en conformité plus stricte avec les exigences du RGPD. Ce document met également en exergue les défis croissants de la régulation dans un environnement numérique en constante évolution.
2. UNION EUROPEENNE
2.1. Meta condamnée à une amende de 251 millions d’euros pour une fuite de données en 2018
[17 décembre] La Commission irlandaise pour la protection des données (DPC) a infligé une amende de 251 millions d'euros à Meta pour des manquements au RGPD liés au piratage de 29 millions de comptes Facebook en 2018, dont 3 millions d'utilisateurs européens. Les hackers avaient exploité une faille de sécurité pour accéder à des données personnelles telles que noms, numéros de téléphone et adresses e-mail. La DPC a jugé que Meta avait manqué à son obligation de sécurité, en ne protégeant pas suffisamment les données de ses utilisateurs, et qu’elle n’avait pas assez coopéré dans le cadre de la gestion de cette violation de données.
Source : Irish Data ProtectionCommission fines Meta €251 Million | 17/12/2024 | Data Protection Commission
2.2. Les nouvelles lignes directrices du CEPD sur le traitement des données personnelles dans les modèles d’IA
[18 décembre] Dans son Avis 28/2024, le Comité européen de la protection des données (CEPD) a adopté la première position européenne harmonisée en matière d’application du RGPD à l’IA. Dans cette publication, le CEPD souligne que l'utilisation de l'intérêt légitime comme base légale pour le développement et le déploiement de modèles d'IA est possible mais nécessite une évaluation rigoureuse. Pour appuyer cette recommandation, le CEPD donne des exemples concrets d’intérêts pouvant être considérés comme légitimes, de critères à utiliser pour mener l’évaluation et de mesures à mettre en place pour atténuer les risques pour les personnes. Le CEPD prévient également que tous les modèles d’IA ne sont pas anonymes par nature. Enfin, le CEPD rappelle que le traitement illégal de données personnelles lors de la phase de développement d'un modèle d'IA peut affecter la légalité des traitements ultérieurs, insistant sur l'importance de la conformité au RGPD dès les premières étapes du développement.
Sources :
- edpb_opinion_202428_ai-models_en.pdf
- Modèles d’IA et RGPD : le CEPD publie son avis pour une IA responsable |CNIL
2.3. La CJUE estime que communiquer son genre n’est pas obligatoire pour réserver un billet sur SNCF Connect
[9 janvier] Saisie par l’association Mousse, la Cour de justice de l'Union européenne a jugé que la collecte de l'identité de genre réalisée par la SNCF pour l'achat d'un billet de train n’était pas nécessaire en s’appuyant sur le principe de minimisation des données issu du RGPD. La CJUE a estimé que des formules inclusives et génériques pourraient remplacer l'utilisation de civilités générales. Le Conseil d'Etat devra trancher l'affaire conformément à cet avis. A noter qu’en 2021, la CNIL avait rejeté le recours formulé par l’association Mousse sur cette pratique.
Source : CJUE, Première chambre, 9 janvier 2025, affaire C-394/23
2.4. Le CEPD adopte des lignes directrices sur la pseudonymisation
[17janvier] Le Comité Européen de la Protection des Données a adopté des lignes directrices clarifiant la pseudonymisation au sens du RGPD, soulignant son rôle dans la protection des données. Ces recommandations visent à harmoniser les pratiques au sein de l'UE et à renforcer la coopération entre autorités nationales. Le CEPD y rappelle que des données pseudonymisées sont toujours des données personnelles et que la pseudonymisation peut faciliter l’utilisation de l’intérêt légitime comme base légale pour réaliser ces traitements. Ces lignes directrices sont soumises à une consultation publique jusqu’au 28 février 2025.
Source : Guidelines 01/2025 on Pseudonymisation | European Data Protection Board
2.5. L’autorité de protection italienne bloque DeepSeek, la France et l’Irlande ouvrent des enquêtes
[30 janvier] L’autorité italienne de protection des données a décidé de bloquer l’applicationDeepSeek, une IA conversationnelle chinoise, afin de protéger les données des utilisateurs italiens. L’autorité italienne a pris cette décision à la suite d’une communication insatisfaisante de DeepSeek, qui prétendait ne pas être soumise à la législation européenne dès lors qu’elle n’opère pas en Italie. Cette limitation de l’application, et par conséquent du traitement, s’accompagne d’une enquête par l’Autorité italienne. De leurs côtés, la CNIL et l’Autorité irlandaise de protection des données ont prévu d’interroger DeepSeek sur ses mesures de protection de la vie privée.
Sources :
- COMUNICATO STAMPA - Intelligenza artificiale: il Garante privacy blocca DeepSeek
- Courrier international, Les gouvernements s’inquiètent du traitement des données par l’IA de DeepSeek
3. INTERNATIONAL
3.1. L'administration Trump fragilise le Data Privacy Framework
[23 janvier] L’association Noyb alerte les autorités européennes quant à l’impact des demandes de démission formalisées par l'administration Trump destinées aux membres démocrates du « Privacy and Civil Liberties Oversight Board » (PCLOB), organe clé de supervision des lois de surveillance américaines. Selon Noyb, ces changements pourraient entraîner dans le futur l’invalidation du Data Privacy Framework, rendant potentiellement illégaux les transferts de données vers les fournisseurs américains.
Source : US Cloud soon illegal? Trump punches first hole in EU-US Data Deal (noyb.eu)
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
