IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été
Selon une page récemment publiée sur son site Web

Le , par Stéphane le calme

23PARTAGES

7  0 
Fin 2022, les autorités européennes de protection des données se sont engagées à intensifier la coopération pour traiter les cas d'importance stratégique. En octobre, le comité européen de la protection des données a envoyé à la Commission une « liste de souhaits » de modifications du droit procédural pour améliorer l'application. Parmi les idées figurent la fixation de délais pour différentes étapes procédurales dans le traitement d'une affaire et l'harmonisation des droits des différentes parties impliquées dans les enquêtes à travers l'UE.

Désormais, une initiative a été annoncée par la Commission européenne pour « harmoniser certains aspects de la procédure administrative que les autorités nationales de protection des données appliquent dans les affaires transfrontalières ».


Adopté en 2016, le règlement général sur la protection des données (RGPD) a marqué un tournant dans la réglementation technologique mondiale, obligeant les entreprises à se conformer à de nouvelles normes telles que demander le consentement pour collecter les données des personnes en ligne sous peine de se voir infliger de lourdes amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial. La loi est effectivement devenue l'affiche des responsables européens d'une législation puissante issue de Bruxelles.

L'adoption du RGPD a soufflé un vent de panique sur le web. Il faut dire que la sanction prévue en cas de non-respect (20 millions d’euros ou 4 % du chiffre d’affaires, selon le montant le plus élevé) a de quoi impressionner. Raison pour laquelle certaines entreprises, probablement encouragées par des conseils juridiques, ont sauté sur ce qu’elles ont considéré comme étant l’option la plus sûre. Aussi, les courriers d'entreprises demandant par exemple votre consentement pour vous garder dans leur liste de diffusion ou vous invitant à parcourir leurs nouvelles politiques d’utilisation qui se voulait conforme au RGPD, ont été multipliés.

Certaines entreprises ont décidé d’arrêter leurs activités en Europe. C’est le cas du site Super Monday Night Combat, une arène multijoueur lancée en 2012 par Uber Entertainment, Unroll.me, le service en ligne de gestion des courriels ou encore Verve, la société qui gère une plateforme marketing mobile alimentée par les données de localisation (elle n’était en Europe que depuis deux ans). D’autres comme Instapaper, la plateforme lancée en 2008 qui permet de sauvegarder articles et pages web en vue de les consulter ultérieurement, ont annoncé une suspension momentanée de leurs activités. C’est sans doute dans cette catégorie que le service WHOIS, pour lequel l’ICANN a demandé sans succès un moratoire au G29.

Un système inefficace pour traiter les cas majeurs relatifs aux grandes entreprises technologiques, selon les critiques

Mais cinq ans après que les autorités de protection des données de l'UE ont commencé leur travail, avec l'entrée en vigueur du RGPD, les militants, les experts et certains organismes nationaux de surveillance de la vie privée sont devenus frustrés par ce qu'ils considèrent comme un système inefficace pour traiter les cas majeurs, en particulier ceux qui concernent les grandes entreprises technologiques.

Plus particulièrement, les critiques ont déploré le rôle puissant joué par la Commission irlandaise de protection des données dans le cadre de la règle dite du guichet unique, qui oblige la plupart des enquêtes majeures à passer par le système irlandais parce que des entreprises technologiques comme Meta, Google, Apple et d'autres y ont installé leurs foyers européens. Dans le cadre du RGPD, les entreprises technologiques sont supervisées par le régulateur national du pays de l'UE où elles ont leur siège social.

L'Irlande et, dans une moindre mesure, le Luxembourg, où se trouve le siège européen d'Amazon, ont fait l'objet de critiques croissantes ces dernières années pour leur application laxiste, ce qu'ils nient. L'autorité irlandaise des données a infligé ces derniers mois d'importantes amendes de plusieurs millions d'euros pour sanctionner les infractions au RGPD de Meta, la société mère d'Instagram et de Facebook.

Désormais, un nouveau règlement de l'UE, attendu pour le deuxième trimestre de 2023, vise à établir des règles de procédure claires pour les autorités nationales de protection des données chargées des enquêtes et des infractions transfrontalières. La commission indique

Cette initiative rationalisera la coopération entre les autorités nationales de protection des données lors de l'application du règlement général sur la protection des données (RGPD) dans les affaires transfrontalières. À cette fin, elle harmonisera certains aspects de la procédure administrative que les autorités nationales de protection des données appliquent dans les affaires transfrontalières. Cela favorisera le bon fonctionnement des mécanismes de coopération et de règlement des différends du RGPD.
Une tournure qui n'est pas surprenante

En octobre, les autorités de protection des données européennes ont établi une liste de sujets procéduraux nécessitant une harmonisation des législations nationales afin de permettre une meilleure application du RGPD au sein de l’Union européenne. Cette « liste de souhaits », adressée à la Commission européenne, fait partie des actions clés énoncées dans la déclaration de Vienne adoptée par le CEPD sur la coopération en matière répressive.

Parmi les sujets prioritaires figurent les pouvoirs d'enquête des autorités de protection des données, la mise en œuvre pratique de la procédure de coopération au niveau national, le statut et les droits des parties aux procédures administratives devant les autorités des États membres, les délais de procédure ainsi que les exigences en matière de recevabilité ou de rejet des plaintes par les autorités de protection des données.

Andrea Jelinek, présidente de l’EDPB, a déclaré à ce sujet: «L’EDPB a pris des mesures importantes pour promouvoir la coopération efficace en vue d’une application ferme et rapide du RGPD. Nous avons recensé certains obstacles qui ne relèvent pas de notre compétence et qui pourraient nécessiter une initiative législative. La multitude actuelle de procédures et de pratiques nationales a des effets néfastes sur la coopération entre les autorités de protection des données.»

La Commission souhaite que le règlement à venir soit très ciblé et limité, en partie parce qu'elle se prépare à des discussions tendues avec les organismes de surveillance de la confidentialité des données, les militants et les lobbyistes des grandes entreprises de la Tech.

« Personne ne sera satisfait de la proposition de la Commission, comme d'habitude »

Le RGPD est largement considéré comme la loi européenne la plus sollicitée de l'histoire du bloc. Cela a conduit à une expansion massive du pouvoir de lobbying des grandes entreprises de la Tech à Bruxelles, où elles figurent désormais en tête des rangs des plus gros dépensiers pour influencer la prise de décision de l'UE.

Mais ce ne sont pas seulement les groupes de pression qui devraient bondir sur la nouvelle proposition de loi sur la protection de la vie privée de la Commission. Les régulateurs eux-mêmes se sont affrontés sur la manière d'interpréter et d'appliquer le RGPD, déclenchant souvent des résolutions de litiges et retardant les affaires.

« Personne ne sera satisfait de la proposition de la Commission comme d'habitude, car les autorités de protection des données sont d'accord sur le problème, mais elles ne sont pas d'accord sur les solutions », a déclaré Olivier Micol, chef d'unité de la protection des données à la Commission qui dirige les travaux sur la politique. Il s'exprimait lors d'un événement à Bruxelles le mois dernier.

Les organisations non gouvernementales veulent être davantage impliquées dans les procédures et des entreprises comme Google, Apple et Amazon repousseront par crainte de nouvelles amendes, a déclaré Micol.

« Les entreprises de la Big Tech ne seront pas très satisfaites, car cela rendra le système plus efficace dans les applications de sanctions », a-t-il déclaré.

Avec les élections européennes qui se profilent au printemps 2024, l'exécutif européen disposera également d'un court laps de temps pour faire passer son nouveau texte dans le train législatif européen. Le Parlement européen et le Conseil de l'UE, composé des 27 gouvernements de l'UE, pourraient avoir quelques mois pour négocier leurs amendements au projet législatif de la Commission.


Certaines décisions ne sont déjà pas au goût des grandes entreprises technologiques

Google Analytics

Le 13 janvier 2022, l'autorité autrichienne de protection des données ("Datenschutzbehörde" ou "DSB" ) a estimé que l'utilisation continue de Google Analytics viole le RGPD. Quelques semaines plus tard, la CNIL a rejoint son homologue autrichien et a mis en demeure la gestion de sites français. Par la suite, la CNIL italienne à son tour s'est opposée à l'utilisation de Google Analytics :

« Un site Web utilisant Google Analytics (GA) sans les garanties définies dans le RGPD de l'UE enfreint la loi sur la protection des données, car il transfère les données des utilisateurs aux États-Unis, qui est un pays sans niveau de protection des données adéquat ».

La CNIL italienne est parvenue à cette conclusion après un exercice d'enquête complexe qu'elle avait entamé en étroite coordination avec d'autres autorités de protection des données de l'UE à la suite de plaintes qu'elle avait reçues. La CNIL italienne a constaté que les opérateurs de sites Web utilisant GA recueillaient, avec des cookies, des informations sur les interactions des utilisateurs avec les sites Web respectifs, les pages visitées et les services proposés. L'ensemble varié de données collectées à cet égard comprenait l'adresse IP de l'appareil de l'utilisateur ainsi que des informations sur le navigateur, le système d'exploitation, la résolution de l'écran, la langue sélectionnée, la date et l'heure de consultation de la page. Ces informations ont été transférées aux États-Unis. En déterminant que le traitement était illégal, la CNIL italienne a réitéré qu'une adresse IP est une donnée personnelle et ne serait pas anonymisée même si elle était tronquée - étant donné les capacités de Google à enrichir ces données grâce aux informations supplémentaires qu'elle détient.

Fin des offres gratuites Office365 et Google Workspace dans les écoles

Philippe Latombe, député MODEM, a alerté le ministre de l'Éducation nationale et de la Jeunesse sur la gratuité d'Office 365 pour les élèves et les enseignants. En effet, comme l'annonce le site de Microsoft, « les élèves et les enseignants des établissements admissibles peuvent s'abonner gratuitement à Microsoft Office 365, qui intègre Word, Excel, PowerPoint, OneNote et maintenant Microsoft Teams, ainsi que de nombreux autres outils pour la classe ».

De prime abord, la proposition peut sembler attrayante puisqu'elle promet un seul lieu pour l'organisation, l'accès à tout moment, en tout lieu et à partir de n'importe quel appareil. Cependant, pour le député, cette offre gratuite s'apparente à une forme ultime de dumping et à de la concurrence déloyale. Il semble par ailleurs qu'aucun appel d'offres n'ait eu lieu. Il lui a demandé s'il peut lui indiquer ce qu'il compte faire face à de telles pratiques commerciales qui, si elles peuvent paraître séduisantes au consommateur, pénalisent fortement les autres acteurs économiques, posent un problème grave de souveraineté, en raison de la localisation des données personnelles sur un cloud américain et de l'extraterritorialité du droit américain et donnent aux très nombreux enseignants qui y sont hostiles l'impression d'une administration vendue à Microsoft.

Voici la réponse du ministère à ce sujet :

« L'éditeur Microsoft a une politique mondiale pour l'éducation consistant à offrir gratuitement la version de base de sa suite collaborative en ligne. Le code de la commande publique prévoit que les contrats de la commande publique sont des contrats conclus à titre onéreux pour satisfaire les besoins de la personne publique en matière de travaux, de fournitures ou de services. Les offres gratuites de services sont donc, en principe, exclues du champ de la commande publique.

« S'il est vraisemblable que la mise à disposition gratuite des établissements scolaires d'une suite bureautique vise à inciter un public qui aurait été accoutumé à l'utilisation de ces outils à souscrire par la suite à la version payante de son offre, cet avantage indirect n'est pas de nature, à lui seul, à regarder cette prestation comme présentant un caractère onéreux. Le ministère chargé de l'économie et des finances indiquait toutefois dans cette réponse ministérielle que « dans un souci de bonne administration et dans la mesure où de tels contrats peuvent avoir une incidence à terme sur la concurrence, les personnes publiques veilleront toutefois à circonscrire l'objet de ces contrats, à en limiter leur durée et, à ne pas octroyer d'exclusivité à l'opérateur économique afin de permettre à d'autres concurrents de bénéficier des gains notamment d'image en résultant. »

« Par ailleurs, la circulaire du Premier ministre invite les différents ministres à s'assurer que les offres de cloud commercial auxquelles ont recours les organisations et les services publics placés sous son autorité soient immunisées contre toute réglementation extracommunautaire et bénéficient de la qualification SecNumCloud ou d'une qualification européenne équivalente. À cet égard, une note du directeur interministériel du numérique en date du 15 septembre 2021 précise que la suite collaborative Microsoft Office 365 n'était pas conforme à la doctrine « cloud au centre ».

« Le ministère a ainsi demandé d'arrêter tout déploiement ou extension de cette solution ainsi que celle de Google, qui seraient contraires au RGPD. Il convient enfin de rappeler que le code de l'éducation prévoit que les collectivités territoriales de rattachement des établissements scolaires assurent « l'équipement et le fonctionnement » et qu'à ce titre, « l'acquisition et la maintenance des infrastructures et des équipements, dont les matériels informatiques et les logiciels prévus pour leur mise en service, nécessaires à l'enseignement et aux échanges entre les membres de la communauté éducative sont à [leur] charge ».

RGPD : Un guide pratique pour les développeurs

Sources : European Commission, Europa Data Protection Board

Et vous ?

Que pensez-vous de cette initiative de l'Union européenne ?
Jusqu'à présent, comment jaugez-vous l'impact du RGPD ? Efficace (pas mal d'améliorations observables), pas d'améliorations sensibles ou inutiles (il ne s'attaque pas vraiment aux grandes entreprises par exemple) ?

Voir aussi :

Le RGPD contribuerait à asseoir la domination des grandes entreprises de la tech au détriment des plus petites, sur le marché de la publicité
Le RGPD a un impact bénéfique sur la confiance des consommateurs dans toute l'Europe et contribue à renforcer la sécurité des données depuis son introduction, selon une étude de Check Point

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 22/02/2023 à 15:00
En bref ils ont laissé leur collègues irlandais/luxembourgeois avec la possibilité d'abuser un peu de leur position et comme par hasard, ils l'ont fait

« Personne ne sera satisfait de la proposition de la Commission comme d'habitude, car les autorités de protection des données sont d'accord sur le problème, mais elles ne sont pas d'accord sur les solutions », a déclaré Olivier Micol, chef d'unité de la protection des données à la Commission qui dirige les travaux sur la politique. Il s'exprimait lors d'un événement à Bruxelles le mois dernier.
Bah en soi, ça paraît normal que la loi ou son application méritent des ajustements, la question c'est de savoir si les ajustement vont aller dans le bon sens ou si c'est le lobby des grandes sociétés qui vont gagner et le faire reculer.
2  1