GuiGui's Show

Une législation nationale peut permettre à des associations de consommateurs d'agir en justice sans mandat et donc sans infraction effective alléguée, contre un responsable de traitement en invoquant des pratiques commerciales déloyales ou des conditions générales nulles.

Arrêt CJUE C-319/20.

On peut créer une bdd de test à partir de celle de prod s'il y a compatibilité des finalités. Le test et la correction d'erreurs sont compatibles avec une base de prod' basée sur l'exécution d'un contrat. En revanche, impossible d'utiliser une bdd de prod existante pour développer / tester un nouveau produit ou une nouvelle fonctionnalité ou une montée de version (autre que correction de bug ou faille, donc), car ce n'est pas nécessaire à l'exécution du contrat.

Une bdd de test ne peut pas être permanente (sa durée de vie ne doit pas excéder ce qui est nécessaire à la réalisation de tests et à la correction des erreurs).

La CNIL dit bien d'utiliser des données fictives durant les phases de développement et de test.

ePrivacy : […] à partir du moment où vous opérez un système de communication (au sens ePrivacy, donc « ‘communication’ means any information exchanged or conveyed between a finite number of parties by means of a publicly available electronic communications service », donc méga large)‏ vous ne pouvez traiter le contenu des données échangées pour un quelconque usage tiers à la simple transmission à votre propre client. Toute finalité annexe nécessitant le traitement de la donnée véhiculée relève du seul et unique consentement de votre utilisateur, qui doit du coup être explicite, libre, positif et révocable. Sans perte du service initial en cas de refus donc.

D'où GMail soumet au consentement ses « smart features » (onglets, autocomplétion, suggestion de réponse, ces deux dernières nécessitant un apprentissage sur un corpus d'emails). Idem pour Facebook et ses réponses personnalisées.

Je doutais, mais on retrouve ça chez Clubic et à la BBC.

A priori, la publicité ciblée dans GMail repose donc sur le seul consentement, ou sur l'absence d'analyse des emails (cf. article de la BBC).

Quid du pédoporn ?

Concernant l'analyse des conversations privées à la GMail pour y dénicher du pédoporn : elle est bien interdite par ePrivacy, cf. article 1, article 2.

Pour ceux qui se demandent pourquoi c'est tombé le 21 décembre 2020 alors que la directive ePrivacy date de 2002 : la directive européenne 2018/1972 établissant le Code des communications électroniques européen a fait, entre autres, entrer les services de communication "over the top" (sans numérotation) dans le giron de la directive ePrivacy.

Du coup, le règlement européen 2021/1232 est venu poser une dérogation : les communications privées peuvent être inspectées pour motif pédoporn. Voir aussi.

Résumé : l'analyse des conversations par un opérateur OTT était autorisée car hors périmètre de la directive ePrivacy (avant décembre 2020), puis interdite car ces services sont désormais couverts par la directive (entre décembre 2020 et juillet 2021), puis autorisé par dérogation, en attendant un nouveau règlement européen. Ça veut dire que dans l'intervalle, on fait confiance à des entités privées et on leur délègue un taff de surveillance sans fixer de règles… Ça valide intrinsèquement la manière de faire d'acteurs privés et l'importance de leur taff…

Baptisée « TV2Store », l’offre s’appuie sur un échantillon commun de plus de 70 000 foyers abonnés Orange et porteurs actifs d’une carte de fidélité des enseignes du groupe Casino (Géant Casino, Supermarché Casino, Monoprix et Franprix).

Dans les faits, les données sont des données pseudonymisées « n’ayant pas pour finalité l’identification des clients [ pipeau, risque de ré-identification ], et traitées après consentement préalable des personnes concernées […]

https://web.archive.org/web/20230917154253/https://nitter.privacydev.net/pic/orig/media%2FERxNJSuXkAo8rEr.jpg :

Conjuguer les logs télé et le ticket de caisse des personnes qui ont une carte de fidélité […]
[ 8 campagnes fin 2019 ]
[ +6% de parts de marché et + 8% de CA ]

• C-154/21 : il est possible d'obtenir les destinataires précis / nominatifs de nos données à caractère personnel, pas juste des catégories de destinataires. Là encore, le RGPD était clair (« La personne concernée a le droit d'obtenir […] c) les destinataires ou catégories de destinataires »), mais il a fallut aller jusqu'à la CJUE… Évidemment, il en va de même pour les sources des données, cf. les points 29 et suivants de la délibération de la CNIL à l'encontre d'EDF ;
  
  
• C-487/21 : le droit d'accès permet d'obtenir une reproduction fidèle (pas de vague description) et intelligible de toutes nos données à caractère personnel, donc un tableau synthétique n'est pas forcément suffisant et la communication de documents et d'extraits de bases de données peut être pertinente (si indispensable à une personne pour exercer ses droits, comme la présence d'un champ libre ‒ absence d'info est une info ‒, de données générées à partir d'autres, d'une nécessaire appréciation du contexte du traitement, etc.) ;
  
  
• C-579/21 : il est possible obtenir la date et la finalité des consultations de nos données perso par des employés, etc. (ce qui suppose que ça soit journalisé / tracé, si l'on a rien, on file rien… mais on s'expose à absence de sécurité du SI m'enfin, on en est pas encore là).

Les usages personnels ou domestiques de données à caractère personnel sont exemptés de l'application du RGPD (article 2 de celui-ci), mais la condition est stricte : un carnet de contacts contenant des données pro n'est pas exempté, de même qu'un particulier louant son domicile, pas plus qu'une publication (y compris sur un réseau social).

+ https://noyb.eu/sites/default/files/2023-05/OnePager%20France.pdf

Au vu du bilan de mes plaintes CNIL, je partage les griefs formulés à l'encontre de la CNIL : lenteur + le plaignant n'est pas considéré comme une partie, donc la procédure n'est pas contradictoire, le plaignant ne reçoit pas d'information sur les actions menées et les décisions prises (pas d'accès au dossier, même après la prise de la décision, il faut formuler une demande CADA supplémentaire ou exercer son droit d'accès RGPD…), une plainte peut avoir aucune suite (elle vise à informer la CNIL qui décide seule si elle bouge), etc.

Avant la publication de NOYB, la Commission européenne a proposé un règlement européen harmonisant les procédures. Résumé de la position de NOYB. À suivre, mais pour l'heure, le contexte est essentiellement la coopération entre les APD, et ça cause clauses de confidentialité (NDA).

À sa demande, une loi irlandaise floue autorise l'APD locale à criminaliser toute expression (partage d'informations) sur des procédures en cours.

Les filiales européennes des GAFAM étant irlandaises afin de bénéficier d'une fiscalité douce, et le RGPD prévoyant un mécanisme de guichet unique, l'APD irlandaise est cheffe de file des plaintes contre les GAFAM.

Mouais… À voir si une telle incongruité tient dans le temps.

Une appli de taxis est maintenue par une société néerlandaise et par une société finlandaise, filiale du groupe russe Yandex.

Le transfert de données à caractère personnel est fondé sur les clauses contractuelles types (SCC). Mais, comme l'arrêt Schrems II de la CJUE en dispose, cela n'est pas suffisant en soit, il faut vérifier la législation étrangère et prendre d'éventuelles mesures supplémentaires.

Depuis le 1^er septembre 2023, une loi russe autorise les autorités russes à accéder aux données des passagers de taxis. L'APD finlandaise en conclut que les seules clauses contractuelles types sont insuffisantes.

Le responsable du traitement a fait appel, a clarifié l'application de la loi russe et a produit un calendrier des mesures complémentaires qu'il va déployer, donc la décision est suspendue.

Néanmoins, je trouve comique de voir la décision Schrems II, rendue contre la décision d'adéquation des États-Unis, être appliquée à la Russie, même si, bien entendu, Schrems II a toujours visé tous les États qui s'incrustent trop dans la vie privée des citoyens (y compris les États européens, sauf qu'il n'y a pas de décision d'adéquation, donc c'est plus compliqué à dénoncer).

Déroulement d'un contrôle de la CNIL.