Incompatibilité entre le RGPD et les cookie walls

L’autorité de protection des données des Pays-Bas a indiqué il y a quelques semaines, après avoir reçu de nombreuses plaintes, que les cookie walls n’étaient pas conformes au RGPD.

Un cookie wall est un dispositif qui empêche un internaute d’accéder à un service (par ex. un site web) s’il n’a pas accepté que des cookies de tracking soient installés sur son périphérique. Un tel cookie wall n’est donc pas admissible au sens du RGPD car l’internaute n’est pas libre de donner son consentement à un traitement de données visant à analyser son comportement. En effet, l’internaute est confronté à un choix qui exerce sur lui une pression non négligeable : soit il renonce à un peu de vie privée pour accéder au service, soit il n’y accède pas. Le choix n’est donc ni libre, ni réel, puisque l’internaute s’expose à des conséquences en cas de refus.

La réglementation sur la protection des données est-elle futile ?

2018 a été un tournant en Europe et dans le monde dans le domaine de la sphère privée et de la protection des données. L’application du RGPD en mai a provoqué un vent de panique dans les milieux économiques, similaire à un krack boursier (toutes proportions gardées). Tout le monde ne parlait que de ça. Un temps entretenu par des experts, des articles et autres allocutions qui rappelaient à qui voulait l’entendre les importants risques financiers encourus en cas de violation, le soufflé a fini par retomber. Désormais, ce sont les autorités de protection des données des États membres de l’UE et la CJUE qui tiennent le monde en haleine respectivement avec les sanctions (comme celle de Google) et les interprétations des textes de loi.

RGPD : la CNIL inflige une amende de 50 millions d'euros à Google

Le communiqué de presse de la CNIL a fait l’effet d’une petite bombe et a rapidement fait le tour du monde lundi 21 janvier 2019. En raison de son manque de transparence, d’informations lacunaires et de la validité défaillante du consentement des internautes pour la personnalisation de la publicité, la CNIL française a infligé une amende de 50 millions d’euros à Google. Cette décision fait suite aux plaintes déposées par l’association NOYB de Max Schrems dont j’avais parlé ici et par La Quadrature du Net (LQDN).

Données personnelles et voitures : sortie de route à prévoir ?

En septembre 2014, McKinsey estimait que chaque voiture générait 25 gigaoctets de données par heure.

Sans aller aussi loin que Tesla avec ses voitures ultra connectées, les voitures sont de plus en plus bardées d’électroniques et de capteurs qui récolent une grande quantité de données. Il n’est ainsi pas rare que les contrats de service, de vente ou de leasing de voitures relativement récentes incluent des clauses concernant la collecte de données concernant le véhicule… mais aussi son détenteur.

CJUE : le gérant d'un site a des obligations d'information s'il utilise des plugins comme le bouton "j'aime" de Facebook

[Mise à jour du 29 juillet 2019 : la CJUE a confirmé l’avis de l’avocat général ci-dessous. Liens vers le communiqué de presse et l’arrêt.]

[Mise à jour du 30 juillet 2019 : ma réaction au micro de la RTS, à partir de 1 minute 03.]

Avant-hier, l’avocat général de la Cour de justice de l’Union européenne (CJUE) a rendu ses conclusions dans le cadre de l’affaire C-40/17 opposant Fashion ID (une société de vente en ligne) et Verbraucherzentrale NRW (une association allemande de protection des consommateurs).

CEPD : lignes directrices pour l'application territoriale du RGPD

[Mise à jour du 16 novembre 2019 : la version définitive des lignes directrices a été publiée le 12 novembre 2019 et peut être consultée ici.]

Le Comité Européen de la Protection des Données (CEPD, ou EDPB en anglais) a lancé une consultation publique sur de nouvelles lignes directrices relatives à l’application territoriale du RGPD, adoptées le 16 novembre 2018. Voici en substance la vision du CEPD sur cette question hautement importante pour un pays tiers comme la Suisse.

RGPD : la CNIL publie une liste des traitements pour lesquels une analyse d'impact est requise

Conformément à l’art. 35 al. 4 RGPD, dans une délibération n° 2018-327 du 11 octobre 2018, publiée au journal officiel du 6 novembre 2018, la CNIL a publié la liste des traitements de données personnelles qui nécessitent une analyse d’impact relative à la protection des données.

L’art. 35 RGPD impose au responsable de traitement d’effectuer avant la mise en œuvre ou la modification d’un traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données. Cette analyse d’impact doit être effectuée lorsque le traitement envisagé est susceptible, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Swiss Data Forum : la protection des données est-elle un frein à l’innovation ?

Le Swiss Data Forum est une journée d’échanges organisée par Trivadis SA et qui a pour objectif de présenter des exemples de valorisation des données, de parler des bonnes pratiques et de partager les questionnements sur les données et leur exploitation.

Ce forum propose des keynotes, des tables thématiques sur des sujets divers en lien avec les données, et une table ronde à laquelle je participerai. Il se déroulera le 27 novembre 2018 toute la journée à l’hôtel Aquatis à Lausanne.

Why do you trust Facebook with your data ?

Facebook has had its third security issue since June 2018 and no one besides privacy professionals seems to care. Last Friday Facebook announced that hackers were able to access the personal data stored in 50 million Facebook accounts.

According to Facebook’s statement, the attackers

exploited a vulnerability in Facebook’s code that impacted ‘View As’, a feature that lets people see what their own profile looks like to someone else. This allowed them to steal Facebook access tokens which they could then use to take over people’s accounts. Access tokens are the equivalent of digital keys that keep people logged in to Facebook so they don’t need to re-enter their password every time they use the app.

continuer la lecture

RGPD, entreprise suisse et obligation de notifier une autorité en cas de violation de données

L’article 33 du Règlement général sur la protection des données (RGPD) prévoit notamment qu’en cas de violation de données personnelles (c’est-à-dire s’il se produit une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ; art. 4 ch. 12 RGPD), le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55.