En cette fin d’année, Le Club Data Protection de L’Usine Digitale vous propose une sélection des actualités immanquables de 2024. Au programme : la présence quasi systématique de Microsoft dans la gestion des données de santé des Français, le modèle de Meta largement remis en cause au sein de l’Union européenne et la multiplication des actions menées par l’association Noyb.
-
La mainmise de Microsoft sur les données de santé des Français. Contrairement aux années précédentes, ce n’est pas le Health Data Hub – cette immense base de données regroupant les informations médicales des Français – qui a fait parler de lui. C’est le nouvel entrepôt de données, lEMC2piloté par l’Agence européenne des médicaments qui a soulevé un vent de contestations. L’hébergement de ce dernier a été une nouvelle fois confié à Microsoft Azure et ce, « faute de prestataire susceptible de répondre actuellement aux besoins exprimés »se justifiait la Commission nationale de l’informatique et des libertés (Cnil).Cette attribution a été contestée par un collectif d’associations et d’entreprises. Or, il n’a pas su convaincre le Conseil d’Etat. La plus haute juridiction administrative a reconnu qu’il existe bien un risque que des données soient transférées vers les Etats-Unis. Cependant, il ne s’agit que de « données techniques d’usage de la plateforme« . Le juge a également avancé l’argument de la pseudonymisation des données « avant toute mise à disposition au sein de l’entrepôt« . Face à ce rejet, les requérants ont déposé un recours devant la Cour européenne des droits de l’Homme (CEDH).
Cette affaire relance l’éternel débat de la souveraineté technologique. D’après les organismes étatiques, actuellement, aucune entreprise française ni européenne a les capacités de stocker et de traiter la masse de données de santé. Ce que de nombreux acteurs tricolores contestent fortement. A ce propos, Guillaume Poupard, l’ex directeur général de l’Agence nationale de la sécurité des systèmes d’information, avait déclaré que « maîtriser le cloud n’est autre qu’une condition nécessaire à la maîtrise de notre destin, rien de moins« .
-
Noyb multiplie les actions. Une façon de pallier à l’inaction des autorités de protection. En 2024, l’association autrichienne Noyb, spécialisée dans la protection de vie privée, n’a pas chômé. Elle a multiplié les actions pour faire respecter le Règlement général sur la protection des données. Parmi ses principales actions, on peut cibler les procédures lancées à l’encontre de l’application française BeRealMozilla à propos de la nouvelle fonctionnalité de suivi de Firefoxla filiale publicitaire de Microsoft ou encore OpenAI pour son mauvais traitement des données personnelles. Elle a récemment gagné face à la Commission européenne. Cette dernière a été reconnue coupable par le Contrôleur européen de la protection des données (CEPD) d’avoir violé le RGPD dans le cadre de sa campagne publicitaire sur X pour influencer l’opinion publique sur le bien-fondé de la proposition de règlement établissant des règles en vue de prévenir et combattre les abus sexuels sur enfants (Child sexual abuse regulation).En 2024, Noyb a récemment obtenu le statut « d’entité qualifiée« , en vertu de la directive (UE) 2020/1828 relative aux actions représentatives. Ce nouveau statut lui permet d’engager des actions collectives au nom des consommateurs à travers l’Union européenne. Dans les détails, Noyb pourrait initier deux types de procédures : des actions d’injonction visant à contraindre une entreprise à cesser des pratiques illégales, et des actions en réparation permettant de représenter collectivement des utilisateurs pour réclamer des dommages et intérêts. Cette dernière forme de procédure, l’équivalent anglosaxon des actions, reste peu démocratisée dans les pays européens.
Face à la montée en puissance de Noyb, il est difficile de ne pas se poser la question du manque d’action de la part des autorités nationales de protection des données. La Data Protection Commission (DPC), l’autorité irlandaise, est depuis longtemps critiquée sur ce point. Plus récemment, c’est l’autorité française qui a été pointée du doigt. Une pétition a été lancée pour « réarmer les citoyens et les DPO face à la violation du RGPD ». A l’heure actuelle, elle a collecté plus de 5000 signatures.
-
Le modèle de Meta remis en cause en Europe. Les agissements de Meta en matière de traitement des données des utilisateurs de ses services ont été largement attaqués en 2024. C’est l’annonce d’une version payante de Facebook et Instagramsans publicité, qui a mis le feu aux poudres. Largement contesté, cet abonnement a été revue à la baisse. Ce système, baptisé « Pay or Consent », est dans l’oeil du régulateur européen qui souhaite contrôler sa conformité au Digital Markets Act (DMA).L’entreprise américaine a également connu un coup de frein sans précédent au déploiement de sa stratégie en matière d’intelligence artificielle générative. Le gendarme irlandais de la protection des données a demandé à Meta de retarder le déploiement au sein de l’Espace économique européen de « Méta-IA« , dans « collection de fonctionnalités et d’expériences d’IA générative« , a rapporté Meta en juin dernier.
Le dernier coup de massue a été donné par la Cour de justice de l’Union européenne (CJUE), saisie par Maximilian Schrems, le président d’honneur de l’association Noyb. Début octobre 2024, les juges ont décidé qu’un réseau social – tel que Facebook – ne peut pas utiliser les données personnelles de ses utilisateurs à des fins de publicité ciblée sans limitation dans le temps et sans distinction en fonction de leur nature.
Sélectionné pour vous
