Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 25 septembre 2023

Données

La conservation et l’accès aux données personnelles pour identifier les auteurs d’infractions constituées exclusivement en ligne

• En 2010, le décret français n° 2010-236 a été adopté permettant à la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi), qui a pour mission d’assurer le respect des droits de propriété en France, de solliciter les opérateurs de communications électroniques afin qu’ils lui fournissent les données d’identité civile de l’utilisateur auquel l’adresse IP utilisée pour commettre le délit est attribuée. Cela permet à Hadopi d’identifier l’auteur de l’atteinte afin de lui faire parvenir des recommandations visant à le dissuader de toute nouvelle atteinte au droit d’auteur, ou éventuellement de saisir l’autorité judiciaire compétente en vue d’engager des poursuites pénales.
  Néanmoins, lorsque quatre associations de protection des droits et libertés sur Internet ont contesté l’adoption de ce décret, le Conseil d’État a interrogé la CJUE sur la question de savoir si la collecte des données d’identité civile correspondant à des adresses IP, ainsi que le traitement automatisé de ces données à des fins de prévention des atteintes aux droits de propriété intellectuelle, sans contrôle préalable par une juridiction ou une entité administrative, sont compatibles avec le droit de l’Union européenne (UE).
  Dans ses conclusions du 28 septembre 2023, le premier avocat général Szpunar a affirmé qu’il n’y a pas de violation du droit de l’UE lorsque l’adresse IP, l’identité civile du titulaire de l’accès à Internet et les informations relatives à l’œuvre en cause ne permettent pas de tirer des conclusions précises sur la vie privée de la personne présumée avoir violé le droit d’auteur. Par conséquent, ce dernier a considéré que « la conservation et l’accès à des données d’identité civile couplées à l’adresse IP utilisée devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement commises sur Internet ».
  Il appartient maintenant à la juridiction française de résoudre l’affaire conformément à la décision de la CJUE. (CJUE, Concl. de l’avocat général dans l’affaire C-470/21, La Quadrature du Net e.a.)

Vers l’harmonisation des procédures RGPD : les régulateurs européens ont adopté le 19 septembre leur avis

• En avril 2022, le Comité européen de la protection des données (CEPD) a fait une déclaration qui affirme son engagement permanent en faveur d’une coopération transfrontalière étroite. Dans cette perspective, le CEPD a identifié une liste d’aspects procéduraux qui pourraient bénéficier d’une harmonisation plus approfondie (appelée « la liste des souhaits »), laquelle a été transmise à la Commission européenne le 10 octobre 2022. Cette liste porte notamment sur le statut et les droits des parties aux procédures administratives, les délais de procédure, les critères de recevabilité ou de rejet des plaintes, les pouvoirs d’enquête des autorités de contrôle et la mise en œuvre de la procédure de coopération. Le 4 juillet 2023, la Commission européenne a publié une proposition de règlement du Parlement européen et du Conseil visant à renforcer l’application des RGDP dans les situations transfrontalières.
  Étant donné que cette proposition vise à favoriser l’application effective des règles de protection des données, le CEPD envisage de mettre en œuvre des suggestions contenues dans la « liste de souhaits ».
  L’avis sur la proposition de règlement du Parlement européen et du Conseil établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679 a été officiellement adopté le 19 septembre 2023. Cette proposition vise à compléter le règlement (UE) 2016/679 en précisant les règles de procédure, en rationalisant les mécanismes de coopération et de résolution des litiges, ainsi qu’en harmonisant les droits procéduraux des parties faisant l’objet d’une enquête et des plaignants dans les affaires transfrontalières. Selon le CEPD, il est primordial d’adopter ce futur règlement dans les meilleurs délais afin d’améliorer l’efficacité et la cohérence de l’application du RGPD.

La transparence sur le profilage n’entraîne pas de facto la conformité avec le RGDP selon le Comité européen de la protection des données : réponse à la consultation ouverte par la Commission

• Le 31 juillet 2023, la Commission européenne a lancé une consultation publique concernant le modèle de description des techniques de profilage des consommateurs et de l’audit de ces rapports que les « gatekeepers » devront communiquer chaque année en vertu de l’article 15 du Digital Markets Act (DMA).
  En effet, la section 2 de l’article 15 du DMA traite des informations sur les techniques de profilage des consommateurs. La section 2.1 du DMA exige que les plateformes en ligne fournissent une description détaillée de toutes les techniques de profilage des consommateurs appliquées au sein du service principal de la plateforme et à travers plusieurs services principaux de la plateforme, y compris des informations sur :