Condensé #26 - Semaine du 6 Avril 2022

L'Europe s'accorde sur le contenu du règlement sur les marchés numériques

UE - USA: Nouvel accord pour les transferts de données personnelles outre-Atlantique

Les aéroports belges condamnés pour avoir contrôlé la température de leurs usagers

En une ligne dans le reste du monde.

Par Malik Aouadi.

L'Europe s'accorde sur le contenu du règlement sur les marchés numériques

Initiés par l’Union européenne, le règlement sur les marchés numériquesDigital Market Act (Digital Market Act) et son acolyte le règlement sur les services numériques (Digital Service Act) ont pour objectif de limiter la domination des Big Tech sur le secteur du numérique et à limiter la prolifération de contenus illicites en ligne.

Qui sont les concernés?

Alors que la Commission européenne estime à plus de 10 000 les plateformes opérant actuellement en ligne sur le marché européen numérique, seule une infime partie profite de la majorité des revenus générés par ces activités.
C’est dans le but d’encadrer l’activité économique de ces leaders et de faciliter la concurrence d’autres sociétés que la Commission souhaite encadrerces « contrôleurs d’accès » (tels qu’ils sont définis dans le texte). 

Selon les termes de l’accord du 24 mars, une plateforme sera considérée comme « contrôleur d’accès » si :

• Elle bénéficie d’une position économique forte - plus de 7,5 milliards de chiffres d’affaires réalisés dans l’espace économique européen ou une capitalisation boursière de plus de 75 milliards d’euros avec une activité dans au moins trois États membres

• Elle contrôle « un service de plateforme essentiel » - est utilisée par plus de 45 millions d’Européens par mois et plus de 10 000 professionnels par an

• Sa position doit présenter un caractère « solide et durable » - le dépassement de ces paliers doit avoir eu lieu au cours des 3 années précédentes.

Limiter les tendances monopolistiques

Bien qu’ils ne soient pas explicitement cités, il est évident qu’à travers ce règlement, le législateur européen vise à freiner la domination quelquefois déloyale des GAFAM (Google, Apple, Facebook, Amazon et Microsoft). 

Ces nouvelles règles applicables aux contrôleurs d’accès, issues d’années de lutte contre les violations des règles de concurrence dans l’espace économique numérique, comprennent notamment :

• La limitation de vente groupée de services (comme le faisait Android avec le moteur de recherche Google).
  

• L’interdiction de combiner les données récoltées sur différents services, moins d’avoir obtenu le consentement explicite de l’utilisateur concerné (comme Facebook et Instagram le font)
  

• L’interdiction de favoriser ses propres services et d’empêcher les alternatives valables (on pense notamment à Apple et à son Apple store).

Les sanctions en cas d'infraction à ces règles pourraient atteindre jusqu'à 10 % du chiffre d'affaires annuel mondial en cas de première infraction et jusqu'à 20 % en cas d'infractions répétées.

L'interopérabilité au centre de l'attention

Il y a encore de cela quelques semaines, de nombreux doutes planaient sur la survie des exigences d’interopérabilité pour les plateformes de messageries avant le fameux trilogue européen.

Et pourtant, les institutions européennes se sont accordées autour de cette disposition clé qui signifie que de grands acteurs tels que Whatsapp, Facebook Messenger ou iMessage devront s’ouvrir et interagir avec de plus petites plateformes de messageries. En d’autres mots, il devra être rendu possible aux utilisateurs d’échanger des messages, de partager des fichiers ou de passer des appels vidéo à travers toutes les applications de messageries. Un véritable casse-tête pour les développeurs et une potentielle transformation de la messagerie instantanée à l'image des emails, où aucune restriction n'est imposée entre fournisseurs.

Quoi qu’il en soit, malgré le fervent lobbying de ces géants d’Internet, cette règlementation marque un tournant majeur dans le rapport de force entre ces derniers et l’Europe. Pour autant, la lutte est loin d’être remportée. Il reste à savoir si ce Digital Market Act parviendra à se fournir de moyens d’application et de supervision suffisamment performants pour renverser le manque de volonté de coopérer et de transparence dont ces entreprises ont régulièrement fait l’étalage.

UE - USA: Nouvel accord pour les transferts de données personnelles outre-Atlantique

Le 25 mars 2022, la Commission européenne et le gouvernement des États-Unis ont annoncé la conclusion d’un nouvel accord de principe portant sur l’échange de données personnelles de l’Union européenne vers les États-Unis conformément aux décisions de la Cour de Justice de l’Union européenne.

Une relation mouvementée

Ce nouvel accord a pour objectif de remplacer le Privacy Shield, le précédent accord liant les deux acteurs que la Cour de Justice de l’Union européenne a invalidé dans sa décision Schrems II en juillet 2020.

L'arrêt Schrems II

L’arrêt Schrems II est un arrêt rendu en juillet 2020 par la Cour de Justice de l’Union européenne invalidant le Privacy Shield, mécanisme alors utilisé pour les transferts de données européennes sur le territoire américain, estimant que celui-ci ne permettait pas une protection des données au moins équivalente à celle accordée par le RGPD.

La Cour ne s’est pas limitée à invalider ce principe et a également imposé des conditions à l’utilisation de clauses contractuelles types, le mécanisme actuel de transfert de données personnelles vers des pays tiers, en exigeant l’imposition de garanties adéquates pour assurer un niveau de protection essentiellement équivalent à celui prévu par le droit communautaire.

Le nouvel accord

Tout comme il l’était imposé sous le Privacy Shield, ce nouvel accord exigera des entreprises participantes qu’elles certifient elles-mêmes le respect de certaines obligations en matière de protection des données.
Cependant, contrairement au Privacy Shield, ce nouvel accord devrait inclure un décret (dans le sens américain d’Executive Order) précisant les engagements du gouvernement américain à réformer ses activités de surveillance. 

C’est du moins ce qu’affirme la déclaration commune de la Maison-Blanche et la Commission européenne, selon laquelle le décret prévoit la fourniture de garanties renforcées en matière de protection de la vie privée, dont notamment la mise en place de garanties contraignantes en vue de limiter l’accès aux données européennes par les autorités américaines. À moins évidemment, que ces dernières estiment l’accès à ces données comme étant « nécessaire et proportionné pour protéger des objectifs de sécurité nationale ». Mmmhh.  

Tout cynisme à part, l'introduction d'un mécanisme innovant est tout de même à saluer. En effet, ce décret établit un nouveau mécanisme recours à deux niveaux permettant l’examen et la résolution des plaintes des sujets européens concernant l’accès à leurs données par les autorités de renseignement américain.
Pour ce faire, ce mécanisme sera constitué d’une Cour de Révision sur la protection des données (dans le texte « Data Protection Review Court »), composée d’individus extérieurs au gouvernement américain et dont l’objectif sera de statuer sur les plaintes et d’ordonner des mesures de réparation si nécessaire. Pour autant, nous ne savons pas encore où siégera ce nouveau tribunal ni sous quelle autorité il sera créé.

Vers un Schrems III inévitable?

De nombreux doutes planent déjà sur la capacité de ce nouvel accord à survivre à l’examen juridique des plus hauts de l’Union européenne.

L’une des questions essentielles sera notamment de déterminer si l’établissement d’un tel tribunal par un décret américain pourra être considéré comme « essentiellement équivalent » au tribunal indépendant et impartial garanti par la Charte de l’Union européenne.

Max Schrems, célèbre avocat et activiste autrichien, dont le nom a été donné aux deux précédentes décisions invalidant les mécanismes de transferts de données personnelles aux Etats-Unis (Schrems I a d’abord invalidé le Safe Harbour, avant que Schrems II n’invalide son successeur), s’est déjà dit prêt à contester ce nouvel accord si ce dernier n’est pas conforme à la législation européenne.

Les aéroports belges condamnés pour avoir contrôlé la température de leurs usagers

Les aéroports de Brussels Zaventem et Brussels South Charleroi se sont vu respectivement infliger une amende de 200.000 et 100.000 euros pour avoir contrôlé la température des passagers dans le cadre de la lutte contre le Covid-19. Pour l’Autorité de protection des données, ces établissements ne disposaient pas de base légale valable en vue de traiter les données de santé de voyageurs.

L'usage de caméras thermiques

Ces contrôles de température ont eu lieu de juin 2020 à mars 2021 en ce qui concerne l’aéroport de Charleroi, et de juin 2020 à janvier 2021 dans le cas de l’aéroport de Zaventem. Les deux aéroports mis en cause ont utilisé des caméras thermiques afin de différencier les voyageurs présentant une température supérieure à 38°C durant les pics de contamination du coronavirus.

Au sein de ces aéroports, les passagers fiévreux se sont vu imposer un contrôle supplémentaire (opérés par Ambuce Rescue Team) et ont de même été contraints de remplir un questionnaire sur d’autres éventuels symptômes du virus. Ces questionnaires ont ensuite été conservés par l’aéroport.

Un avertissement préalable et une amende salée

L’Autorité de protection des données a indiqué qu’en dépit de l’urgence de santé publique, les aéroports n’avaient pas réussi à une base juridique qui permettrait le traitement de telles données considérées comme sensibles en vertu du droit européen. En juin 2020 déjà, l’Autorité avait fait part de ses inquiétudes aux aéroports nationaux, sans que ceux-ci soient valablement pris au sérieux.
Pour ces manquements, la Chambre Contentieuse de l’Autorité impose une réprimande, ainsi qu’une amende à chacun des aéroports :

• 200.000 euros d’amende à Brussels Airport Zaventem

• 100.000 euros d’amende à Brussels South Charleroi

• 20.000 euros à Ambuce Rescue Team

Bien que les amendes semblent élevées, l’Autorité précise qu’elle a tenu compte de la crise sanitaire dans sa décision, « cependant, les règles en matière de vie privée sont une protection essentielle pour les droits et libertés des personnes, et doivent donc être respectées. Il est de notre devoir, en tant qu’Autorité chargée de la protection des données, de les faire appliquer. Notre décision aujourd’hui est d’autant plus importante qu’elle pourra servir de guide pour d’éventuels traitements de données similaires, que ce soit ou non dans le cadre de la crise sanitaire.»

Dans le reste du monde:

• Off-White accepte désormais les paiements par Bitcoin.
  

• Emmanuel Macron lance sa campagne virtuelle sur Minecraft.
  

• L'agence américaine de cybersécurité publie une liste d'outils et de services de sécurité gratuits.
  

• Un tribunal allemand juge légal de démolir des maisons pour produire du charbon.
  

• Plus de 600 millions de dollars de crypto-monnaies volés à Ronin Network derrière le jeu "Axie Infinity".
  

• L'avocate du rappeur Da Uzi s'offre une visite sur scène pendant un concert.
  

• L'Ukraine lance le "Musée de la guerre" du NFT dans le cadre d'un crowdfunding en cryptomonnaie.
  

• France: un Parisien doit 221.000 euros à son propriétaire pour y avoir sous-loué un appart sur Airbnb.
  

• L'autorité britannique de la publicité légifère sur les promotions de cryptomonnaies.
  

• A New York, Uber va intégrer les taxis sur sa plateforme de commande.
  

• Le manque de magistrats est une "menace pour l’état de droit" en Belgique.
  

• Shein fait l'objet d'une action en justice pour contrefaçon de la part de Stussy.
  

• Tinder propose désormais la vérification des antécédents criminels.
  

• Une nouvelle loi autorise les civils ukrainiens à tirer sur les combattants ennemis.