Condensé #32 - Semaine du 1 decembre 2022

Le condensé de la semaine:

🎮 Le Parlement européen plaide pour une stratégie européenne à long terme en matière de jeux vidéo et d'esports.

⚖️ La Cour de justice de l'Union européenne met fin à l'accès public illimité au registre UBO.

💰 Discord: Amende de 800 000 EUR pour infraction au RGPD.


En une ligne dans le reste du monde.

Par Malik Aouadi.

Par Malik Aouadi.

Les lectures qui m'ont marqué récemment:

1. L'État de surveillance chinois prouve que la notion de vie privée est plus "malléable" que l'on pourrait le croire par le MIT Technology Review sur la promesse d'une vie plus sûre et plus simple contre un abandon total de la vie privée.
   

2. Clearview a volé mon visage et l'UE ne peut rien y faire par le The Wire sur la difficulté d'imposer des pénalités en matière de protection des données à des entreprises situées en dehors de l'Europe.

Le Parlement européen plaide pour une stratégie européenne à long terme en matière de jeux vidéo et d'esports

Mi-novembre, le Parlement européen a adopté une résolution sur l'esport et les jeux vidéo de manière assez inattendue. Avec ce texte, le Parlement invite principalement la Commission et le Conseil:

• à reconnaître la valeur de l’écosystème des jeux vidéos en tant qu’industrie culturelle et créative majeure (Cultural and creative Industries dans le texte européen) et de sa marge de croissance et d’innovation significative;
  

• à l’élaboration d’une stratégie européenne cohérente à long terme, en vue d’en faire bénéficier les acteurs concernés et en s’appuyant sur les stratégies nationales déjà existantes.

Les principaux défis

Dans sa résolution, le Parlement souligne l’importance de divers facteurs que la Commission et le Conseil devront prendre en compte en vue de créer un écosystème européen en matière de jeux vidéo:

Pour remplir cet objectif, la Commission est invitée à élaborer une stratégie européenne et une charte visant  à promouvoir les valeurs européennes dans l’esport d’ici 2030, en se focalisant notamment sur l’accès aux talents, les moyens de financements ou encore le développement d’infrastructures.

Une mesure non-contraignante mais symbolique

La résolution n'a pas de poids juridique en soi - elle n'entraînera pas de changements immédiats ou de financement d'initiatives - mais elle s'inscrit dans un débat plus large sur l'avenir de l'Europe, c'est donc plus qu'un simple appel symbolique à l'action. Le constat est toutefois explicitement posé: il faut désormais prendre les industries du jeux vidéo et l’esport au sérieux.

Cour de Justice de l'Union européenne met fin à l'accès public illimité au registre UBO

La Cour de justice de l’Union européenne a décidé que le grand public ne devait pas être en mesure d'accéder aux registres publics de propriété effective, ce qui restreint considérablement la transparence des données relatives à la propriété des entreprises et pourrait compliquer les vérifications et les enquêtes. 

Le registre UBO et la directive anti-blanchiment

En Belgique, conformément à une directive européenne en matière de lutte contre le blanchiment, le registre public UBO (Ultimate Beneficial Ownership) a été lancé au cours de l’été 2018. Celui-ci a été conçu comme un guichet unique d'informations sur la propriété des entreprises et constitue une mesure clé pour lutter contre le blanchiment d'argent, l’évasion fiscale et le financement du terrorisme. Concrètement, ce registre est au cœur des efforts déployés pour accroître la transparence des transactions financières et faire en sorte qu'il soit plus difficile pour les criminels d'utiliser les entreprises comme outils pour commettre des méfaits.

L’arrêt

À l’instar de la Belgique, le Luxembourg a établi un tel registre, exigeant qu'une variété d'informations sur les bénéficiaires effectifs des entités soient enregistrées et conservées dans le registre et que celui-ci soit accessible par tout un chacun.

Deux actions ont été introduites devant le Tribunal d'Arrondissement de Luxembourg par une société luxembourgeoise et par le bénéficiaire effectif d'une telle société, qui avaient demandé en vain au Tribunal de limiter l'accès du public aux informations les concernant. Cette juridiction a posé à la Cour de justice une série de questions préjudicielles sur l'interprétation de certaines dispositions de la directive anti-blanchiment, ainsi que sur sa validité au regard du droit de l'Union européenne.

La Cour de justice, dans sa décision du 22 novembre 2022 (C-37/22), invalide la disposition de cette directive imposant aux États membres de veiller à ce que les informations sur les bénéficiaires effectifs soient accessibles à "toute personne". Cette dernière estime que l'accès public aux informations sur les bénéficiaires effectifs constitue une entrave sérieuse aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés respectivement par les articles 7 et 8 de la Charte. Bien que la Cour concède que le législateur européen poursuit un objectif d’intérêt général, ce qui l’aurait rendu apte à justifier une telle ingérence, elle estime que l’entrave provoquée par la disposition n’est pas proportionnée à l’objectif poursuivi.

Et maintenant?

Un peu partout en Europe, les États membres commencent à réfléchir aux mesures à prendre pour se conformer à l'arrêt. En Belgique, le SPF finance a d’ores et déjà suspendu l’accès au registre.

Discord : Amende de 800 000 EUR pour infraction au RGPD

Conçue initialement pour la communauté du jeu vidéo, Discord est devenue une plateforme de messagerie instantanée très prisée qui a vu son utilisation se diversifier avec le temps. Grande entreprise disposant de données sur des millions d’européens et ayant son siège social basé aux Etats-Unis, il n’en fallait pas plus pour que l’entreprise se retrouve dans le collimateur de certaines autorités de protection de données.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui s’est chargée du bon respect de la législation européenne en matière de protection des données au sein de l’entreprise américaine. Malheureusement pour cette dernière, l’organe français a constaté de nombreux manquements aux obligations prévues par le RGPD :

• Un manquement à l’obligation de définir et de respecter une durée de conservation des données adaptéé à l’objectif visé (article 5.1.e du RGPD) – Sans politique de conservation de données, Discord possédait toujours les données relatives à 2 474 000 comptes d’utilisateurs français n’ayant pas utilisé leur compte depuis plus de trois ans et 58 000 comptes non utilisés depuis plus de cinq ans.
  

• Un manquement à l’obligation d’information (article 13 du RGPD) - notamment en référence à l'absence de politique de conservation des données.
  

• Un manquement à l’obligation de garantir la protection des données par défaut (article 25.2 du RGPD) – contrairement à la majorité des autres services similaires, quand un utilisateur fermait la fenêtre Discord sur Microsoft Windows, l’application restait en arrière-plan. L’autorité estime que Discord devait spécifiquement informer les utilisateurs qu’à travers un tel système, leurs paroles continuaient à être transmises et entendues par des tiers.
  

• Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) – la CNIL a notamment estimé que la politique de gestion des mots de passe n’était pas suffisamment sécurisée.
  

• Un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (article 35 du RGPD) – alors que la société américaine estimait qu’une telle analyse n’était pas nécessaire, l’organe a considéré, notamment en raison du volume de données traitées par l’entreprise et de l’utilisation massive de ces services par des mineurs, qu’une telle analyse aurait du être effectuée.

Au regard de ces manquements, la CNIL a décidé d’imposer une amende de 800 000 euros à l’entreprise de messagerie instantanée. Bien que la somme soit conséquente, l’organe a précisé avoir pris en compte les efforts réalisés par la société en vue de se conformer aux obligations et le fait que son business model ne soit pas fondé sur l’exploitation des données personnelles.

Dans le reste du monde:

• Dans le reste du monde:
   

  • Métavers : premier rapport au gouvernement français.
    

  • Le bitcoin et l'ether ne sont pas considérés comme des titres en Belgique.
    

  • L’une des plus grandes fuites de données publiques en Belgique: une zone de police piratée, des milliers de PV et amendes en ligne.
    

  • La TV chinoise floute les spectateurs lors de la diffusion de la coupe du monde.
    

  • Sorare ne sera pas requalifié en jeu d'argent et de hasard.
    

  • La France dit non à Office 365 et Google Workspace à l'école.
    

  • L’offre Airbnb pourrait sensiblement s’appauvrir à Bruxelles.
    

  • Le World Justice Project publie son rapport annuel sur le respect de l'état de droit dans les pays du monde. Le Danemark est premier, le Venezuela dernier.
    

  • La chute de FTX en 99 secondes.
    

  • La Commission présente un règlement tant attendu sur les locations de courte durée.
    

  • Réclamation massive contre Twitter pour avoir vendu les données de 11 millions d'utilisateurs néerlandais.
    

  • Belgique: Les caméras qui détectent l’utilisation du téléphone au volant sont illégales.
    

  • Les panneaux publicitaires dans le ciel sont enfin là.
    

  • Call of Duty retire une carte du jeu suite aux critiques d’un hôtel représenté sans son accord.
    

  • Google s'associe à une société de technologie médicale pour développer des outils de dépistage du cancer du sein par l'IA.
    

  • Meta écope d'une amende de 276 millions de dollars pour une fuite de données sur Facebook concernant plus de 533 millions d'utilisateurs.
    

  • Meta remporte une victoire par défaut de 200 000 dollars contre un prétendu marchand de likes Instagram.