Il s'agit d'une première réaction à une information en cours de développement. Pour tout changement et/ou mise à jour de notre déclaration, veuillez consulter à nouveau cette page.
Malgré les vives critiques de la société civile et d'une grande partie du Parlement européen, la Commission européenne vient de publier sa proposition de "Digital Omnibus". Contrairement à ce qu'indique le communiqué de presse officiel de la Commission, ces changements n'ont pas pour but de " [...]maintenir le plus haut niveau de protection des données personnelles"mais abaissent massivement les protections pour les Européens. Alors qu'ils ne présentent aucun avantage réel pour les petites et moyennes entreprises européennes, les changements proposés sont un cadeau pour les grandes entreprises technologiques américaines, car ils ouvrent de nombreuses nouvelles failles que leurs départements juridiques pourront exploiter. Schrems : "Il s'agit de la plus grande attaque contre les droits numériques des Européens depuis des années. Lorsque la Commission déclare qu'elle "maintient les normes les plus élevées, c'est manifestement faux. Elle propose de saper ces normes."
La plus importante réduction des droits à la vie privée depuis des années. Les groupes de pression de l'industrie ont réussi à utiliser la crainte de l'Europe face à la pression économique mondiale pour demander des réductions massives des droits numériques des Européens. Les changements abrupts proposés aujourd'hui pourraient remettre en cause plus de 40 ans de position européenne claire contre la surveillance commerciale par des acteurs privés, comme le prévoit également l'article 8 de la Charte européenne des droits fondamentaux et comme le soutient largement l'opinion publique européenne.
Max Schrems : "L'Omnibus numérique profiterait principalement aux grandes entreprises technologiques, sans apporter d'avantages tangibles aux entreprises européennes moyennes. Cette proposition de réforme est un signe de panique quant à l'élaboration de l'avenir numérique de l'Europe, et non un signe de leadership. Ce dont nous avons vraiment besoin, c'est d'un plan stratégique à long terme bien conçu pour faire avancer l'Europe
Peu de soutien politique pour les changements. La Commission européenne a sorti cette réforme du GDPR d'un chapeau malgré le fait que la plupart des États membres de l'UE avaient explicitement demandé de ne pas rouvrir le GDPR. En outre, des textes ayant fait l'objet d'une fuite la semaine dernière ont suscité une forte opposition de la part des groupes Centre et Gauche du Parlement européen (S&D, Renouveau et Verts) qui ont explicitement demandé à la Commission d'arrêter ces coupes massives dans le GDPR. En outre, 127 organisations de la société civile se sont prononcées en faveur de l'adoption du GDPR, 127 organisations de la société civile (dont le noyb) ont vivement critiqué l'incursion inattendue de la Commission et la fuite du texte.
Néanmoins, aujourd'hui, sous la direction de la présidente de la Commission, Ursula von der Leyen, De la vice-présidente Henna Virkkunen et du commissaire à la justice Michael McGrath Michael McGrath, commissaire chargé de la justice, la Commission a décidé de procéder à des coupes importantes dans le GDPR. Il est question d'une pression politique massive au sein de la Commission pour réduire les lois - sans processus ou analyse appropriés.
Max Schrems : "Le public, les États membres et le Parlement européen n'apportent qu'un soutien politique limité à ces réductions. Il semble que la Commission européenne essaie simplement de passer devant tout le monde par le biais d'une procédure accélérée, qui ressemble plus à une réaction de panique qu'à un processus législatif bien réfléchi et basé sur des preuves"
Contexte : Influence allemande ou américaine ? L'une des forces motrices de la réforme pour laquelle la "preuve écrite est l'Allemagne. Certaines voix soulignent également le récent rapport de Politicoselon lequel le message de M. Virkkunen aux entreprises américaines lors de réunions directes était que l'UE deviendrait plus "favorable aux entreprises". Il y a également des rapports faisant état de pressions croissantes de la part de l'administration Trump pour que l'UE réduise ses protections afin d'éviter les droits de douane.
Si l'on ne sait pas exactement d'où viennent ces pressions, il est clair que la Commission européenne a, de manière surprenante et secrète, dépassé de loin le plan initial de l'"Omnium numérique" plan initial pour le "Digital Omnibus"qui ne devrait pas qui n'aurait pas dû inclure de modifications du GDPR.
La Commission européenne "bouge vite - et casse tout". Au lieu de s'en tenir au projet initial d'un "Digital Fitness Check" en 2026 pour réduire les charges administratives, la Commission européenne semble avoir suivi la devise de la Silicon Valley, à savoir "[ ?aller vite et tout casser"pour faire passer des réformes sur des règles fondamentales dans le cadre d'une procédure "accélérée". L'absence d'évaluation d'impact ou de collecte d'éléments probants jette par-dessus bord les principes établis de longue date en matière de normes minimales pour l'élaboration de la législation de l'UE et se traduit par des changements erratiques de type "trumpien". Il en résulte une très mauvaise rédaction et une législation qui n'est pas adaptée à l'objectif visé.
Max Schrems : "Ces changements sont intervenus sans procédures appropriées et ne sont pas fondés sur des preuves, mais plutôt sur la peur et les affirmations de l'industrie. aller vite et tout casser" n'est pas une devise qui permet de faire passer une législation qui affecte non seulement la vie de 450 millions de personnes, mais aussi le bon fonctionnement de nos sociétés et de nos démocraties."
une "vision tunnel de l'IA". La réforme proposée du GDPR semble viser principalement à éliminer tout obstacle susceptible de limiter l'utilisation des données personnelles, telles que les données des médias sociaux, pour l'IA. Cependant, nombre de ces changements auraient des conséquences massives pour la société dans d'autres domaines que l'IA, tels que la publicité en ligne.
Max Schrems : "L'intelligence artificielle pourrait être l'une des technologies les plus impactantes et les plus dangereuses pour notre démocratie et notre société. Néanmoins, le récit d'une "course à l'IA" a conduit les responsables politiques à jeter par la fenêtre des protections qui auraient dû précisément nous protéger contre le fait que toutes nos données soient intégrées dans un grand algorithme opaque."
Aucun avantage pour les PME européennes - mais ouverture des vannes pour les "gros". Malgré les fréquentes promesses d'alléger le fardeau qui pèse sur les petites entreprises européennes, les changements proposés sont tout sont tout sauf une simplification. La plupart des articles deviennent plus complexes, moins clairs et moins logiques. Plutôt que de s'efforcer de réduire la paperasserie (qui est le principal problème des entreprises européennes), la Commission introduit des lacunes juridiques que seules les grandes entreprises et les grands cabinets d'avocats seront en mesure d'exploiter.
Max Schrems : "Alors que la Commission ne cesse d'affirmer que cette réforme serait bénéfique pour les petites entreprises, ces changements ne leur apportent pas grand-chose. Les modifications apportées à des lois bien établies ne feront qu'accroître la concentration du marché, augmenter l'incertitude juridique, générer de nouveaux procès et nécessiter des conseils juridiques plus coûteux. Les seuls véritables bénéficiaires sont les grandes entreprises technologiques et les cabinets d'avocats
La mort par 1000 coupes. Selon la consultation publique organisée par la Commission en octobre, les aspects de la proposition liés à la protection des données auraient dû être principalement axés sur la lutte contre la lassitude suscitée par les "bannières de cookies". Cependant, aujourd'hui, la Commission a présenté des coupes sombres dans le GDPR. Beaucoup de ces coupes semblent violer, ou du moins entrer en conflit avec le droit à la protection des données de l'article 8 de la Charte des droits fondamentaux de l'UE.
Voici un premier aperçu des principaux problèmes :
(1) Une nouvelle faille dans le GDPR via les "pseudonymes" ou les "ID". La Commission propose de restreindre considérablement la définition des "données à caractère personnel", ce qui aurait pour conséquence que le GDPR ne s'appliquerait pas à de nombreuses entreprises dans divers secteurs. Par exemple, les secteurs qui utilisent actuellement des "pseudonymes" ou des numéros d'identification aléatoires, tels que les courtiers en données ou l'industrie de la publicité, ne seraient plus (entièrement) couverts. Cela se ferait par l'ajout d'une "approche subjective"dans le texte du GDPR.
Au lieu d'avoir une définition objective des données à caractère personnel (par exemple, des données liées à une personne directement ou indirectement identifiable), une définition subjective signifierait que si une entreprise spécifique affirme qu'elle ne peut pas (encore) ou ne vise pas à (actuellement) identifier une personne, le GDPR cesse de s'appliquer. Une telle décision au cas par cas est intrinsèquement plus complexe et n'a rien d'une "simplification". Cela signifie également que les données peuvent être "personnelles" ou non en fonction du raisonnement interne d'une entreprise ou des circonstances actuelles. Cela peut également rendre la coopération entre les entreprises plus complexe, car certaines relèveront du GDPR et d'autres non.
En outre, une telle définition "subjective"ne permet pas aux utilisateurs ou aux autorités de savoir si le GDPR s'applique dans chaque cas. Dans la pratique, cela peut rendre le GDPR difficilement applicable en raison de débats et de désaccords interminables sur les véritables intentions et projets d'une entreprise.
Max Schrems : "C'est comme une loi sur les armes à feu qui ne s'applique que lorsque le propriétaire confirme qu'il est capable de manier une arme et qu'il a l'intention de tirer sur quelqu'un. Il est évident que de telles définitions subjectives sont absurdes"
(2) Extraire des données personnelles de votre appareil ? Jusqu'à présent, l'article 5, paragraphe 3, du règlement "vie privée et communications électroniques" protégeait les utilisateurs contre l'accès à distance aux données stockées sur des "équipements terminaux", tels que les PC ou les smartphones. Cette disposition se fonde sur le droit à la protection des communications prévu à l'article 7 de la Charte des droits fondamentaux de l'Union européenne et garantit que les entreprises ne peuvent pas "fouiller à distance" les appareils.
La Commission ajoute maintenant des opérations de traitement "en liste blanche" pour l'accès aux équipements terminaux, qui incluraient des "statistiques agrégées" et des "finalités de sécurité". Bien que l'orientation générale des changements soit compréhensible, la formulation est extrêmement permissive et permettrait également des "recherches" excessives sur les appareils des utilisateurs à des fins (minuscules) de sécurité.
(3) Entraînement à l'IA de Meta ou Google avec les données personnelles de l'UE ? Lorsque Meta ou LinkedIn ont commencé à utiliser les données des médias sociaux, ils ont été largement impopulaires. Dans une étude récente, par exemple seuls 7 % des Allemands déclarent vouloir que Meta utilise leurs données personnelles pour former l'IA. Néanmoins, la Commission souhaite désormais autoriser l'utilisation de données hautement personnelles (comme le contenu de plus de 15 ans d'un profil de média social) pour l'entraînement de l'IA par les Big Tech.
Max Schrems : "Il n'y a absolument aucun soutien public pour que Meta ou Google intègrent les données personnelles des Européens dans leurs algorithmes. Pendant des années, on nous a dit qu'il ne fallait pas s'inquiéter, car nos données personnelles seraient utilisées pour nous "connecter" ou, au mieux, pour cibler une publicité. Aujourd'hui, toutes vos données sont intégrées dans les algorithmes de Meta, Google ou Amazon. Il est ainsi plus facile pour les systèmes d'intelligence artificielle de connaître les détails les plus intimes et, par conséquent, de manipuler les gens. Cela profite principalement à l'industrie américaine, qui pèse des milliers de milliards de dollars, et qui construit des modèles à partir de nos données personnelles"
La Commission européenne prévoit que les utilisateurs peuvent se retirer, mais les entreprises et les utilisateurs ne savent généralement pas à qui appartiennent les données contenues dans un ensemble de données d'entraînement. Même s'ils le savaient, les utilisateurs devraient se désinscrire des milliers de fois par an, chaque fois qu'une autre entreprise entraîne un algorithme avec leurs données.
Max Schrems : "L'approche de l'opt-out ne fonctionne pas dans la pratique. Les entreprises ne disposent pas des données contractuelles des utilisateurs et ces derniers ne savent pas qui forme des algorithmes à partir de leurs données. L'approche opt-out est une tentative de la Commission de mettre une feuille de vigne sur cette activité de traitement manifestement illégale."
La Commission ne veut pas seulement privilégier la formation des systèmes d'IA, mais aussi le "fonctionnement" de ces systèmes. Cela reviendrait à créer un "joker" où un traitement autrement illégal deviendrait légal, simplement parce qu'il est effectué à l'aide de l'IA.
Max Schrems : "Habituellement, les technologies plus risquées doivent satisfaire à des normes plus strictes. La proposition de la Commission ouvre maintenant les vannes dès que l'IA est utilisée - alors que le traitement traditionnel des données tomberait toujours sous le coup des lois actuelles. C'est insensé."
(4) Les droits des utilisateurs réduits à presque zéro - à la demande des Allemands ? Sur la base d'un débat national selon lequel les droits d'accès au GDPR peuvent être utilisés pour prouver, par exemple, le non-paiement d'un contrat de travail, le gouvernement allemand a demandé une limitation massive des droits d'utilisateur Le gouvernement allemand a exigé une limitation massive de ces droits - qualifiant cette utilisation d'"abus", alors que le GDPR contient déjà une clause d'"abus". La Commission a suivi la demande allemande et propose de limiter l'utilisation du droit d'accès de la personne concernée aux seules "finalités de protection des données".
Inversement, cela signifie que si un employé utilise une demande d'accès dans le cadre d'un conflit du travail portant sur des heures non rémunérées - par exemple, pour obtenir un relevé des heures qu'il a effectuées - l'employeur pourrait la rejeter en la qualifiant d'"abusive". Il en va de même pour les journalistes ou les chercheurs. D'une manière générale, cela pourrait même aller plus loin. Si une personne demande l'accès à ses données afin, par la suite, d'effacer de fausses données de classement de crédit pour obtenir un prêt moins cher à la banque, ces droits ne peuvent pas être exercés uniquement pour une "finalité de protection des données", mais pour des raisons d'intérêt économique.
Cette limitation constitue une violation manifeste de la jurisprudence de la CJUE et de l'article 8, paragraphe 2, de la Charte. Le droit à l'autodétermination en matière d'information vise explicitement à combler le fossé entre les utilisateurs et les entreprises qui détiennent les informations, étant donné que de plus en plus d'informations sont cachées sur les serveurs des entreprises (par exemple, une copie des feuilles de présence). La CJUE a statué à plusieurs reprises que l'on pouvait exercer ces droits à n'importe quelle fin, y compris dans le cadre d'un litige ou pour produire des preuves.
Max Schrems : "Cette modification constitue une violation manifeste de la Charte et de la jurisprudence de la CJUE. Elle sera utilisée par les contrôleurs dans toute l'Europe pour continuer à porter atteinte aux droits des utilisateurs. En réalité, ce ne sont pas les citoyens qui abusent largement des droits conférés par le GDPR, mais les entreprises qui ne respectent pas ces droits. Le fait de réduire encore davantage les droits des utilisateurs montre à quel point la Commission est détachée de l'expérience quotidienne des utilisateurs."
le travail de noyb n'est possible que grâce à nos 5 287 membres bienfaiteurs. Vous souhaitez vous aussi nous soutenir ?
