Les organismes gouvernementaux allemands invités à supprimer leurs pages Facebook avant l’année prochaine – TechCrunch

[ad_1]

Le commissaire fédéral allemand à l’information a perdu patience avec Facebook.

Le mois dernier, Ulrich Kelber écrit aux agences gouvernementales « fortement recommandé[ing] » ils ont fermé leurs pages Facebook officielles en raison de problèmes persistants de conformité à la protection des données et de l’échec du géant de la technologie à résoudre le problème.

Dans la lettre, Kelber avertit les organismes gouvernementaux qu’il a l’intention de commencer à prendre des mesures coercitives à partir de janvier 2022 – en leur donnant essentiellement une date limite de l’année prochaine pour retirer leurs pages de Facebook.

Attendez-vous donc ne pas pour voir les pages Facebook officielles des organismes gouvernementaux allemands dans les prochains mois.

Bien que la propre agence de Kelber, le BfDi, ne semble pas avoir de page Facebook (bien que les algorithmes de Facebook semblent générer cette talon artificiel si vous essayez d’en rechercher un), de nombreux autres organismes fédéraux allemands le font, comme le ministère de la Santé, dont la page publique compte plus de 760 000 abonnés.

La seule alternative à la disparition de telles pages de la plate-forme de Facebook d’ici Noël – ou à l’ordre de suppression par Kelber au début de l’année prochaine – semble être que le géant de la technologie apporte des changements plus substantiels à la façon dont ses opérateurs de plate-forme qu’il l’a proposé jusqu’à présent. , permettant aux Pages d’être gérées en Allemagne d’une manière conforme au droit de l’UE.

Cependant, Facebook ignore depuis longtemps les attentes en matière de confidentialité et les lois sur la protection des données.

Il s’est également montré très récemment plus que disposé à réduire la qualité des informations disponibles pour les utilisateurs – si cela sert ses intérêts commerciaux (par exemple, pour faire pression contre une loi sur le code des médias, comme les utilisateurs en Australie peuvent en témoigner).

Il semble donc plus probable que les agences gouvernementales allemandes soient bientôt celles qui doivent se retirer discrètement de la plate-forme…

Kelber dit qu’il a évité de prendre des mesures sur les pages Facebook des ministères jusqu’à présent en raison des organismes publics faisant valoir que leurs pages Facebook sont un moyen important pour eux d’atteindre les citoyens.

Cependant, sa lettre souligne que les organismes gouvernementaux doivent être des « modèles » en matière de conformité légale – et ont donc « un devoir particulier » de se conformer à la loi sur la protection des données. (Le CEPD adopte une approche similaire en examinant l’utilisation par les institutions européennes des géants américains des services cloud.)

Selon son évaluation, un « addendum » fourni par Facebook en 2019 ne corrige pas le problème de conformité et il conclut que Facebook n’a apporté aucune modification à ses opérations de traitement des données pour permettre aux opérateurs de Page de se conformer aux exigences énoncées dans le règlement général de l’UE sur la protection des données. .

Une décision de la plus haute juridiction européenne, en juin 2018, est particulièrement pertinente ici, car elle a statué que l’administrateur d’une page de fans sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de la page.

Cela signifie que les opérateurs de ces pages sont également soumis à des obligations de conformité en matière de protection des données et ne peuvent pas simplement supposer que les CGU de Facebook leur fournissent une couverture juridique pour le traitement des données entrepris par le géant de la technologie.

Le problème, en un mot, est que Facebook ne fournit pas à Pages fonctionne avec suffisamment d’informations ou d’assurances sur la façon dont il traite les données des utilisateurs – ce qui signifie qu’ils ne sont pas en mesure de se conformer aux principes de responsabilité et de transparence du RGPD car, par exemple, ils sont incapable d’informer adéquatement les abonnés de leur page Facebook de ce qui est fait avec leurs données.

Il n’y a également aucun moyen pour les opérateurs de pages Facebook de désactiver (ou de bloquer) un traitement plus large de leurs abonnés de page par Facebook. Même s’ils n’utilisent aucune des fonctionnalités d’analyse que Facebook fournit aux opérateurs de Page.

Le traitement se produit toujours.

En effet, Facebook utilise un modèle à prendre ou à laisser de « optimisation des données » – pour alimenter ses moteurs de ciblage publicitaire.

Mais c’est une approche qui pourrait se retourner contre elle si elle finit par réduire définitivement la qualité des informations disponibles sur son réseau en raison d’une migration massive de services clés hors de sa plate-forme. Comme, par exemple, chaque agence gouvernementale de l’UE a supprimé sa page Facebook.

Un connexe article de blog sur le site du BfDi laisse également espérer que des « réseaux sociaux conformes à la protection des données » pourraient se développer dans le vide de conformité de Facebook.

Certes, il pourrait y avoir une opportunité concurrentielle pour les plateformes alternatives qui cherchent à vendre des services basés sur le respect des droits des utilisateurs.

La page Facebook vérifiée du ministère fédéral allemand de la Santé (Capture d’écran : TechCrunch/Natasha Lomas)

À propos de l’intervention du BfDis, Luca Tosoni, chercheur au Centre de recherche norvégien pour l’informatique et le droit de l’Université d’Oslo, a déclaré à TechCrunch : « Ce développement est strictement lié à la jurisprudence récente de la CJUE sur le contrôle conjoint. En particulier, elle prend en compte l’arrêt Wirtschaftsakademie, qui a estimé que l’administrateur d’une page Facebook devrait être considéré comme un responsable du traitement conjoint avec Facebook en ce qui concerne le traitement des données personnelles des visiteurs de la page.

« Cela ne signifie pas que l’administrateur de la page et Facebook partagent une responsabilité égale pour toutes les étapes des activités de traitement des données liées à l’utilisation de la page Facebook. Cependant, ils doivent avoir un accord en place avec une répartition claire des rôles et des responsabilités. Selon le commissaire fédéral allemand à la protection des données et à la liberté d’information, l’actuel « Addendum » de protection des données de Facebook ne semble pas suffisant pour répondre à cette dernière exigence. »

« Il convient de noter que, dans son arrêt Fashion ID, la CJUE a estimé que les obligations du RGPD pour les responsables conjoints du traitement sont proportionnelles aux étapes de traitement des données au cours desquelles ils exercent réellement un contrôle », a ajouté Tosoni. « Cela signifie que les obligations de protection des données d’un administrateur de page Facebook auraient normalement tendance à être assez limitées. »

Avertissements pour d’autres services de médias sociaux

Ce problème de conformité particulier affecte Facebook en Allemagne – et potentiellement tout autre marché de l’UE. Mais ohLes services de médias sociaux peuvent également être confrontés à des problèmes similaires.

Par exemple, la lettre de Kelber signale un audit en cours d’Instagram, de TikTok et de Clubhouse – mettant en garde contre les «déficits» dans le niveau de protection des données qu’ils offrent également.

Il poursuit en recommandant aux agences d’éviter d’utiliser les trois applications sur des appareils professionnels.

Dans un précédent, Bilan 2019 de l’utilisation des services de médias sociaux par les organismes gouvernementaux, le BfDi a suggéré que l’utilisation de Twitter pourrait – en revanche – être conforme aux règles de protection des données. Au moins si les paramètres de confidentialité étaient entièrement activés et les analyses désactivées, par exemple.

À l’époque, le BfDi avait également averti qu’Instagram, propriété de Facebook, était confronté à des problèmes de conformité similaires à ceux de Facebook, étant soumis à la même approche « abusive » du consentement qui, selon lui, avait été adoptée par l’ensemble du groupe.

Contacté pour commenter les dernières recommandations de Kelber aux agences gouvernementales, Facebook n’a pas répondu à nos questions spécifiques, nous envoyant plutôt cette déclaration générique :

« Fin 2019, nous avons mis à jour l’addendum Page Insights et clarifié les responsabilités des administrateurs de Facebook et de Page, pour lesquelles nous avons pris en compte les questions de transparence du traitement des données. Il est important pour nous que les agences fédérales puissent également utiliser les pages Facebook pour communiquer avec les personnes sur notre plate-forme d’une manière conforme à la confidentialité. »

Une complication supplémentaire pour Facebook est survenue à la suite de l’insécurité juridique qui a suivi l’arrêt Schrems II de l’été dernier par la CJUE.

La plus haute juridiction européenne a invalidé l’accord du bouclier de protection des données UE-États-Unis, qui avait permis aux entreprises de certifier elles-mêmes un niveau adéquat de protection des données, supprimant ainsi la voie la plus simple pour transférer les données personnelles des utilisateurs de l’UE vers les États-Unis. Et bien que le tribunal n’ait pas totalement interdit les transferts internationaux de données personnelles des utilisateurs de l’UE, il a clairement indiqué que les agences de protection des données doivent intervenir et suspendre les flux de données si elles soupçonnent que des informations sont déplacées vers un endroit, et de telle manière, qu’il est mettre en danger.

Suite à Schrems II, les transferts vers les États-Unis sont clairement problématiques lorsque les données sont traitées par une entreprise américaine soumise à la FISA 702, comme c’est le cas avec Facebook.

En effet, les transferts de données de Facebook entre l’UE et les États-Unis étaient la cible initiale du plaignant dans l’affaire Schrems II (par l’éponyme Max Schrems). Et une décision reste en suspens quant à savoir si le principal superviseur des données de l’UE du géant de la technologie donnera suite à une commande préliminaire l’année dernière lui demandant de suspendre ses flux de données de l’UE – dus dans les mois à venir.

Même avant ce bilan tant attendu en Irlande, d’autres APD de l’UE interviennent maintenant pour prendre des mesures – et la lettre de Kelber fait référence à la décision Schrems II comme un autre sujet de préoccupation.

Tosoni convient que l’application du RGPD passe enfin à la vitesse supérieure. Mais il a également suggéré que le respect de la décision Schrems II comportait de nombreuses nuances, étant donné que chaque flux de données doit être évalué au cas par cas – avec une série de mesures supplémentaires que les contrôleurs peuvent être en mesure d’appliquer.

« Ce développement montre également que les autorités européennes de protection des données prennent au sérieux l’application des exigences de transfert de données GDPR telles qu’elles sont interprétées par la CJUE dans Schrems II, car le commissaire fédéral allemand à la protection des données et à la liberté a signalé cela comme un autre problème », a-t-il déclaré.

« Cependant, le commissaire fédéral allemand a envoyé sa lettre sur l’utilisation des pages Facebook quelques jours avant que le CEPD n’adopte la version finale de ses recommandations sur des mesures supplémentaires pour les transferts internationaux de données à la suite de l’arrêt de la CJUE Schrems II. Par conséquent, il reste à voir comment les autorités allemandes de protection des données prendront en compte ces nouvelles recommandations dans le cadre de leur future évaluation de la conformité RGPD de l’utilisation des pages Facebook par les autorités publiques allemandes.

« Ces recommandations n’établissent pas une interdiction générale des transferts de données vers les États-Unis, mais imposent l’adoption de garanties strictes, qui devront être suivies pour continuer à transférer les données des visiteurs allemands des pages Facebook vers les États-Unis. »

Un autre arrêt récent de la CJUE a réaffirmé que les agences de protection des données de l’UE peuvent, dans certaines circonstances, prendre des mesures lorsqu’elles ne sont pas le superviseur principal des données pour une entreprise spécifique dans le cadre du mécanisme de guichet unique du RGPD — élargissant la possibilité de litiges par des chiens de garde dans États membres si une agence locale estime qu’il est urgent d’agir.

Bien que, dans le cas de l’utilisation des pages Facebook par les organismes gouvernementaux allemands, la décision antérieure de la CJUE sur le contrôle de droit commun signifie que le BfDi a déjà clairement compétence pour cibler les pages Facebook de ces agences lui-même.



[ad_2]

Source link

Laisser un commentaire