Dernières actualités : données personnelles

Événement des parties prenantes sur les « modèles d’IA » : manifestez votre intérêt à participer

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 5 novembre 2024 (heure à confirmer), visant à recueillir les contributions des parties prenantes dans le cadre d’une demande d’avis au titre de l’art. 64(2) du RGPD relatif aux modèles d’intelligence artificielle (« modèles d’IA ») soumise à l’EDPB par l’autorité irlandaise de protection des données (DPA).

Par le même article, l’EDPB lance également un appel à manifestation d’intérêt afin de sélectionner les participants à l’événement des parties prenantes de l’EDPB sur les modèles d’intelligence artificielle. Vous trouverez de plus amples informations sur cet événement et des instructions sur la manière de s’inscrire ci-dessous.  L’appel sera clôturé dès que le nombre de candidats sera suffisamment élevé pour assurer la participation d’un maximum de parties prenantes.
[EDIT: L’EDPB a annoncé dans un autre article avoir d’ores et déjà trouvé suffisamment de participants. Cet appel à manifestement est ainsi fermé.]

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Risques liés à l’IA : Reconnaissance optique de caractères et reconnaissance d’entités nommées

L’EDPC a lancé un projet viser à aider les responsables du traitement des données qui utilisent l’IA aux fins de reconnaissance optique de caractères et reconnaissance d’entités nommées à effectuer une évaluation des risques en matière de protection des données et les autorités chargées de la protection des données à évaluer la validité et l’efficacité de cette évaluation dans le cadre de leurs enquêtes. Pour les deux technologies, l’expert externe a identifié les risques spécifiques en matière de protection des données et de la vie privée posés par l’acquisition, le développement et l’utilisation de la technologie en question.

Le projet sur les risques liés à l’IA comprend plusieurs éléments livrables disponibles (en anglais) ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’EDPB adopte une déclaration sur le rôle des autorités de protection des données dans le cadre de la loi sur l’IA

Lors de sa dernière séance plénière, le Comité européen de la protection des données (CEPD) a adopté une déclaration sur le rôle des autorités de protection des données (APD) dans le cadre de la loi sur l’intelligence artificielle (AI Act). Selon l’EDPB, les autorités de protection des données disposent déjà d’une expérience et d’une expertise en ce qui concerne l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, et devraient donc être désignées comme autorités de surveillance du marché (MSA) dans un certain nombre de cas. Cela permettrait d’assurer une meilleure coordination entre les différentes autorités réglementaires, d’accroître la sécurité juridique pour toutes les parties prenantes et de renforcer la supervision et l’application de la loi sur l’IA et de la législation de l’UE sur la protection des données.

Dans sa déclaration, l’EDPB recommande ce qui suit :
* Comme l’indique déjà la loi sur l’IA, les autorités chargées de la protection des données devraient être désignées comme autorités de surveillance pour les systèmes d’IA à haut risque utilisés pour l’application de la loi, la gestion des frontières, l’administration de la justice et les processus démocratiques ;
* Les États membres devraient envisager de désigner les autorités de protection des données comme autorités de surveillance pour d’autres systèmes d’IA à haut risque, en tenant compte de l’avis de l’autorité nationale de protection des données, en particulier lorsque ces systèmes d’IA à haut risque appartiennent à des secteurs susceptibles d’avoir une incidence sur les droits et libertés des personnes physiques en ce qui concerne le traitement des données à caractère personnel ;
* Les autorités chargées de la protection des données, lorsqu’elles sont nommées en tant qu’autorités de surveillance, devraient être désignées comme points de contact uniques pour le public et les homologues au niveau des États membres et de l’UE ;
* Des procédures claires devraient être établies pour la coopération entre les ASM et les autres autorités de régulation chargées de superviser les systèmes d’IA, y compris les autorités de protection des données. En outre, une coopération appropriée doit être mise en place entre l’Office AI de l’UE et les DPA/EDPB.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Publication des lignes directrices sur l’article 37 de la directive Police-Justice

Comme annoncé lors de la publication de l’ordre du jour de sa séance plénière, le CEPD vient de publier ses lignes directrices 01/2023 sur l’article 37 de la directive Police-Justice, (cet article étant relatif aux transferts hors UE en l’absence de décision d’adéquation). Selon le résumé exécutif disponible sur le document, ces lignes directrices fournissent des orientations sur l’application de l’article 37 de la directive Police Justice, en particulier sur la norme juridique relative aux garanties appropriées à appliquer par les autorités compétentes en vertu de l’article 37, paragraphe 1, points a) et b), de la directive Police Justice et, par conséquent, sur les facteurs pertinents pour l’évaluation de l’existence de ces garanties. Elles  comprennent donc une indication des attentes de l’EDPB à l’égard des États membres, en tant que parties aux négociations, lorsqu’ils envisagent de conclure ou de modifier un instrument juridiquement contraignant entre le ou les États membres concernés et un pays tiers ou une organisation internationale en vertu de l’article 37, paragraphe 1, point a), de la directive relative à la protection des données.

L’EDPB note que l’article 35(3) LED s’applique aux transferts effectués en vertu de l’article 37 de la directive. Celui-ci devrait donc être appliqué à la lumière du principe selon lequel le niveau de protection des données applicable dans l’Union européenne ne doit pas être compromis par le transfert de données à caractère personnel vers une autre juridiction. L’EDPB conclut que l’article 37 exige un niveau de protection des données essentiellement équivalent dans le pays tiers ou l’organisation internationale destinataire. Toutefois, cette exigence est liée au transfert spécifique de données ou à la catégorie de transferts en question. Conformément à l’article 37, l’équivalence essentielle de la protection garantie par la directive Police-Justice doit être assurée pour ce cas particulier et pas nécessairement au regard de l’ensemble de la législation en vigueur dans le pays tiers ou l’organisation internationale.

Dans ce contexte, l’EDPB rappelle sa déclaration sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, invitant les États membres à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données à caractère personnel. L’EDPB souligne qu’il convient d’envisager de mettre ces accords en conformité avec les exigences de la directive Police-Justice pour les transferts de données, lorsque ce n’est pas encore le cas, afin de s’assurer que le niveau de protection des personnes physiques garanti par la LED n’est pas compromis lorsque des données à caractère personnel sont transférées en dehors de l’Union.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Rapport sur les travaux entrepris par la Taskforce ChatGPT

Lors de la réunion plénière de l’EDPB du 16 janvier 2024, il a été décidé de préciser le mandat de la task force et de publier un rapport décrivant les résultats intermédiaires de la task force ChatGPT.
Selon ce mandat, la taskforce doit :
– Échanger des informations entre les autorités de protection des données sur l’engagement avec l’OpenAI et les activités d’application en cours concernant ChatGPT.
– Faciliter la coordination de la communication externe par les autorités de protection des données concernant les activités d’application dans dans le contexte de ChatGPT.
– Identifier rapidement une liste de questions pour lesquelles une approche commune est nécessaire dans le contexte de différentes mesures d’exécution concernant ChatGPT prises par les autorités.

Compte tenu de la nature confidentielle des enquêtes, le présent rapport se réfère aux informations accessibles au public comme source supplémentaire pour fournir des informations sur la transparence, l’équité, l’exactitude des données et les droits des personnes concernées à l’égard du public.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.