Dernières actualités : données personnelles

PIPC (autorité coréenne)

La PIPC va améliorer l’efficacité des AIPD menées par le secteur public

La Commission de protection des données personnelles (présidée par Ko Hak-soo, ci-après ‘la Commission’) a annoncé aujourd’hui l’entrée en vigueur de l’amendement au règlement relatif aux analyses d’impact sur la protection des données (AIPD). Ce nouveau règlement a été approuvé lors de la réunion plénière du 23.

La PIPC explique dans l’article qu’en Corée du Sud, l’AIPD est un processus que les institutions publiques qui ont l’intention de créer, d’exploiter ou de modifier des fichiers d’informations personnelles dépassant une certaine taille doivent mettre en œuvre afin d’analyser à l’avance les facteurs de risque potentiels de violation des informations personnelles et en déduisent des mesures d’amélioration afin d’induire la conception d’un processus de traitement des informations personnelles sûr.  Ces AIPD sont menés par des organismes indépendants désignés par l’autorité et le résultat doit ensuite être soumis à la PIPC, qui émettra au besoin des recommandations. Plus d’informations sont disponibles ici (en anglais). Cette AIPD concerne les :

① Fichiers de données personnelles contenant des informations sensibles ou des données d’identification uniques concernant plus de 50 000 personnes concernées.
② Fichiers de données personnelles liés à d’autres fichiers de données personnelles établis ou exploités à l’intérieur ou à l’extérieur des organismes publics, contenant des informations concernant plus de 500 000 personnes concernées.
③ Fichiers de données personnelles concernant plus de 1 million de personnes concernées.

Le projet d’amendement a pour but d’accroître l’efficacité du processus en élargissant et en réorganisant le Comité d’évaluation de l’impact sur la protection des données personnelles, en révisant les critères de désignation des organismes d’évaluation, et en systématisant les procédures d’évaluation et de mise en œuvre des mesures d’amélioration. Par exemple, les améliorations qui peuvent être apportées à court terme après l’analyse d’impact favoriseront une action rapide en raccourcissant le délai de présentation des plans de mise en œuvre (1 an → 2 mois).

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF

Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD.  Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Il s’agit du troisième code européen, et le deuxième approuvé par la CNIL, après le code CISPE (dans le domaine de l’informatique en nuage) adopté en 2021. Ce nouveau code a été porté par la fédération EUCROF (European Clinical Research Organisations Federation), qui a pris l’initiative de l’élaborer pour répondre aux enjeux identifiés par le secteur en matière de protection des données.

Il a pour objectif de décrire de manière opérationnelle les engagements pris par les sociétés privées qui fournissent, sur une base contractuelle, des services dans le domaine de la recherche en santé, notamment pour l’industrie pharmaceutique, en tant que sous-traitants (au sens de l’article 28 du RGPD) dans le cadre de l’exécution du contrat qui les lie au promoteur (personne physique ou morale qui est responsable d’une recherche clinique, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci). Parmi les services proposés par les CRO (prestataires de services en recherche clinique) qui peuvent être couverts par le code, figurent notamment la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.

Disponible sur: CNIL.fr

CNIL

Ordre du jour de la séance plénière du 24 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 24 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Communication relative à l’état d’avancement de la mise en œuvre rénovée des dépistages organisés des cancers :
– Audition de la Caisse nationale de l’Assurance Maladie.
– Examen d’un projet de délibération autorisant l’Institut national du cancer à mettre en œuvre un traitement de données ayant pour finalité un dispositif informatique national permettant de collecter les données relatives au dépistage du cancer du col de l’utérus et de permettre le suivi des personnes dépistées pour un cancer du col de l’utérus par les centres régionaux de coordination des dépistages des cancers, dénommé « collecteur DOCCU ».

* Présentation d’une analyse des archives des bandeaux cookies de 2018 à 2024.

Partie II (sans débats):
* Examen d’un projet de délibération portant décision unique et autorisant le Réseau Sécurité Naissance – Naître Ensemble à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI).

Disponible sur: CNIL.fr

UODO (autorité polonaise)

Une entreprise sur cinq ne s’occupe pas de la formation sur la protection des données personnelles

Seules 81 % des entreprises du secteur des PME forment leurs employés à la protection des données, mais près de trois cinquièmes d’entre elles ne le font qu’une seule fois, après l’embauche : c’est ce que révèle une enquête commandée par ChronPESEL.pl et le Registre national des dettes sous les auspices de l’Office pour la protection des données personnelles. Pourtant, l’absence de formation ou une formation sporadique peut s’avérer très coûteuse, car ce sont souvent des erreurs humaines involontaires qui sont à l’origine de fuites de données ou de vols par des pirates informatiques.

Le manque de formation est évident dans de nombreuses violations de la protection des données signalées. C’est le cas lorsque des données personnelles sont divulguées à la mauvaise personne en raison de colis mal adressés ou d’attaques par ransomware, ce qui ne se serait pas produit si le personnel avait été correctement formé à ce type de situation. Il est également important que la formation soit cyclique, rappelant les règles de sécurité pertinentes et les adaptant en permanence aux nouvelles menaces émergentes, déclare Jacek Młotkiewicz, directeur du département « Contrôle et violation » de l’Office de protection des données personnelles. Les employés non formés sont en effet le maillon faible du système de sécurité des données d’une entreprise, quelle que soit sa taille. Ces personnes commettent des erreurs élémentaires : ouvrir des courriels suspects, cliquer sur les liens qu’ils contiennent, utiliser des mots de passe faibles et faciles à deviner, …

Malheureusement, seulement 22 % des personnes interrogées déclarent répéter la formation des employés pendant leur emploi. Il est intéressant de noter que les petites entreprises (41 %) soutiennent mieux la comparaison que les moyennes (35 %) et les microentreprises (21 %). Cela peut s’expliquer par un taux de rotation du personnel plus faible. Les entreprises de l’industrie manufacturière (57 %), du commerce (35 %) et des transports (34 %) se distinguent. Il s’agit plus souvent de sociétés (31 %) que d’entreprises individuelles (12 %).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ordre du jour de la séance plénière du 17 octobre 2024

La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 17 octobre 2024 à 9 h 30 avec l’ordre du jour suivant :

Partie I (avec débats):
* Audition de l’OCDE sur leurs travaux en matière d’intelligence artificielle et de gouvernance des données ;
* Présentation d’un projet de recommandation « dossier patient informatisé » (DPI).

Partie II (sans débats):
* Examen d’un projet de délibération portant avis sur un projet de décret modifiant le décret n° 2019-969 du 18 septembre 2019 relatif à des traitements de données à caractère personnel portant sur les ressources des assurés sociaux.

Disponible sur: CNIL.fr

Comité européen sur la protection des données (EDPB)

Le CEPD rencontre les pays adéquats

Le 8 octobre 2024, le Comité européen de la protection des données a rencontré les commissaires et les représentants des autorités de protection des données (APD) des quinze pays ayant fait l’objet d’une décision d’adéquation de l’UE. La réunion a eu lieu en marge de la plénière d’octobre de l’EDPB et reflète l’engagement international de l’EDPB. À ce jour, la Commission européenne a reconnu les pays adéquats suivants : Andorre, Argentine, Canada, Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay et États-Unis. Les décisions d’adéquation sont le résultat d’un degré élevé de convergence des lois sur la protection des données et permettent des flux de données plus sûrs.

Au cours de la réunion, l’EDPB et les autorités de protection des données des pays adéquats ont discuté de l’engagement multilatéral sur les travaux consultatifs et les lignes directrices, ainsi que sur la coopération en matière d’application de la législation.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Événement des parties prenantes sur les « modèles d’IA » : manifestez votre intérêt à participer

Le Comité européen de la protection des données (EDPB) organise un événement à distance pour les parties prenantes, qui aura lieu le 5 novembre 2024 (heure à confirmer), visant à recueillir les contributions des parties prenantes dans le cadre d’une demande d’avis au titre de l’art. 64(2) du RGPD relatif aux modèles d’intelligence artificielle (« modèles d’IA ») soumise à l’EDPB par l’autorité irlandaise de protection des données (DPA).

Par le même article, l’EDPB lance également un appel à manifestation d’intérêt afin de sélectionner les participants à l’événement des parties prenantes de l’EDPB sur les modèles d’intelligence artificielle. Vous trouverez de plus amples informations sur cet événement et des instructions sur la manière de s’inscrire ci-dessous.  L’appel sera clôturé dès que le nombre de candidats sera suffisamment élevé pour assurer la participation d’un maximum de parties prenantes.
[EDIT: L’EDPB a annoncé dans un autre article avoir d’ores et déjà trouvé suffisamment de participants. Cet appel à manifestement est ainsi fermé.]

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Un guide pour la protection et l’utilisation des informations vidéo personnelles pour l’avancement de la conduite autonome AI

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a publié le « Guide pour la protection et l’utilisation des informations vidéo personnelles pour les dispositifs de traitement des informations vidéo mobiles » en septembre de l’année dernière, reflétant les normes d’application spécifiques de la disposition relative aux dispositifs de traitement des informations vidéo mobiles (article 25.2) nouvellement adoptée dans la loi sur la protection des informations personnelles (PIPA) et des exemples de demandes de renseignements émanant de l’industrie. Ce guide devrait répondre aux préoccupations en matière de protection de la vie privée et renforcer la compétitivité de l’industrie de la mobilité avancée grâce aux nouvelles technologies.

En effet, dans le passé, les images capturées par des dispositifs mobiles de traitement d’images dans des lieux publics tels que les routes et les parcs ont été essentielles pour le développement de l’intelligence artificielle autonome (IA), mais ces images contiennent des informations personnelles (telles que des images faciales) qui peuvent permettre d’identifier des individus. Ainsi, il a été demandé à la PIPC d’établir des normes spécifiques pouvant être utilisées pour le développement de l’IA.

En réponse, l’autorité a formé un groupe de recherche composé d’experts des milieux universitaires, juridiques et industriels afin de préparer un guide qui reflète les méthodes normalisées d’affichage de l’enregistrement en fonction des caractéristiques des différents dispositifs de traitement de l’information vidéo mobile, l’objectif étant d’établir des critères permettant de juger s’il existe un risque de violation injustifiée des droits lors de l’enregistrement vidéo et les points à observer pour protéger les informations personnelles à chaque étape du traitement (enregistrement, utilisation, mise à disposition, stockage, destruction, etc.)

Les principaux contenus de ce guide sont les suivants:
*【 ① Protection de la vie privée : Principes de base pour l’utilisation 】
*【 ② Conseils sur la conformité et recommandations pour chaque étape du traitement des informations visuelles personnelles 】
* 【③ Mesures et exemples d’utilisation de l’apprentissage par l’IA】
* 【④ Stockage et gestion sécurisés des informations vidéo personnelles】

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Vérification de l’âge en ligne : la CNIL a rendu son avis sur le référentiel de l’Arcom concernant l’accès aux sites pornographiques

Certains sites ou services sur Internet sont réservés aux majeurs, en particulier lorsqu’ils donnent accès à des contenus à caractère pornographique. Pour vérifier l’âge des internautes, la loi visant à sécuriser et à réguler l’espace numérique (SREN) prévoit l’adoption par l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) d’un référentiel. Celui-ci détermine les exigences techniques minimales applicables aux systèmes de vérification de l’âge auxquels doivent recourir les sites diffusant des contenus à caractère pornographique. Les sites internet visés par le référentiel doivent mettre en œuvre un système de contrôle de l’âge conforme aux caractéristiques techniques du référentiel dans un délai de trois mois après sa publication.

La CNIL s’est prononcée, le 26 septembre 2024, sur ce projet de référentiel dont les exigences portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée. Globalement, la CNIL accueille favorablement la publication par l’Arcom d’un référentiel encadrant les systèmes de vérification de l’âge reprenant une partie importante de ses préconisations relatives à la protection des données personnelles et de la vie privée.

Disponible sur: CNIL.fr

Retour en haut