Dernières actualités : données personnelles

L’Usine digitale

Cyberattaque contre Free : La justice ordonne à Telegram de révéler l’identité du pirate

Le tribunal judiciaire de Paris a ordonné à la messagerie Telegram de révéler l’identité du pirate informatique à l’origine d’une demande de rançon à Free, après une cyberattaque ayant provoqué le vol des données de 19,2 millions de clients. L’application doit alors fournir “tous les éléments permettant d’identifier la personne”, soit son identité civile, les adresses IP recueillies et le numéro de téléphone utilisé pour la création du compte. D’après Free et Free Mobile, un cybercriminel dénommé “[Z] [L]” a adressé trois messages le 21 octobre sur la plateforme interne dédiée à la protection des données personnelles, ainsi qu’un quatrième au “président du groupe Iliad” (Xavier Niel) via Telegram. Le pirate informatique affirmait alors avoir les données en sa possession, menaçait de “les utiliser frauduleusement” et exigeait une rançon de 10 millions d’euros en cryptomonnaies.

Disponible sur: usine-digitale.fr

SDTB (autorité allemande de Saxe)

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Un guide pour la protection et l’utilisation des informations vidéo personnelles pour l’avancement de la conduite autonome AI

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a publié le « Guide pour la protection et l’utilisation des informations vidéo personnelles pour les dispositifs de traitement des informations vidéo mobiles » en septembre de l’année dernière, reflétant les normes d’application spécifiques de la disposition relative aux dispositifs de traitement des informations vidéo mobiles (article 25.2) nouvellement adoptée dans la loi sur la protection des informations personnelles (PIPA) et des exemples de demandes de renseignements émanant de l’industrie. Ce guide devrait répondre aux préoccupations en matière de protection de la vie privée et renforcer la compétitivité de l’industrie de la mobilité avancée grâce aux nouvelles technologies.

En effet, dans le passé, les images capturées par des dispositifs mobiles de traitement d’images dans des lieux publics tels que les routes et les parcs ont été essentielles pour le développement de l’intelligence artificielle autonome (IA), mais ces images contiennent des informations personnelles (telles que des images faciales) qui peuvent permettre d’identifier des individus. Ainsi, il a été demandé à la PIPC d’établir des normes spécifiques pouvant être utilisées pour le développement de l’IA.

En réponse, l’autorité a formé un groupe de recherche composé d’experts des milieux universitaires, juridiques et industriels afin de préparer un guide qui reflète les méthodes normalisées d’affichage de l’enregistrement en fonction des caractéristiques des différents dispositifs de traitement de l’information vidéo mobile, l’objectif étant d’établir des critères permettant de juger s’il existe un risque de violation injustifiée des droits lors de l’enregistrement vidéo et les points à observer pour protéger les informations personnelles à chaque étape du traitement (enregistrement, utilisation, mise à disposition, stockage, destruction, etc.)

Les principaux contenus de ce guide sont les suivants:
*【 ① Protection de la vie privée : Principes de base pour l’utilisation 】
*【 ② Conseils sur la conformité et recommandations pour chaque étape du traitement des informations visuelles personnelles 】
* 【③ Mesures et exemples d’utilisation de l’apprentissage par l’IA】
* 【④ Stockage et gestion sécurisés des informations vidéo personnelles】

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

L’autorité coréenne publie des lignes directrices pour le traitement des « données ouvertes » utilisées dans le développement et les services d’intelligence artificielle

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a préparé et publié le « Guide de traitement des informations personnelles ouvertes pour le développement et les services d’intelligence artificielle (IA) » afin de garantir que les données ouvertes essentielles au développement de l’IA soient traitées légalement et en toute sécurité dans le cadre réglementaire actuel en matière d’informations personnelles. L’autorité annoncée s’être concentrée sur l’établissement de normes interopérables au niveau international, étant donné que les principaux pays d’outre-mer tels que l’Union européenne (UE) et les États-Unis, qui équilibrent l’innovation et la sécurité de l’IA, ont récemment formé un système de réglementation de la vie privée pour l’IA et le traitement des données, y compris le traitement des données publiques.

En particulier, les lignes directrices précisent que les informations personnelles traitées en vertu de la disposition relative à l' »intérêt légitime » de l’article 15 de la loi sur la protection peuvent être utilisées pour le développement de l’apprentissage et des services d’intelligence artificielle (IA). En outre, pour que cette disposition relative à l’« intérêt légitime » s’applique, trois conditions doivent être remplies :
* la légitimité de la finalité du développement de l’IA,
* la nécessité de traiter les données à caractère personnel divulguées et
* la spécificité de l’avantage.

La PIPC a également fourni des orientations sur le contenu et l’application de ces trois conditions. Dans ses orientations, la PIPC a en outre fourni des conseils spécifiques sur les garanties techniques et administratives et les droits des personnes concernées que les entreprises d’IA peuvent prendre en compte pour traiter les informations personnelles divulguées sur la base de l’« intérêt légitime ».

Enfin, l’autorité a souligné le rôle des entreprises d’IA et du responsable de la protection de la vie privée dans le traitement des données d’apprentissage pour le développement de l’IA. Il a été recommandé que les entreprises organisent et gèrent de manière autonome une « organisation (provisoire) de protection de la vie privée dans le domaine de l’IA » dont le responsable de la protection de la vie privée serait la pièce maîtresse, qu’elles évaluent si les critères des lignes directrices sont respectés, et qu’elles créent et conservent les éléments de preuve. Il est également recommandé aux entreprises de surveiller régulièrement les facteurs de risque tels que les changements technologiques importants, comme l’amélioration des performances de l’IA, ou les préoccupations relatives à la violation des données personnelles, et de préparer des mesures correctives rapides en cas d’incidents tels que la fuite ou l’exposition de données personnelles.

« La publication de ce guide est une avancée importante et un premier pas vers la réalisation du développement simultané de la technologie de l’IA et de la protection des données personnelles », a déclaré Kyung-hoon Bae, président de l’Elgee AI Research Institute, coprésident du conseil d’orientation public-privé. « En fournissant des normes pour le traitement sécurisé des informations personnelles dans les données publiques, les incertitudes juridiques dans le développement de la technologie de l’IA seront réduites, ce qui permettra l’utilisation sécurisée des données, qui à son tour sera la base pour les citoyens de profiter des avantages de la technologie de l’IA dans un environnement de traitement des données digne de confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut