Dernières actualités : données personnelles

SDTB (autorité allemande de Saxe)

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Un guide pour la protection et l’utilisation des informations vidéo personnelles pour l’avancement de la conduite autonome AI

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a publié le « Guide pour la protection et l’utilisation des informations vidéo personnelles pour les dispositifs de traitement des informations vidéo mobiles » en septembre de l’année dernière, reflétant les normes d’application spécifiques de la disposition relative aux dispositifs de traitement des informations vidéo mobiles (article 25.2) nouvellement adoptée dans la loi sur la protection des informations personnelles (PIPA) et des exemples de demandes de renseignements émanant de l’industrie. Ce guide devrait répondre aux préoccupations en matière de protection de la vie privée et renforcer la compétitivité de l’industrie de la mobilité avancée grâce aux nouvelles technologies.

En effet, dans le passé, les images capturées par des dispositifs mobiles de traitement d’images dans des lieux publics tels que les routes et les parcs ont été essentielles pour le développement de l’intelligence artificielle autonome (IA), mais ces images contiennent des informations personnelles (telles que des images faciales) qui peuvent permettre d’identifier des individus. Ainsi, il a été demandé à la PIPC d’établir des normes spécifiques pouvant être utilisées pour le développement de l’IA.

En réponse, l’autorité a formé un groupe de recherche composé d’experts des milieux universitaires, juridiques et industriels afin de préparer un guide qui reflète les méthodes normalisées d’affichage de l’enregistrement en fonction des caractéristiques des différents dispositifs de traitement de l’information vidéo mobile, l’objectif étant d’établir des critères permettant de juger s’il existe un risque de violation injustifiée des droits lors de l’enregistrement vidéo et les points à observer pour protéger les informations personnelles à chaque étape du traitement (enregistrement, utilisation, mise à disposition, stockage, destruction, etc.)

Les principaux contenus de ce guide sont les suivants:
*【 ① Protection de la vie privée : Principes de base pour l’utilisation 】
*【 ② Conseils sur la conformité et recommandations pour chaque étape du traitement des informations visuelles personnelles 】
* 【③ Mesures et exemples d’utilisation de l’apprentissage par l’IA】
* 【④ Stockage et gestion sécurisés des informations vidéo personnelles】

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouveau cadre d’audit de la protection des données est lancé pour aider les organisations à améliorer leur conformité

L’ICO a annoncé aujourd’hui avoir lancé un nouveau cadre d’audit conçu pour aider les organisations à évaluer leur propre conformité aux exigences clés de la loi sur la protection des données. Ce cadre donne aux organisations les moyens d’identifier les mesures nécessaires pour améliorer leurs pratiques en matière de protection des données et créer une culture de la conformité. Il leur fournit un point de départ pour évaluer la manière dont elles traitent et protègent les informations personnelles. Qu’il s’agisse de la direction générale, des délégués à la protection des données, des auditeurs de conformité ou des responsables de la gestion des dossiers ou de la cybersécurité, le cadre offre des outils pratiques pour mettre en place et maintenir une gestion solide de la protection de la vie privée.

Il s’agit d’une extension de notre cadre de responsabilisation existant, et il comprend neuf boîtes à outils couvrant les domaines clés suivants : Responsabilité, gestion des dossiers, information et cybersécurité, formation et sensibilisation, partage des données, demandes de données, gestion des violations de données personnelles, intelligence artificielle ou encore conception adaptée à l’âge.

Chaque boîte à outils est accompagnée d’un outil de suivi de l’audit de la protection des données téléchargeable qui aidera les organisations à procéder à leur propre évaluation de la conformité et à suivre les actions à entreprendre dans les domaines nécessitant une amélioration.

Ian Hulme, directeur de l’assurance réglementaire à l’ICO, a déclaré : « La transparence et la responsabilité en matière de protection des données sont essentielles, non seulement pour le respect de la réglementation, mais aussi pour instaurer la confiance avec le public. Les études montrent que les gens accordent de plus en plus d’importance à l’utilisation responsable de leurs informations personnelles et veulent que les organisations soient en mesure de démontrer qu’elles appliquent des pratiques rigoureuses en matière de protection des données. Notre nouveau cadre d’audit contribuera à instaurer la confiance et à encourager une culture positive de la protection des données, tout en étant flexible dans le ciblage des domaines de conformité les plus urgents. Nous voulons donner aux organisations les moyens de considérer la protection des données comme un atout, et pas seulement comme une obligation légale ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

APD (autorité belge)

Interactions AI Act et RGPD : l’autorité belge publie une brochure visant à guider les concernés

Dans un communiqué publié vendredi, l’autorité belge rappelle que es dernières années, les technologies de l’Intelligence artificielle (IA) ont connu une croissance exponentielle, révolutionnant divers secteurs et influençant considérablement la manière dont les données sont collectées, traitées et utilisées. Toutefois, ce progrès rapide a engendré des défis complexes en matière de confidentialité des données, de transparence et de responsabilité (« accountability »). Le règlement sur l’intelligence artificielle (AI Act) est entré en vigueur le 1er aout 2024.

L’interaction entre le Règlement général sur la protection des données (RGPD) et le AI Act est complexe, or il est essentiel pour les créateurs et exploitants de systèmes basés sur l’IA de prendre également en considération les principes de protection des données à caractère personnel afin de s’assurer qu’ils opèrent de manière éthique, responsable et respectueuse des dispositions légales. Le Secrétariat Général de l’Autorité de protection des données a rédigé une brochure afin d’expliquer les exigences du RGPD spécifiquement applicables aux système d’IA. La brochure s’adresse aussi bien aux professionnel du droit, qu’aux délégués à la protection des données ou encore aux personnes ayant une formation technique. Elle cible également les responsables du traitement et les sous-traitants impliqués dans le développement et le déploiement des systèmes d’IA.

Cette brochure est disponible ci-dessous !

Disponible sur: autoriteprotectiondonnees.be

PIPC (autorité coréenne)

L’autorité coréenne publie des lignes directrices pour le traitement des « données ouvertes » utilisées dans le développement et les services d’intelligence artificielle

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a préparé et publié le « Guide de traitement des informations personnelles ouvertes pour le développement et les services d’intelligence artificielle (IA) » afin de garantir que les données ouvertes essentielles au développement de l’IA soient traitées légalement et en toute sécurité dans le cadre réglementaire actuel en matière d’informations personnelles. L’autorité annoncée s’être concentrée sur l’établissement de normes interopérables au niveau international, étant donné que les principaux pays d’outre-mer tels que l’Union européenne (UE) et les États-Unis, qui équilibrent l’innovation et la sécurité de l’IA, ont récemment formé un système de réglementation de la vie privée pour l’IA et le traitement des données, y compris le traitement des données publiques.

En particulier, les lignes directrices précisent que les informations personnelles traitées en vertu de la disposition relative à l' »intérêt légitime » de l’article 15 de la loi sur la protection peuvent être utilisées pour le développement de l’apprentissage et des services d’intelligence artificielle (IA). En outre, pour que cette disposition relative à l’« intérêt légitime » s’applique, trois conditions doivent être remplies :
* la légitimité de la finalité du développement de l’IA,
* la nécessité de traiter les données à caractère personnel divulguées et
* la spécificité de l’avantage.

La PIPC a également fourni des orientations sur le contenu et l’application de ces trois conditions. Dans ses orientations, la PIPC a en outre fourni des conseils spécifiques sur les garanties techniques et administratives et les droits des personnes concernées que les entreprises d’IA peuvent prendre en compte pour traiter les informations personnelles divulguées sur la base de l’« intérêt légitime ».

Enfin, l’autorité a souligné le rôle des entreprises d’IA et du responsable de la protection de la vie privée dans le traitement des données d’apprentissage pour le développement de l’IA. Il a été recommandé que les entreprises organisent et gèrent de manière autonome une « organisation (provisoire) de protection de la vie privée dans le domaine de l’IA » dont le responsable de la protection de la vie privée serait la pièce maîtresse, qu’elles évaluent si les critères des lignes directrices sont respectés, et qu’elles créent et conservent les éléments de preuve. Il est également recommandé aux entreprises de surveiller régulièrement les facteurs de risque tels que les changements technologiques importants, comme l’amélioration des performances de l’IA, ou les préoccupations relatives à la violation des données personnelles, et de préparer des mesures correctives rapides en cas d’incidents tels que la fuite ou l’exposition de données personnelles.

« La publication de ce guide est une avancée importante et un premier pas vers la réalisation du développement simultané de la technologie de l’IA et de la protection des données personnelles », a déclaré Kyung-hoon Bae, président de l’Elgee AI Research Institute, coprésident du conseil d’orientation public-privé. « En fournissant des normes pour le traitement sécurisé des informations personnelles dans les données publiques, les incertitudes juridiques dans le développement de la technologie de l’IA seront réduites, ce qui permettra l’utilisation sécurisée des données, qui à son tour sera la base pour les citoyens de profiter des avantages de la technologie de l’IA dans un environnement de traitement des données digne de confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit.

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées. Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Ces recommandations sont notamment composées des fiches pratiques suivantes:
* Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?
* Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?

Disponible sur: CNIL.fr

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

Retour en haut