Dernières actualités : données personnelles

ICO (autorité anglaise)

Un nouveau cadre d’audit de la protection des données est lancé pour aider les organisations à améliorer leur conformité

L’ICO a annoncé aujourd’hui avoir lancé un nouveau cadre d’audit conçu pour aider les organisations à évaluer leur propre conformité aux exigences clés de la loi sur la protection des données. Ce cadre donne aux organisations les moyens d’identifier les mesures nécessaires pour améliorer leurs pratiques en matière de protection des données et créer une culture de la conformité. Il leur fournit un point de départ pour évaluer la manière dont elles traitent et protègent les informations personnelles. Qu’il s’agisse de la direction générale, des délégués à la protection des données, des auditeurs de conformité ou des responsables de la gestion des dossiers ou de la cybersécurité, le cadre offre des outils pratiques pour mettre en place et maintenir une gestion solide de la protection de la vie privée.

Il s’agit d’une extension de notre cadre de responsabilisation existant, et il comprend neuf boîtes à outils couvrant les domaines clés suivants : Responsabilité, gestion des dossiers, information et cybersécurité, formation et sensibilisation, partage des données, demandes de données, gestion des violations de données personnelles, intelligence artificielle ou encore conception adaptée à l’âge.

Chaque boîte à outils est accompagnée d’un outil de suivi de l’audit de la protection des données téléchargeable qui aidera les organisations à procéder à leur propre évaluation de la conformité et à suivre les actions à entreprendre dans les domaines nécessitant une amélioration.

Ian Hulme, directeur de l’assurance réglementaire à l’ICO, a déclaré : « La transparence et la responsabilité en matière de protection des données sont essentielles, non seulement pour le respect de la réglementation, mais aussi pour instaurer la confiance avec le public. Les études montrent que les gens accordent de plus en plus d’importance à l’utilisation responsable de leurs informations personnelles et veulent que les organisations soient en mesure de démontrer qu’elles appliquent des pratiques rigoureuses en matière de protection des données. Notre nouveau cadre d’audit contribuera à instaurer la confiance et à encourager une culture positive de la protection des données, tout en étant flexible dans le ciblage des domaines de conformité les plus urgents. Nous voulons donner aux organisations les moyens de considérer la protection des données comme un atout, et pas seulement comme une obligation légale ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ADPCAT (autorité catalane)

Les technologies de surveillance par Wi-Fi : Orientations pour les responsables du traitement

L’autorité de protection des données catalane a publié des lignes directrices afin d’encadrer les traitements de surveillance du Wi-Fi. D’après le résumé exécutif de ces lignes directrices, « le suivi Wi-Fi ou Wi-Fi tracking est une technologie qui permet d’identifier et d’effacer les dispositifs mobiles par le biais des signaux Wi-Fi qu’ils émettent, de détecter la présence d’un dispositif dans une zone spécifique et d’identifier les personnes qui se déplacent. C’est pourquoi il est utilisé, par exemple, pour estimer les foules, analyser les flux de personnes ou mesurer les temps de séjour. 

Elle peut avoir des applications pratiques dans les centres commerciaux, les musées, les lieux d’intérêt particulier, les lieux de travail, les espaces publics, les transports publics ou les grands événements publics. Cependant, cette pratique présente de sérieux risques pour la vie privée, car elle peut permettre de suivre les mouvements des personnes sans qu’elles agissent ou en soient conscientes, et sans base juridique appropriée. Il est essentiel de savoir que bon nombre de ces utilisations de la localisation par Wi-Fi impliquent la collecte et le traitement de données à caractère personnel. Par conséquent, elles doivent être soumises à l’ensemble des principes, des droits individuels et des obligations des responsables du traitement des données établis par le GDPR.

Les lignes directrices analysent les implications techniques et juridiques de l’utilisation de cette technologie, identifient les principaux risques qui y sont associés et proposent également une série de recommandations spécifiques pour une utilisation responsable et compatible avec les réglementations en matière de protection des données. Ces lignes directrices ont été élaborées conjointement par l’Agence espagnole de protection des données, l’Autorité catalane de protection des données, l’Autorité basque de protection des données et le Conseil pour la transparence et la protection des données d’Andalousie. Elles sont le fruit de la collaboration des quatre autorités de contrôle, compte tenu de l’impact qu’une utilisation inadéquate de la technologie de suivi Wi-Fi peut avoir sur la vie privée et la protection des données des personnes. »

Disponible (en catalan) sur : apdcat.gencat.cat
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

Selon l’autorité néerlandaise, le scraping est presque toujours illégal

Le scraping est la collecte et le stockage automatiques d’informations sur l’internet. Le scraping par des parties privées et des individus n’est presque jamais autorisé : c’est en tout cas ce qu’affirme l’Autorité des données personnelles (AP) dans un nouveau guide. Celui-ci précise notamment un certain nombre de cas dans lequel le scraping est en toute hypothèse illégal. Par exemple :
* la recherche sur internet pour créer des profils de personnes en vue de les revendre ;
* la récupération d’informations à partir de comptes de médias sociaux protégés ou de forums fermés ;
* la récupération de données à partir de profils de médias sociaux publics, dans le but de déterminer si les personnes concernées bénéficient ou non de l’assurance demandée.

« Un malentendu très répandu veut que le scraping soit autorisé parce que tout ce qui se trouve sur l’internet est de toute façon accessible à tout le monde », a déclaré le président de l’AP, Aleid Wolfsen. « Mais le fait que des informations vous concernant soient publiques ne signifie pas automatiquement que vous autorisez le scraping. Même si vous indiquez sur votre compte de médias sociaux que vous avez récemment gagné à la loterie ou que vous avez subi une opération, vous ne donnez pas l’autorisation de récupérer ces données. L’autorisation de collecter des données à caractère personnel n’est donnée que si elle a été dûment demandée au préalable. Il est généralement impossible de le faire avec le scraping »,

Les conseils se trouvant dans l’article ci-dessous de l’AP ne s’adressent pas au gouvernement, mais l’AP précise que le scraping gouvernemental présente également des risques importants pour la vie privée et est soumis à des règles strictes. L’AP travaille également à l’élaboration d’une note d’orientation sur le scraping gouvernemental. En tout état de cause, les exceptions à cette règle sont très peu nombreuses : l’AP évoque le cas de l’intérêt légitime qui est fondé sur une norme juridique et qui ne doit pas être uniquement le profit (à condition que celui-ci soit réalisé de manière très ciblé), ou encore le cas del’usage domestique.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie un guide visant à améliorer la transparence dans le domaine de la santé et des soins sociaux

Faisant suite à une consultation publique réalisée fin 2023 / début 2024, le régulateur britannique de la protection des données a publié un nouveau guide afin d’apporter une certitude réglementaire sur la manière dont ces organismes de santé et d’aide sociale doivent tenir les personnes correctement informées. En effet, les secteurs de la santé et de l’aide sociale traitent régulièrement des informations sensibles sur les aspects les plus intimes de la santé d’une personne, qui sont communiquées en toute confidentialité à des praticiens de confiance. En vertu de la loi sur la protection des données, les personnes ont le droit de savoir ce qu’il advient de leurs informations personnelles, ce qui est particulièrement important lorsqu’il s’agit d’accéder à des services vitaux.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut