Dernières actualités : données personnelles

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

L’ICO avertit les organisations qu’elles ne doivent pas ignorer les risques liés à la protection des données et nous concluons l’enquête sur le chatbot « My AI » de Snap.

Dans un communiqué publié ce jour, l’ICO annonce avoir conclu son enquête sur le lancement par Snap, Inc. du chatbot « My AI ».
« En juin 2023, nous avons ouvert une enquête sur « Mon IA » après avoir constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023. L’enquête nous a conduits à émettre un avis préliminaire d’exécution à l’encontre de Snap le 6 octobre 2023.

Notre enquête a permis à Snap de prendre des mesures importantes pour effectuer un examen plus approfondi des risques posés par « My AI » et nous démontrer qu’elle avait mis en œuvre des mesures d’atténuation appropriées. Nous sommes convaincus que Snap a désormais entrepris une évaluation des risques liés à « Mon IA » qui est conforme à la loi sur la protection des données. Nous continuerons à surveiller le déploiement de « Mon IA » et la manière dont les risques émergents sont traités. »

La décision finale sera publiée dans quelques semaines.
L’ICO profite de cet article pour « avertir l’industrie de s’engager dans les risques de protection des données de l’IA générative avant de mettre des produits sur le marché« , et compte bien « continuer à surveiller le développement et le déploiement de modèles d’IA générative et rappeler à l’industrie qu’elle doit innover de manière responsable« .

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

La CNIL dévoile son référentiel dédié à l’IA

La CNIL dévoile son référentiel dédié à l’IA

Par Haas Avocats

Le 8 avril 2024, la CNIL a publié ses premières recommandations concernant le développement des dispositifs, outils et applications utilisant de l’intelligence artificielle (IA)[1].

Disponible sur: haas-avocats.com

CNIL

Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE

Le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE.STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. HUBSIDE.STORE est une société qui procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.). Les données des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société HUBSIDE.STORE ne pouvait donc procéder légalement à ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD). En outre, la formation restreinte a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informés, en violation de l’article 14 du RGPD.

Elle a donc prononcé à son encontre une amende de 525 000 euros rendue publique.

Disponible sur: CNIL.fr

GPDP (autorité italienne)

La CNIL italienne adresse un avertissement à la Worldcoin Foundation avant même qu’elle ne commence le déploiement de son traitement de données biométriques via ses ORB en Italie

Alors que la société Worldcoin, dont le traitement consiste à enregistrer l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie du même nom, a d’ores et déjà fait l’objet d’une interdiction en Espagne et au Portugal quelques semaines plus tard – celle-ci poursuit son déploiement petit à petit, la CNIL italienne a décidé de prendre les devants en avertissant la société qu’il s’agirait probablement d’un traitement contraire au RGPD :

« Conformément à l’article 58, paragraphe 2, point a), du règlement et à l’article 154, paragraphe 1, point f), du code, avertit la Worldcoin Foundation, dont le siège social est situé Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Îles Caïmans, en sa qualité de responsable du traitement des données à caractère personnel, que le traitement des données biométriques qui sera effectué en Italie, par l’intermédiaire des ORB et de la manière décrite ci-dessus, est susceptible d’enfreindre les dispositions du règlement« .

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut