Dernières actualités : données personnelles

PIPC (autorité coréenne)

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que

Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 milliards de won (soit environ 15 millions d’euros) et une ordonnance corrective à Meta Platforms, Inc. (ci-après « Meta ») pour violation de la loi sur la protection des données personnelles. La PIPC a pris connaissance des faits selon lesquels Meta a collecté et utilisé des informations sensibles sans consentement, et a  décidé de lancer une enquête à ce sujet. Au cours de cette enquête, des plaintes ont été déposées au sujet du refus injustifié d’information concernant le traitement de données personnelles et des signalements de fuite de données due à des piratages, à la suite de quoi une seconde enquête a été lancée.

Les résultats des enquêtes menées par l’autorité coréenne montrent que :
1 – Meta a collecté des informations sensibles sans base légale, telles que les croyances religieuses et politiques, ainsi que la situation matrimoniale concernant les personnes de même sexe, d’environ 980,000 utilisateurs en Corée du Sud via leurs profils Facebook dans le passé. Ces informations ont été fournies à environ 4,000 annonceurs qui les ont utilisées. Plus précisément, des publicités liées à des thèmes sensibles (religions spécifiques, homosexualité, transgender, réfugiés nord-coréens, etc.) ont été créées en analysant les informations de comportement des utilisateurs, comme les pages « aimées » sur Facebook et les publicités cliquées.

En Corée du Sud, comme dans l’Union Européenne, la loi sur la protection des données considère les informations concernant les croyances, les opinions politiques, la vie sexuelle, etc., comme des informations sensibles qui doivent être strictement protégées et, en principe, leur traitement est limité. Il n’est possible de les traiter que dans des cas exceptionnels où un consentement distinct de la personne concernée a été obtenu ou en cas de base légale. Cependant, la PIPC a constaté que Meta a collecté ces informations sensibles et les a utilisées pour des services personnalisés sans obtenir de consentement distinct, et n’a pas mis en place de mesures supplémentaires de protection, même si ces pratiques étaient vaguement mentionnées dans sa politique de données.

La PIPC note cependant un bon point : Meta a cessé de collecter des informations sensibles à partir des profils (août 2021) et a détruit les thèmes publicitaires concernés (mars 2022), prenant ainsi des mesures correctives d’auto-initiation.

2- Meta a rejeté les demandes d’information des utilisateurs concernant le traitement de leurs données personnelles (durée de traitement des données personnelles, état de fourniture des données via la connexion Facebook, base de collecte d’informations sur les activités externes à Facebook et historique de consentement, etc.) en arguant, à tort, qu’elles ne faisaient pas partie des demandes d’accès selon la loi alors.

3- Meta aurait dû prendre des mesures de sécurité concernant des comptes et pages inactifs, telles que la suppression ou le blocage des pages / comptes.  Du fait de ce manquement, un hacker a pu soumettre une pièce d’identité falsifiée via la page de récupération de compte non utilisée pour demander la réinitialisation du mot de passe d’un autre compte. Meta a approuvé cette demande sans procéder à des vérifications adéquates de la pièce d’identité falsifiée, et les données personnelles de 10 utilisateurs coréens ont été fuitées.

Compte tenu de la nature et de la gravité de ces violations, la PIPC a décidé d’imposer à Meta une amende administrative et une sanction pour violation des réglementations de la loi concernant la limitation du traitement des informations sensibles, et a ordonné que Meta se mette en conformité. Enfin, la PIPC annonce qu’elle continuera de surveiller l’exécution des ordonnances de correction par Meta et s’efforcera d’assurer la protection des données personnelles de nos citoyens en appliquant la loi sans discrimination aux entreprises mondiales fournissant des services aux utilisateurs nationaux.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Corée: l’autorité sanctionne deux entreprises pour manquement à leurs obligations en matière de sécurité

La Commission de protection des informations personnelles (président Ko Hak-soo, ci-après dénommée « Commission de protection des informations personnelles ») a tenu sa 17e réunion plénière le 23 octobre (mercredi) et a voté l’imposition d’un total de 123,17 millions KRW d’amendes (soit environ 83 000 euros) et de 10,8 millions KRW (soit environ 7000 euros) de pénalités à deux entreprises* qui ont violé la loi sur la protection des informations personnelles.

* La première est Neo Pharm, un  exploitant d’un site web de centre commercial en ligne vendant des produits cosmétiques, etc. L’enquête a révélé que le pirate informatique a accédé à la page de l’administrateur Web du centre commercial exploité par Neopharm grâce aux informations du compte de l’administrateur du centre commercial obtenues à l’avance et a volé les informations personnelles des 293 723 membres du centre commercial. En particulier, le pirate informatique a accédé à la page de l’administrateur Web du centre commercial plus de 750 fois sur une période d’environ deux semaines, du 23 août au 5 août, a consulté et téléchargé des informations sur les membres et a envoyé environ 440 000 messages illégaux.

* La seconde est Ilhak Ltd., il s’agit d’un centre commercial qui a a fait l’objet d’une attaque d’insertion SQL par un pirate informatique pendant deux jours à partir du 23 décembre 17, et des informations personnelles ont été divulguées. Le pirate informatique qui a divulgué des informations personnelles a également affiché les informations personnelles de 10 000 personnes sur le tableau d’affichage du centre commercial.

Dans les deux cas,  la PIPC a constaté des lacunes dans la gestion de la sécurité. Par exemple, Neopharm avait négligé la gestion des droits d’accès en n’accordant pas de comptes à chaque gestionnaire d’informations personnelles et en partageant les comptes entre les départements, et qu’elle avait tardé à notifier les utilisateurs dont les informations personnelles avaient fait l’objet d’une fuite

En conséquence, la PIPC a condamné les deux entreprises :
* Neopharm: une amende de 105,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 75 000 euros au total)
* Ilhak: une amende de 15,17 millions de KRW et une pénalité de 7,2 millions de KRW (soit environ 15 000 euros au total)

L’autorité a déclaré que les entreprises qui fournissent des services et traitent des informations personnelles par l’intermédiaire de sites web doivent régulièrement gérer les comptes des gestionnaires d’informations personnelles et vérifier les failles de sécurité lorsqu’elles exploitent des pages d’administrateur web liées aux bases de données des membres, et qu’elles doivent prêter une attention constante aux attaques de vulnérabilité web bien connues, telles que les attaques par injection SQL, et prendre les mesures de sécurité appropriées.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Un guide pour la protection et l’utilisation des informations vidéo personnelles pour l’avancement de la conduite autonome AI

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a publié le « Guide pour la protection et l’utilisation des informations vidéo personnelles pour les dispositifs de traitement des informations vidéo mobiles » en septembre de l’année dernière, reflétant les normes d’application spécifiques de la disposition relative aux dispositifs de traitement des informations vidéo mobiles (article 25.2) nouvellement adoptée dans la loi sur la protection des informations personnelles (PIPA) et des exemples de demandes de renseignements émanant de l’industrie. Ce guide devrait répondre aux préoccupations en matière de protection de la vie privée et renforcer la compétitivité de l’industrie de la mobilité avancée grâce aux nouvelles technologies.

En effet, dans le passé, les images capturées par des dispositifs mobiles de traitement d’images dans des lieux publics tels que les routes et les parcs ont été essentielles pour le développement de l’intelligence artificielle autonome (IA), mais ces images contiennent des informations personnelles (telles que des images faciales) qui peuvent permettre d’identifier des individus. Ainsi, il a été demandé à la PIPC d’établir des normes spécifiques pouvant être utilisées pour le développement de l’IA.

En réponse, l’autorité a formé un groupe de recherche composé d’experts des milieux universitaires, juridiques et industriels afin de préparer un guide qui reflète les méthodes normalisées d’affichage de l’enregistrement en fonction des caractéristiques des différents dispositifs de traitement de l’information vidéo mobile, l’objectif étant d’établir des critères permettant de juger s’il existe un risque de violation injustifiée des droits lors de l’enregistrement vidéo et les points à observer pour protéger les informations personnelles à chaque étape du traitement (enregistrement, utilisation, mise à disposition, stockage, destruction, etc.)

Les principaux contenus de ce guide sont les suivants:
*【 ① Protection de la vie privée : Principes de base pour l’utilisation 】
*【 ② Conseils sur la conformité et recommandations pour chaque étape du traitement des informations visuelles personnelles 】
* 【③ Mesures et exemples d’utilisation de l’apprentissage par l’IA】
* 【④ Stockage et gestion sécurisés des informations vidéo personnelles】

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

Worldcoin condamné à une amende d’environ 775.000 euros par l’autorité coréenne

Dans un communiqué de presse publié ce jour, l’autorité coréenne a annoncé avoir condamné la Worldcoin Foundation (WCF) et Tools for Humanity Corporation (TFH) pour avoir enfreint la loi sur la protection des données personnelles et leur a infligé des amendes d’un montant total de 1,14 milliard KRW (environ 775.000 euros), ainsi que des ordres correctifs et des recommandations en vue d’une amélioration de la situation.

L’autorité a ouvert une enquête en février de cette année à la suite d’une plainte et d’articles de presse selon lesquels Worldcoin collectait sans autorisation des informations biométriques en échange d’actifs virtuels (« Worldcoin »).
L’enquête a confirmé que la World Coin Foundation et TFH (un administrateur et un sous-traitant (comme le développement et l’exploitation de la World App*) chargé du traitement des informations personnelles par la World Coin Foundation) n’avaient pas respecté leurs obligations en vertu de la loi sur la protection des informations personnelles (la « loi sur la protection ») en (i) collectant des informations personnelles telles que l’iris des personnes concernées en Corée sans base de traitement licite et (ii) en les transférant à l’étranger.

L’autorité note que 93 463 personnes en Corée ont téléchargé l’application World App, et 29 991 ont utilisé l’authentification par l’iris.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

L’autorité coréenne publie des lignes directrices pour le traitement des « données ouvertes » utilisées dans le développement et les services d’intelligence artificielle

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a préparé et publié le « Guide de traitement des informations personnelles ouvertes pour le développement et les services d’intelligence artificielle (IA) » afin de garantir que les données ouvertes essentielles au développement de l’IA soient traitées légalement et en toute sécurité dans le cadre réglementaire actuel en matière d’informations personnelles. L’autorité annoncée s’être concentrée sur l’établissement de normes interopérables au niveau international, étant donné que les principaux pays d’outre-mer tels que l’Union européenne (UE) et les États-Unis, qui équilibrent l’innovation et la sécurité de l’IA, ont récemment formé un système de réglementation de la vie privée pour l’IA et le traitement des données, y compris le traitement des données publiques.

En particulier, les lignes directrices précisent que les informations personnelles traitées en vertu de la disposition relative à l' »intérêt légitime » de l’article 15 de la loi sur la protection peuvent être utilisées pour le développement de l’apprentissage et des services d’intelligence artificielle (IA). En outre, pour que cette disposition relative à l’« intérêt légitime » s’applique, trois conditions doivent être remplies :
* la légitimité de la finalité du développement de l’IA,
* la nécessité de traiter les données à caractère personnel divulguées et
* la spécificité de l’avantage.

La PIPC a également fourni des orientations sur le contenu et l’application de ces trois conditions. Dans ses orientations, la PIPC a en outre fourni des conseils spécifiques sur les garanties techniques et administratives et les droits des personnes concernées que les entreprises d’IA peuvent prendre en compte pour traiter les informations personnelles divulguées sur la base de l’« intérêt légitime ».

Enfin, l’autorité a souligné le rôle des entreprises d’IA et du responsable de la protection de la vie privée dans le traitement des données d’apprentissage pour le développement de l’IA. Il a été recommandé que les entreprises organisent et gèrent de manière autonome une « organisation (provisoire) de protection de la vie privée dans le domaine de l’IA » dont le responsable de la protection de la vie privée serait la pièce maîtresse, qu’elles évaluent si les critères des lignes directrices sont respectés, et qu’elles créent et conservent les éléments de preuve. Il est également recommandé aux entreprises de surveiller régulièrement les facteurs de risque tels que les changements technologiques importants, comme l’amélioration des performances de l’IA, ou les préoccupations relatives à la violation des données personnelles, et de préparer des mesures correctives rapides en cas d’incidents tels que la fuite ou l’exposition de données personnelles.

« La publication de ce guide est une avancée importante et un premier pas vers la réalisation du développement simultané de la technologie de l’IA et de la protection des données personnelles », a déclaré Kyung-hoon Bae, président de l’Elgee AI Research Institute, coprésident du conseil d’orientation public-privé. « En fournissant des normes pour le traitement sécurisé des informations personnelles dans les données publiques, les incertitudes juridiques dans le développement de la technologie de l’IA seront réduites, ce qui permettra l’utilisation sécurisée des données, qui à son tour sera la base pour les citoyens de profiter des avantages de la technologie de l’IA dans un environnement de traitement des données digne de confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut