Dernières actualités : données personnelles

Contrôleur européen de la protection de données (EDPS)

Notre plan pour l’intelligence artificielle dans les institutions de l’UE

secretary-general and secretaries - general of the EU institutions

C’est en train de se produire : la loi européenne sur l’intelligence artificielle entrera en vigueur dans les prochaines semaines.

Les outils d’IA ont du potentiel, car ils offrent de nouvelles possibilités et améliorent la productivité dans toute une série de secteurs et de domaines, tels que les soins de santé, le développement durable, la recherche scientifique, les entreprises privées et les organisations publiques, y compris les institutions de l’UE. Cependant, les outils d’IA présentent également des risques ; s’ils sont mal utilisés, les personnes vulnérables peuvent être exploitées, par exemple.

En assumant le rôle de superviseur des institutions de l’UE en matière d’IA, le CEPD doit veiller à ce qu’elles soient préparées.
Chaque institution de l’UE, ses développeurs et ses utilisateurs doivent connaître les limites de ces outils. En d’autres termes, quand les utiliser et quand ne pas les utiliser.

Alors que la loi sur l’IA désormais adoptée se concentre sur la définition des grands principes de l’IA, offrant un certain degré de flexibilité pour que la réglementation soit réalisable à la lumière des défis et des développements à venir, dont certains restent inconnus, la mise en pratique de cette loi reste à définir. Le CEPD a élaboré un plan pour l’IA. Il se concentre sur trois éléments clés : la gouvernance, la gestion des risques et la supervision.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée. Disponible sur:

Contrôleur européen de la protection de données (EDPS)

Le texte complet de la décision du Contrôleur européen concernant l’utilisation de Microsoft 365 par la Commission européenne est désormais disponible sur le site de l’EDPS (au total, 180 pages).

Selon un article sur LinkedIn de Thomas Zerdick (attention, lien tracké), chef de service à l’EDPS, les points d’attention du contrôleur ont été les suivants :
* La limitation des finalités : Évaluer l’adhésion de la Commission européenne au principe de limitation de la finalité tel qu’il est inscrit dans le « RGPD des institutions de l’UE » (Règlement 2018/1725) garantissant que les données ne sont traitées que pour des finalités déterminées, explicites et légitimes.
* L’encadrement des transferts internationaux : Évaluer la conformité du traitement avec les exigences du Règlement en matière de transferts internationaux de données, en particulier dans le contexte de l’arrêt Schrems II. Cet aspect est crucial, étant donné la surveillance accrue des transferts de données en dehors de l’UE/EEE.
* Divulgations non autorisées : Enquêter sur les garanties contractuelles contre les divulgations non autorisées de données à caractère personnel.

Toujours selon l’auteur, dans sa décision, le CEPD impose des mesures correctives à la Commission. Notez que le #EUDPR ne permet pas au CEPD d’imposer immédiatement une amende administrative, mais seulement lorsqu’une institution, un organe, un bureau ou une agence de l’UE ne se conforme pas à un ordre du CEPD.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Contrôleur européen de la protection de données (EDPS)

L’utilisation de Microsoft 365 par la Commission européenne enfreint la législation sur la protection des données pour les institutions et organes de l’UE

computer with people sitting on it. Vectorial image.

Le Contrôleur a constaté que la Commission européenne a enfreint plusieurs dispositions du règlement (UE) 2018/1725, la loi de l’UE sur la protection des données pour les institutions, organes et organismes de l’UE (IUE), y compris celles relatives aux transferts de données à caractère personnel en dehors de l’UE/de l’Espace économique européen (EEE). En particulier, la Commission n’a pas prévu de garanties appropriées pour assurer que les données à caractère personnel transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE. En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données à caractère personnel doivent être collectés et pour quelles finalités explicites et spécifiées dans le cadre de l’utilisation de Microsoft 365. Les infractions commises par la Commission en tant que responsable du traitement des données concernent également le traitement des données, y compris les transferts de données à caractère personnel, effectué en son nom.

En conséquence, le Contrôleur a décidé d’ordonner à la Commission, avec effet au 9 décembre 2024:
* de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses filiales et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.
*de mettre les opérations de traitement résultant de son utilisation de Microsoft 365 en conformité avec le règlement (UE) 2018/1725.

La Commission doit démontrer qu’elle s’est conformée aux deux ordonnances d’ici le 9 décembre 2024. Le CEPD considère que les mesures correctives qu’il impose (voir l’annexe pour un extrait détaillé) sont appropriées, nécessaires et proportionnées à la lumière de la gravité et de la durée des infractions constatées.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut