Dernières actualités : données personnelles

DPC (autorité irlandaise)

La DPC lance une enquête sur le processus de vérification des clients de Ryanair

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête sur le traitement par Ryanair de données personnelles dans le cadre des processus de vérification des clients qui réservent des vols Ryanair à partir de sites web tiers ou d’agences de voyage en ligne. L’autorité a reçu un certain nombre de plaintes concernant la pratique de Ryanair consistant à demander des vérifications d’identité supplémentaires aux clients qui réservent des billets d’avion par l’intermédiaire de sites web tiers, au lieu de réserver directement sur le site web de Ryanair, étant précisé que les méthodes de vérification peuvent inclure des données biométriques.

Graham Doyle, commissaire adjoint du DPC, a commenté l’affaire : « Le DPC a reçu de nombreuses plaintes de clients de Ryanair dans l’UE/EEE qui, après avoir réservé leur vol, ont dû se soumettre à une procédure de vérification. Les méthodes de vérification utilisées par Ryanair comprenaient l’utilisation d’une technologie de reconnaissance faciale utilisant les données biométriques des clients. Cette enquête examinera si l’utilisation par Ryanair de ses méthodes de vérification est conforme au GDPR ».

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

la DPC lance une enquête sur le modèle d’IA de Google

La Commission de protection des données (DPC) a annoncé aujourd’hui qu’elle avait ouvert une enquête statutaire transfrontalière sur Google Ireland Limited (Google) en vertu de l’article 110 de la loi sur la protection des données de 2018. L’enquête statutaire porte sur la question de savoir si Google a respecté les obligations qu’elle pouvait avoir de procéder à une évaluation, conformément à l’article 35 du règlement général sur la protection des données (évaluation d’impact sur la protection des données), avant de s’engager dans le traitement des données personnelles des personnes concernées de l’UE/EEE associées au développement de son modèle d’IA fondamental, Pathways Language Model 2 (PaLM 2).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (via Euractif)

L’autorité irlandaise saisit la justice au sujet du traitement des données pour l’entraînement à l’IA

La Commission irlandaise de protection des données (DPC) a entamé une procédure judiciaire contre la plateforme de médias sociaux X mardi (6 août), selon le site web de la Haute Cour d’Irlande. La plainte porte sur le traitement des données des utilisateurs pour Grok, un modèle d’intelligence artificielle (IA), a rapporté l’Irish Examiner mercredi. Le compte Global Government Affairs de X a indiqué que le rapport était correct dans un message publié le 7 août.

Grok a été développé par xAI, une entreprise fondée par Elon Musk, propriétaire de X, et utilisé comme assistant de recherche pour les comptes premium sur la plateforme de médias sociaux. Entre autres choses, le DPC demande au tribunal d’ordonner à X d’arrêter ou de restreindre le traitement des données des utilisateurs pour former ses systèmes d’IA, a rapporté l’Irish Examiner, qui a également écrit que le DPC prévoyait de renvoyer l’affaire au Conseil européen de la protection des données (EDPB) pour un examen plus approfondi.

L’EPDB a déclaré à Euractiv que le DPC irlandais n’avait pas encore renvoyé l’affaire au conseil de l’UE.

Disponible (en anglais) sur: euractiv.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

AEPD (autorité espagnole)

Worldcoin s’engage à cesser ses activités en Espagne

En mars dernier, l’Agence espagnole de protection des données (AEPD) a pris une mesure conservatoire ordonnant à la société à l’origine du Worldcoin de cesser la collecte et le traitement de données à caractère personnel qu’elle effectuait en Espagne dans le cadre de son projet Worldcoin.  Entre-temps, les investigations du Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), l’autorité de protection des données de Bavière (Allemagne), où la société a son principal établissement en Europe, progressent et devraient se conclure prochainement par une décision finale basée sur des alignements avec toutes les autorités de contrôle européennes concernées. L’AEPD précise collaborer avec l’autorité bavaroise de protection des données, qui est l’autorité principale en matière de traitement des données, l’AEPD étant l’autorité intéressée, comme le prévoit le GDPR.

Dans ce contexte, l’entreprise a pris l’engagement juridiquement contraignant de ne pas reprendre ses activités en Espagne avant la fin de l’année ou, le cas échéant, jusqu’à ce que la BayLDA adopte une résolution finale concernant le traitement des données effectué par l’entreprise. La société éditrice du Worldcoin a annoncé des changements dans son fonctionnement, tels que l’introduction de contrôles pour vérifier l’âge ou la possibilité d’éliminer le code iris.

[Ajout contextuel Portail RGPD: Pour rappel, Worldcoin est un outil permettant de créer une identité numérique via l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie. Cette technologie a très vite fait l’objet de nombreuses plaintes en Europe, notamment en Espagne et au Portugal où elles ont été interdites, de même qu’en Italie où un avertissement a été adressé à la société avant même qu’elle le déploie sa solution.]

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut