Dernières actualités : données personnelles

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (autorité danoise)

Affaire Chromebook : les municipalités se conforment à la dernière ordonnance de l’Agence danoise de protection des données

Vous vous souvenez peut-être de cette décision rendue en début d’année à l’occasion de laquelle l’autorité danoise de protection des données a confirmé l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités. Ce 10 juillet 2024, l’autorité danoise a fait part de sa décision aux municipalités au moyen d’une lettre et a publié un communiqué afin d’annoncer que l’Agence danoise de protection des données estime désormais que les municipalités respectent l’ordonnance émise en janvier 2024, puisqu’elles ne divulguent plus de données à caractère personnel à des fins pour lesquelles il n’existe pas de base juridique. Cela concernait notamment (i) la maintenance et l’amélioration du service (ii) la mesure de la performance et (iii) le développement de nouvelles fonctionnalités et de nouveaux services.

Concernant les transferts hors UE, dans leur dernière lettre à l’Agence danoise de protection des données, les municipalités ont déclaré qu’elles s’abstiendraient spécifiquement d’utiliser des services où les données personnelles sont traitées dans des pays tiers où il n’existe pas de protection essentiellement équivalente des droits des personnes concernées. L’autorité juge cette déclaration positive et note que pour pouvoir utiliser les produits et services sélectionnés, les municipalités doivent avoir renoncé à ces services et les avoir fermés. Ceci s’applique également à la maintenance de l’infrastructure par le fournisseur, où les données personnelles traitées au nom des municipalités responsables des données peuvent être traitées.

Concernant la sous-traitance, l’autorité note que des ajustements ont été apportés au contrat afin de garantir que les données personnelles ne seront traitées que conformément aux instructions de la municipalité responsable du traitement des données, sauf dans les cas où le droit applicable en vertu des règles de l’UE ou du droit d’un État membre de l’UE l’exige.

« La question de la divulgation de certaines données relatives aux enfants sans base légale a été résolue, et nous estimons donc que les municipalités ont respecté l’ordre. Cela dit, il reste encore quelques questions en suspens dans cette affaire« , explique Allan Frank, spécialiste de la sécurité informatique et avocat à l’Agence danoise de protection des données. En effet, à la fin de son communiqué, l’Agence danoise de protection des données annonce avoir demandé au Conseil européen de la protection des données (CEPD) un avis sur, entre autres, la portée de l’obligation de documentation du responsable de traitement de données pour l’utilisation de sous-traitants ultérieurs par le sous-traitant. Lorsque cet avis sera disponible, l’autorité prévoit de procéder à une évaluation finale de la chaîne des sous-traitants lorsque les municipalités utilisent des produits Google.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GDPRHub

L’autorité danoise de protection des données confirme l’interdiction des Chromebooks et du logiciel « Google Workspace for Education » dans les écoles de 53 municipalités.

Le 30 janvier 2023, l’autorité danoise (Datatilsynet), par une injonction n° 2023-431-0001, a ordonné à 53 municipalités, qui utilisent des appareils Google Chromebook et le logiciel « Google Workspace for Education » dans leurs écoles, de se mettre en conformité avec le RGPD. Il s’agit de la cinquième décision  en la matière depuis le début des investigations en 2022. L’autorité a déclaré que les municipalités ne pouvaient pas partager les données à caractère personnel des élèves à des fins liées à la maintenance et à l’amélioration de Google Workspace for Education, de ChromeOS et du navigateur Chrome, ainsi qu’à la mesure des performances et au développement de nouvelles fonctions et de nouveaux services dans ChromeOS et dans le navigateur Chrome. En effet, ces objectifs ne couvrent pas seulement le développement des ressources d’enseignement et d’apprentissage spécifiques achetées par les municipalités, mais aussi le développement général des produits de Google. Par ailleurs, conformément à la loi sur les écoles publiques, les municipalités ne pouvaient pas divulguer des données à caractère personnel sur les élèves au fournisseur de ressources d’enseignement et d’apprentissage aux fins du développement général de ses produits informatiques à l’aide de ces informations.

L’autorité de protection des données a également proposé trois moyens de se mettre en conformité, mais uniquement à titre d’exemple, car il appartient aux municipalités, en tant que responsables du traitement, de déterminer et de décider comment se conformer à l’ordre de l’autorité de protection des données. Deux de ces cas impliquent nécessairement l’intervention d’une autre entité :
* Cesser de partager des données personnelles avec Google à des fins pour lesquelles il n’existe pas de base légale ;
* Demander à Google de cesser de traiter des données personnelles à ces fins ;
* Le Parlement danois doit créer une base juridique pour le traitement.

Disponible (en anglais) sur: gdprhub.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut