Dernières actualités : données personnelles

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

DPC (via Euractif)

L’autorité irlandaise saisit la justice au sujet du traitement des données pour l’entraînement à l’IA

La Commission irlandaise de protection des données (DPC) a entamé une procédure judiciaire contre la plateforme de médias sociaux X mardi (6 août), selon le site web de la Haute Cour d’Irlande. La plainte porte sur le traitement des données des utilisateurs pour Grok, un modèle d’intelligence artificielle (IA), a rapporté l’Irish Examiner mercredi. Le compte Global Government Affairs de X a indiqué que le rapport était correct dans un message publié le 7 août.

Grok a été développé par xAI, une entreprise fondée par Elon Musk, propriétaire de X, et utilisé comme assistant de recherche pour les comptes premium sur la plateforme de médias sociaux. Entre autres choses, le DPC demande au tribunal d’ordonner à X d’arrêter ou de restreindre le traitement des données des utilisateurs pour former ses systèmes d’IA, a rapporté l’Irish Examiner, qui a également écrit que le DPC prévoyait de renvoyer l’affaire au Conseil européen de la protection des données (EDPB) pour un examen plus approfondi.

L’EPDB a déclaré à Euractiv que le DPC irlandais n’avait pas encore renvoyé l’affaire au conseil de l’UE.

Disponible (en anglais) sur: euractiv.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque

Lors de la dernière plénière du Comité européen de la protection des données (CEPD) en date du 16 juillet, les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024. En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Selon la CNIL, une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.

Disponible sur: CNIL.fr

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

CNIL

Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network

En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.

Cette année, l’audit, dit également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs), composé d’autorités de protection des consommateurs.
La CNIL vous expose sa méthodologie ainsi que les résultats observés dans l’article ci-dessous.

Disponible sur: CNIL.fr

CNIL

[Rediffusion Webinaire] Le partage de données par API : les recommandations de la CNIL

La CNIL se positionne sur les bonnes pratiques pour le partage sécurisé de données par voie d’API. Lors de ce webinaire, différents sujets seront abordés tels que le périmètre de la recommandation, les principales sources de risques liées aux API ainsi que les bonnes pratiques applicables à chaque cas.

Disponible sur: CNIL.fr

CNIL

La CNIL publie son cahier air 2023 « IA et libre-arbitre : sommes-nous des moutons numériques ? »

Dans le cadre de sa mission éthique, la CNIL publie son cahier air2023 afin de partager et de poursuivre les réflexions menées à l’occasion de l’évènement, organisé fin 2023, sur l’influence de l’intelligence artificielle sur nos choix. Il reprend les contributions des intervenants sous la forme d’entretiens et de témoignages.

Disponible sur: CNIL.fr

CNIL

IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle

À l’issue d’une consultation publique, la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle. Elles doivent aider les professionnels à concilier innovation et respect des droits des personnes pour le développement innovant et responsable de leurs systèmes d’IA.

Disponible sur: CNIL.fr

CNIL

La CNIL publie un dossier relatif à l’IA afin d’aider les développeurs à respecter le RGPD

La CNIL souhaite apporter des clarifications et des recommandations concrètes pour le développement des systèmes d’intelligence artificielle (IA) et la constitution de bases de données utilisées pour leur apprentissage, qui impliquent des données personnelles. La CNIL définit le périmètre des différentes fiches pratiques.

Disponible sur: CNIL.fr

Retour en haut