Dernières actualités : données personnelles

La loi sur la protection des mineurs Kamilka nécessite des corrections. Intervention de l’UODO auprès du ministre de la Justice polonais

Le président de l’UODO a demandé à Adam Bodnar, le ministre de la justice, d’initier des amendements aux dispositions de la loi sur la protection des mineurs (connue sous le nom de loi Kamilka) afin de les adapter aux principes de la protection des données personnelles.

La nouvelle loi – qui modifie les dispositions antérieures de la loi sur la protection des mineurs – renforce la protection des droits de l’enfant en améliorant la collecte de signaux auprès des enfants et en vérifiant les compétences des personnes travaillant avec des enfants, ce qui était plus que nécessaire. Toutefois, une clarification de la loi semble nécessaire car la collecte et le traitement des données – y compris les données sensibles et les données soumises à un régime de traitement spécifique – que la loi prescrit aux éducateurs et aux personnes en contact avec les enfants peuvent constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Le président de l’APD fournit une analyse précise la manière d’appliquer les principes du RODO pour améliorer et compléter la loi. Il demande au Ministre de la Justice de répondre à cette soumission par écrit dans les 30 jours suivant sa réception. En particulier :
* La loi ne fournit pas une base juridique adéquate pour les normes de protection des mineurs
* Les dispositions relatives à la sphère des droits des personnes concernées et aux obligations des responsables du traitement sont vagues
* Le champ d’application des dispositions est imprécis, il n’y a pas de réglementation des principes du traitement des données
* L’obligation d’information doit être mise en œuvre dans les mêmes conditions à l’égard des personnes affectées par des actions négatives qu’à l’égard de l’auteur de l’événement négatif, ce qui suscite de nombreux doutes de la part des responsables du traitement
* D’importants doutes d’interprétation concernent la disposition relative à l’obligation des employeurs et autres organisateurs de vérifier le casier judiciaire des personnes effectuant un travail ou des activités liées au travail avec des enfants
* Le fait de demander des informations plus générales, « pour l’avenir », entraîne un traitement injustifié et redondant des données à caractère personnel des personnes
* Les dispositions de la loi n’indiquent pas la durée de conservation des données traitées par les responsables du traitement

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Italie: l’autorité ouvre une enquête sur la panne mondiale liée à Crowdstrike survenue la semaine dernière

Ce 23 juillet 2023, l’autorité annoncé que sur la base des notifications de violation de données reçues, la Garante a lancé des enquêtes sur les conséquences que la récente panne du système informatique a pu avoir sur les données personnelles des utilisateurs, notamment dans le cadre de l’utilisation des services publics. Cet événement résulte d’un dysfonctionnement du logiciel de sécurité CrowdStrike qui a bloqué le fonctionnement de nombreux services en ligne ces derniers jours. La Garante se réserve le droit de prendre d’autres mesures en cas de violations spécifiques susceptibles d’affecter les utilisateurs italiens.

[Ajout contextuel Portail RGPD: En effet, cette panne a touché de très nombreuses grosses entreprises à travers le monde et notamment dans le secteur des transports mais également des hôpitaux, pour qui la disponibilité des données à caractère personnel est critique : à défaut, il devient très difficile de soigner les malades et blessés. Ainsi, l’indisponibilité des données engendre un risque particulièrement élevé sur ces personnes, ce qui a probablement (en partie) expliqué le contrôle. Une affaire à suivre !]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.