Dernières actualités : données personnelles

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-757/22

Les associations de consommateurs peuvent poursuivre une entreprise pour un manque d’information préalable

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant Meta à une association allemande de consommateur, la Cour de Justice de l’UE a été amenée à préciser les capacités d’action des associations de consommateurs ou de toute autre entité habilitée à introduire des actions représentatives au titre du RGPD. En ce sens, l’article 80 du RGPD prévoit notamment que : « 2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

S’agissant de cet article 80 du RGPD, la CJUE a déjà eu l’occasion de préciser en 2022 qu’une action est possible en l’absence de tout mandat contre le responsable d’un traitement même en invoquant un fondement autre que le RGPD dès lors qu’il existe une violation affectant ou pouvant affecter les droits « RGPD » des personnes concernées (arrêt C-319/20). Cette fois,  la question portait sur le point de savoir si la condition de violation des droits de la personne « du fait de traitement » est remplie lorsqu’une telle action est fondée sur la violation de l’obligation incombant au responsable du traitement d’informer les personnes concernées.

Selon la Cour de Justice, « la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

IMY (autorité suédoise)

La banque Avanza condamnée à 1,3 millions d’amende pour le transfert de données personnelles à Meta via leur « pixel »

Dans un communiqué de presse en date du 25 juin 2024, l’autorité suédoise pour la protection de la vie privée (IMY) a décidé d’une amende de 15 millions de couronnes suédoises (un peu plus de 1,3 million d’euros) à l’encontre d’Avanza Bank AB pour avoir, en raison d’un défaut de paramétrage, utilisé un pixel dit Meta sur son site web et son application mobile – la banque n’ayant ainsi pas assuré la confidentialité et la sécurité des données concernées.

Cette affaire commence par une notification de violation de données de la part d’Avanza, selon laquelle des données à caractère personnel ont été transférées à Meta sur une longue période en raison de paramètres incorrects : une fonctionnalité avait été activée par inadvertance. Néanmoins, cette violation n’est pas anodine puisqu’elle concerne :
* des informations telles que des données sur les titres détenus et leur valeur, les montants des prêts, les numéros de compte et les numéros de sécurité sociale   :
* un million de personnes au maximum
* une période de violation prolongée, entre le 15 novembre 2019 au 2 juin 2021 inclus.  Avanza a ensuite pris connaissance de l’incident et a désactivé le pixel. La banque a également indiqué que Meta a confirmé que les données personnelles collectées par le biais du pixel ont été supprimées chez Meta.

Une enquête est ouverte par l’IMY, probablement au regard de l’importance de la violation et du risque généré pour les personnes concernées. Celle-ci confirme qu’Avanza a utilisé l’outil d’analyse de Meta, le pixel Facebook (désormais pixel Meta), à la fois sur son site web et dans son application afin d’optimiser le marketing de la banque sur Facebook, et que le transfert erroné de données à caractère personnel a été causé par l’activation par inadvertance par la banque d’une nouvelle fonctionnalité de Meta-Pixel nommée « correspondance automatique avancée » (AAM en anglais), celle-ci permettant à Meta de détecter automatiquement les informations à faire remonter pour optimiser les résultats liés au marketing.
« La banque a violé le règlement général sur la protection des données (RGPD) en n’ayant pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat des données personnelles des visiteurs du site web et des utilisateurs de l’application », déclare Catharina Fernquist, chef d’unité chez IMY.  En conséquence de cette violation des principes de confidentialité et de sécurité, l’IMY a infligé une amende administrative de 15 millions de couronnes suédoises à Avanza Bank AB.

A la fin de son communiqué, l’IMY a annoncé avoir plusieurs autres enquêtes en cours basées sur des violations de données personnelles signalées où des données personnelles ont été transférées à Meta sur une longue période. L’autorité enquête sur ce qui s’est passé et sur les procédures mises en place par les entreprises pour contrôler les données personnelles des utilisateurs.

Disponible (en suédois) sur: imy.se. La décision complète est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

SDTB (autorité allemande de Saxe)

L’autorité de Saxe contrôle 30.000 sites web et signale à 2.300 responsables enfreignant le RGPD – notamment à cause de Google Analytics

En mai, la commissaire à la protection des données et à la transparence de Saxe (SDTB) a examiné environ 30.000 sites Internet de Saxe afin de déterminer s’ils enfreignaient la protection des données. L’un des éléments ayant fait l’objet d’une analyse approfondie est l’utilisation du service d’analyse web Google Analytics. L’enquête de l’autorité a montré que sur les 30.000 sites analysés, dans 2.300 cas, les exploitants de sites web n’ont pas respecté cette obligation de manière satisfaisante. Il s’agissait aussi bien d’entreprises et d’associations que d’organismes publics. Dans les prochains jours, l’autorité annonce qu’ils recevront un courrier de la SDTB par lequel ils seront priés de remédier à cette violation de la protection des données et de supprimer toutes les données collectées illégalement, sans quoi ils risquent de faire l’objet d’une procédure administrative formelle après un nouveau contrôle.

Lors des contrôles, la commissaire à la protection des données et à la transparence de Saxe, Dr Juliane Hundert, a à l’esprit aussi bien les intérêts des exploitants de sites web que les droits de la personnalité des citoyennes et citoyens : « Les services de suivi tels que Google Analytics donnent un aperçu approfondi du comportement et de la vie privée des visiteurs des sites web. Du point de vue de la protection des données, les intérêts des exploitants passent donc au second plan. Cela signifie que si les responsables souhaitent utiliser Google Analytics, ils sont tenus d’obtenir le consentement des utilisateurs« . L’autorité rappelle ainsi très clairement que quiconque souhaite surveiller le comportement des utilisateurs sur son site web à l’aide de cet outil de suivi doit obtenir au préalable le consentement volontaire et univoque des visiteurs de la page.

Afin de réaliser des contrôle en ligne si nombreux et en si peu de temps, le service des commissaires saxons à la protection des données et à la transparence explique qu’il dispose depuis peu d’un laboratoire informatique dans lequel « on trouve du matériel et des logiciels modernes qui nous permettent d’analyser les sites web, les applications et les produits informatiques sous l’angle de la protection des données. Je suis ainsi en mesure, avec mon autorité, de procéder à l’avenir à des contrôles à plus grande échelle« , explique en conclusion le Dr Juliane Hundert.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DSK (autorité allemande fédérale)

L’autorité de protection des données fédérale allemande publie un guide sur la sélection, la mise en œuvre et l’utilisation de l’IA

Selon l’introduction du guide, « De nombreuses entreprises, autorités et autres organisations se demandent actuellement dans quelles conditions elles peuvent utiliser des applications d’intelligence artificielle dans le respect de la protection des données. A partir de 2023, l’accent sera mis sur les « Large Language Models » (LLM), qui sont souvent proposés comme chatbots, mais qui peuvent également servir de base à d’autres applications. L’aide à l’orientation qui suit se concentre donc actuellement sur ces applications d’IA.

Toutefois, au-delà des LLM, il existe de nombreux autres modèles et applications d’IA qui peuvent être utilisés et pour lesquels la plupart des considérations suivantes sont également pertinentes. La présente note d’orientation donne un aperçu des critères de protection des données à prendre en compte pour l’utilisation d’applications d’IA dans le respect de la protection des données.

Elle peut servir de guide pour la sélection, la mise en œuvre et l’utilisation des applications d’IA. Le guide sera probablement adapté à l’avenir afin d’intégrer les développements actuels et d’autres aspects pertinents. Il s’agit d’un guide, mais pas d’une liste exhaustive d’exigences. Il est parfois nécessaire de faire appel à d’autres ressources pour mettre en œuvre les points abordés dans cette note d’orientation. Ce guide s’adresse en premier lieu aux responsables qui souhaitent utiliser des applications d’IA. Elle s’adresse indirectement aux développeurs, fabricants et fournisseurs de systèmes d’IA en leur fournissant des indications sur le choix d’applications d’IA conformes à la protection des données. Le développement d’applications d’IA et l’entraînement de modèles d’IA ne sont toutefois pas au cœur de ce guide. »

[Ajout contextuel Portail RGPD: De manière notable, ce guide n’est pas applicable au développement des systèmes d’IA. Il doit donc être vu comme étant un guide adressé aux entreprises souhaitant se doter de tels systèmes sans les développer par eux mêmes mais en les acquérant auprès d’autrui. ]

Disponible (en allemand) sur: datenschutzkonferenz-online.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-741/21

Dans un arrêt C-741/21 du 11 avril 2024, la Cour de Justice de l’UE continue de bâtir le régime de responsabilité lié à la protection des données personnelles.

Dans ce nouvel arrêt, elle a estimé que:
* une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne (solution déjà dégagée par l’arrêt C-300/21, et notamment confirmée par l’arrêt C-687/21) ;
* il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 de l’article 82, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité;
* pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.

Disponible sur: curia.europa.eu.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Conclusions de l’avocat général dans l’affaire C-768/21

Selon l’avocat général Pikamäe, l’autorité de contrôle est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.

Dans l’affaire dont il est question, le commissaire à la protection des données a constaté une violation de la protection des données prévue par le règlement général sur la protection des données (RGPD), mais a conclu qu’il n’y avait pas lieu d’intervenir à l’encontre de la Caisse d’épargne, qui avait déjà pris des mesures disciplinaires à l’encontre de l’employée concernée. L’avocat général Priit Pikamäe estime, au contraire, que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.

À cet égard, le RGPD exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises 2 et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise. Toujours selon l’avocat général, ces principes s’appliqueraient également au régime des amendes administratives.

Disponible (en anglais) sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-61/22

L’insertion obligatoire dans les cartes d’identité de deux empreintes digitales est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Dans un arrêt rendu ce 21 mars, la Cour de Justice de l’UE estime que « l’obligation d’insérer deux empreintes digitales complètes dans le support de stockage des cartes d’identité constitue une limitation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par la charte des droits fondamentaux de l’Union européenne. Toutefois, cette insertion est justifiée par les objectifs d’intérêt général de lutter contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi que d’assurer l’interopérabilité des systèmes de vérification » dans la mesure où elle est « apte et nécessaire à la réalisation de ces objectifs et n’est pas disproportionnée par rapport à ceux-ci ».

Autrement élément d’espèce intéressant: Le règlement en question a été adopté sur la mauvaise base juridique, a par conséquent déclaré invalide. Néanmoins, les juges ont estimé que « l’invalidation du règlement avec effet immédiat serait susceptible de produire des conséquences négatives graves pour un nombre important de citoyens de l’Union et pour leur sûreté dans l’espace de liberté, de sécurité et de justice. La Cour maintient, pour cette raison, les effets du règlement jusqu’à l’entrée en vigueur, dans un délai raisonnable et au plus tard le 31 décembre 2026, d’un nouveau règlement, fondé sur la bonne base juridique. »

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Les courtiers en données suédois invoquent la protection juridique des journalistes pour se soustraire à la législation de l’UE

Grâce à une lacune dans la législation nationale, les courtiers en données peuvent exempter leur activité de la législation européenne sur la protection de la vie privée. Cela permet la vente incontrôlée des données personnelles de millions de personnes en Suède

Person standing on a press badge with the Swedish flag. In One hand he holds a briefcase with personal data, in the other hand a symbolic representation for personal data. To the right, there are hands offering money for said data.

Disponible sur: noyb.eu

Retour en haut