Dernières actualités : données personnelles

DPC (autorité irlandaise)

La DPC se félicite de la conclusion de la procédure relative à l’outil d’IA « Grok » de X

Dans un communiqué publié ce jour, la DPC a le plaisir d’annoncer la conclusion de la procédure qu’elle avait engagée devant la Haute Cour irlandaise le 8 août 2024. L’affaire est revenue devant la Cour ce matin et la procédure a été radiée sur la base de l’accord de X de continuer à adhérer aux termes de l’engagement (déclaration du DPC publiée le 8 août 24) sur une base permanente. La demande avait été introduite en aout dans des circonstances urgentes, car la DPC craignait que le traitement des données à caractère personnel contenues dans les messages publics des utilisateurs de l’UE/EEE de la société X, dans le but de former son IA « Grok », ne présente un risque pour les droits et libertés fondamentaux des personnes. C’était la première fois que le DPC, en tant qu’autorité de contrôle principale dans l’ensemble de l’UE/EEE, prenait une telle mesure, en utilisant ses pouvoirs en vertu de l’article 134 de la loi sur la protection des données de 2018.

Le commissaire (président) Des Hogan, s’exprimant sur la conclusion d’aujourd’hui, a déclaré : « La DPC se félicite du résultat obtenu aujourd’hui, qui protège les droits des citoyens de l’UE/EEE. Cette action démontre une fois de plus l’engagement de la DPC à prendre des mesures appropriées si nécessaire, en collaboration avec ses homologues européens. Nous sommes reconnaissants à la Cour de s’être penchée sur la question ».

En fin de communiqué, la DPC a annoncé avoir adressé une demande d’avis au Comité européen de la protection des données (« l’EDPB ») conformément à l’article 64, paragraphe 2, du GDPR afin de déclencher une discussion sur certaines des questions fondamentales qui se posent dans le contexte du traitement aux fins du développement et de la formation d’un modèle d’IA, apportant ainsi une clarté bien nécessaire dans ce domaine complexe (et notamment la mesure dans laquelle des données à caractère personnel sont traitées à différents stades de la formation et de l’exploitation d’un modèle d’IA).

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

Conseil d’Etat

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la sanction de la commune de Beaucaire pour des systèmes vidéosurveillance 

Le 30 avril 2024, le Conseil d’Etat n’a pas fait droite à la demande de Beaucaire d’annuler la mise en demeure prononcée par la CNIL début 2023 de mettre fin dans un délai ce 6 mois à des manquements constatés lors d’un contrôle en lien avec leur système de vidéosurveillance. Pour rendre sa décision, le Conseil d’Etat a considéré les éléments suivants:

* Sur l’absence de fondement juridique: Si la commune de Beaucaire est une autorité compétente au sens des articles L. 251-2 du code de la sécurité intérieure et 87 de la loi du 6 janvier 1978, elle n’a mis en œuvre les dispositifs litigieux qu’aux seules fins de répondre aux réquisitions des forces de l’ordre en mettant les données ainsi collectées à leur disposition pour l’exercice de leurs missions de police judiciaire. Il s’ensuit que la CNIL, qui n’a au demeurant pas commis d’erreur factuelle quant à l’indétermination des finalités poursuivies, a retenu à bon droit que cette finalité n’est pas au nombre de celles prévues par l’article L. 251-2 du code de la sécurité intérieure et que la mise en œuvre des dispositifs litigieux méconnaît donc l’article 87 de la loi du 6 janvier 1978.

* Sur la nécessité de réaliser une AIPD : Le dispositif de vidéoprotection mis en œuvre par la commune de Beaucaire comportait, à la date de la décision attaquée, 73 caméras implantées dans des zones accessibles au public, notamment à proximité d’axes de passage importants et de plusieurs services et infrastructures publics. Par conséquent, la CNIL, qui a suffisamment motivé sa décision, a exactement qualifié les faits en retenant que la mise en œuvre du dispositif de vidéoprotection litigieux était, eu égard à sa nature et à son ampleur, susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et nécessitait par conséquent la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel en application des dispositions citées au point 6.

* Sur la sécurité des données : La décision attaquée retient un manquement à l’obligation de sécurité imposée par l’article 32 du RGPD à raison de l’absence de segmentation du réseau de la commune de Beaucaire. Ce faisant, la CNIL a exposé dans la décision attaquée, ainsi qu’elle en la faculté pour l’exercice de ses missions rappelées au point 8, les mesures techniques dont la mise en œuvre est, selon elle, de nature à garantir le respect des dispositions de l’article 32 du RGPD.

Disponible sur: legifrance.gouv.fr

CJUE – Arrêt C-178/22

Le juge chargé d’autoriser l’accès à des relevés téléphoniques pour identifier les auteurs d’une infraction, pour la poursuite de laquelle la loi nationale prévoit un tel accès, doit être habilité à refuser ou à restreindre cet accès 

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE a jugé que selon la loi italienne, le délit de vol aggravé fait partie des infractions justifiant l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge. Elle estime que  l’ingérence dans ces droits fondamentaux causée par l’accès à des relevés téléphoniques est susceptible d’être qualifiée de grave et confirme qu’un tel accès ne peut être accordé qu’aux données de personnes soupçonnées d’être impliquées dans une infraction grave.

La Cour précise qu’il incombe aux États membres de définir les « infractions graves » aux fins de l’application de la directive en question. La législation pénale relève en effet de la compétence des États membres pour autant que l’Union n’ait pas légiféré en la matière. Elle précise également que les États membres ne sauraient dénaturer cette notion et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales de l’État membre concerné, alors même que le législateur de cet État membre a prévu de les punir d’une peine de réclusion maximale d’au moins trois ans.

Enfin, la Cour estime qu’afin, notamment, de vérifier l’absence d’une dénaturation de la notion de « criminalité grave », il est néanmoins essentiel que, lorsque l’accès aux données conservées comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée, cet accès soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Ainsi, le juge chargé d’autoriser cet accès doit être habilité à refuser ou à restreindre ledit accès lorsqu’il constate que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ledit accès est grave alors qu’il est manifeste que l’infraction en cause n’est pas grave au regard des conditions sociétales prévalant dans l’État membre concerné.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

CJUE – Arrêt C-470/21

Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE, réunie en assemblée plénière, a jugé que les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée. En effet, elle estime que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.

La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. Les États membres doivent néanmoins garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés.

Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave. Ce contrôle doit toutefois être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.. Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

Next

Sûreté dans les transports : extension de la vidéosurveillance algorithmique

Ce mercredi 15 mai, en commission, les députés examinent une proposition de loi déposée le 28 décembre par le député Philippe Tarabot (Les Républicains) et relative « à la sûreté dans les transports ».

Auprès du Monde, son rapporteur Clément Beaune ne cache pas que cette proposition de loi s’inscrit dans la droite ligne des lois « sécurité globale » de 2021, Jeux Olympiques de 2023 et Savary (relative à la lutte contre les incivilités, les atteintes à la sécurité publique et les actes terroristes dans les transports collectifs) de 2016. Alors qu’Amnesty International appelle les parlementaires à ancrer dans la loi une interdiction de recours à la reconnaissance faciale dans l’espace public, l’ancien ministre insiste de son côté sur le fait que ce texte-ci « ne permet pas l’utilisation de la reconnaissance faciale ou d’outils biométriques ». Il permet, en revanche, l’usage de traitements algorithmiques sur les captations de vidéosurveillance réalisées par les agents.

Disponible sur: next.ink

Retour en haut