Dernières actualités : données personnelles – Page 5

ICO (autorité anglaise)

12 avril 2024

L’autorité anglaise sollicite des avis sur la précision des modèles génératifs d’IA afin de mettre à jour ses guides

L’Information Commissioner’s Office (ICO) a lancé le dernier volet de sa série de consultations sur la manière dont la loi sur la protection des données s’applique au développement et à l’utilisation de l’IA générative. La troisième consultation de la série porte sur la manière dont le principe d’exactitude de la protection des données s’applique aux résultats des modèles d’IA générative et sur l’impact que des données d’entraînement exactes ont sur les résultats. En effet, lorsque des personnes s’appuient à tort sur des modèles d’IA générative pour fournir des informations factuelles exactes sur des personnes, il peut en résulter des informations erronées, des atteintes à la réputation et d’autres préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

DPC (autorité irlandaise)

2 avril 2024

Le 31 janvier 2024, à la suite d’une enquête concernant une plainte reçue contre Airbnb Ireland UC (Airbnb), la Commission de la protection des données irlandaise (la CPD ou DPC en anglais) a adopté une décision qu’elle vient de publier sur son site.

La DPC avait ouvert cette enquête le 8 décembre 2022, à la suite d’une plainte selon laquelle Airbnb avait illégalement demandé une copie de la pièce d’identité du plaignant afin de vérifier son identité et d’effectuer une demande d’effacement lorsqu’il avait décidé de mettre fin à la procédure de création de compte. A la suite de cette enquête, qui a notamment pris du temps au regard du caractère transfrontalier du traitement (ce qui entraine l’activation de mécanismes de coopération entre autorités), la DPC a estimé qu’Airbnb n’avait pas valablement fondé le traitement des données d’identification du plaignant. En outre, la DPC a estimé que dans la situation particulière qui s’est présentée dans le cas de ce plaignant, l’exigence d’Airbnb que le plaignant vérifie son identité en soumettant une copie de sa pièce d’identité afin de faire une demande d’effacement constituait une violation du principe de minimisation des données, conformément à l’article 5, paragraphe 1, point c), du GDPR.

[Ajout contextuel Portail RGPD: La DPC a, dans cette affaire, été clémente, puisqu’Airbnb n’a écopé que d’une simple réprimande, justifiée par le fait qu’il a rapidement été mis fin à cette pratique. Il est notable qu’il s’agit de la 7è décision en la matière à l’encontre d’Airbnb publiée sur le site de la DPC, montrant que cette pratique a été mise en œuvre (au moins) entre Mars 2021 et Décembre 2022, dates entre lesquelles les plaintes ont été transmises à la DPC – alors mêmes que la V1 des lignes directrices sur le droit d’accès du CEPD écartaient la pratique dès janvier 2022 dans une version certes non définitive ouverte à consultation publique, notamment en ce qu’elle ne permettait pas un niveau d’authentification satisfaisant dans un contexte numérique (cf. points 73 et suivants).]

Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

2 avril 2024

La CNIL italienne adresse un avertissement à la Worldcoin Foundation avant même qu’elle ne commence le déploiement de son traitement de données biométriques via ses ORB en Italie

Alors que la société Worldcoin, dont le traitement consiste à enregistrer l’iris des personnes concernées en vue de leur attribuer un identifiant unique et leur ouvrir l’accès à la cryptomonnaie du même nom, a d’ores et déjà fait l’objet d’une interdiction en Espagne et au Portugal quelques semaines plus tard – celle-ci poursuit son déploiement petit à petit, la CNIL italienne a décidé de prendre les devants en avertissant la société qu’il s’agirait probablement d’un traitement contraire au RGPD :

« Conformément à l’article 58, paragraphe 2, point a), du règlement et à l’article 154, paragraphe 1, point f), du code, avertit la Worldcoin Foundation, dont le siège social est situé Suite 3119, 9 Forum Lane, Camana Bay, PO Box 144, George Town, Grand Cayman KY1-9006, Îles Caïmans, en sa qualité de responsable du traitement des données à caractère personnel, que le traitement des données biométriques qui sera effectué en Italie, par l’intermédiaire des ORB et de la manière décrite ci-dessus, est susceptible d’enfreindre les dispositions du règlement« .

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

APD (autorité belge)

28 janvier 2024

L’autorité de protection des données belge sanctionne l’entreprise de gestion de données Black Tiger Belgium pour manque de transparence

L’APD a imposé [le 16 janvier] à Black Tiger Belgium (anciennement Bisnode Belgium), une entreprise spécialisée dans le big data et la gestion de données, un total de 174.640 euros d’amendes administratives ainsi que des mesures correctrices pour diverses infractions au RGPD. Cette sanction couvre entre-autres le traitement déloyal de données sans en avoir informé de manière proactive, individuelle et transparente les personnes dont les données sont traitées. L’APD constate également des manquements au niveau de l’exercice des droits des personnes concernées et de la tenue d’un registre d’activités de traitement.

[Ajout contextuel Portail RGPD: Au point 109 (lu via une traduction), l’APD belge indique que la « conformité avec le principe d’exactitude des données ne saurait justifier une collecte non restreinte des données personnelles, l’objectif principal de la collecte étant de créer une base de données aussi complète et précise que possible. Dès lors, la nécessité de traiter et d’enrichir les données dans les bases de données pour la conformité avec le principe d’exactitude n’a pas été démontré ». Ainsi, le principe d’exactitude trouve sa limite dès lors que son application nécessiterait une collecte de données trop importante. ]

Disponible sur: autoriteprotectiondonnees.be. La décision complète (en néerlandais) est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.