Dernières actualités : données personnelles

L’algorithme de notation de la CNAF attaqué devant le Conseil d’État par 15 organisations

En cette veille de journée mondiale du refus de la misère, 15 organisations de la société civile attaquent l’algorithme de notation des allocataires des Caisses d’Allocations Familiales (CAF) en justice, devant le Conseil d’État, au nom du droit de la protection des données personnelles et du principe de non-discrimination. Ce recours en justice contre un algorithme de ciblage d’un organisme ayant mission de service public est une première.

La Quadrature précise que cet algorithme attribue à chaque allocataire un score de suspicion dont la valeur est utilisée pour sélectionner celles et ceux faisant l’objet d’un contrôle. Plus il est élevé, plus la probabilité d’être contrôlé est grande. Chaque mois, l’algorithme analyse les données personnelles des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF et calcule plus de 13 millions de scores. Parmi les facteurs venant augmenter un score de suspicion on trouve notamment le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du revenu de solidarité active (RSA) ou de l’allocation adulte handicapé (AAH). En retour, les personnes en difficulté se retrouvent sur-contrôlées par rapport au reste de la population.

Notre recours devant le Conseil d’État porte tant sur l’étendue de la surveillance à l’œuvre que sur la discrimination opérée par cet algorithme envers des allocataires déjà fragilisés dans leurs parcours de vie.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Flandre a décidé d’elle-même de régionaliser la protection des données

Dans un article du jour (malheureusement réservé aux abonnes) le journal belge Le Soir révèle qu’ « au nez et la barbe de l’Etat, de la Cour constitutionnelle, par simple courrier adressé à la Commission, Jan Jambon a décidé de se passer de l’Autorité de protection des données et de passer par un organe flamand décrété compétent » afin de recevoir un avis concernant un projet d’arrêté.  Selon le quotidien, « il a donc, en quelque sorte, régionalisé en force la protection des données ».

« Le gouvernement fédéral n’a rien initié et nous n’avons entamé aucune démarche pour négocier un accord de coopération avec la Région flamande », a confirmé au Soir Mathieu Michel (MR), secrétaire d’État à la Vie privée. « La Flandre a donc agi en décidant de contourner l’État. Nous ne pouvons pas l’en empêcher. Nous attendons à présent la réaction de la Commission. Il faudra s’assurer que cet organe de contrôle réponde à toutes les exigences du Règlement général sur la protection des données (RGPD), notamment en matière d’indépendance. » La Commission européenne, quant à elle, aurait confirmé avoir reçu « la notification officielle des autorités belges », et qu’elle examinera la question.

[Ajout contextuel Portail RGPD: Cette démarche n’est en réalité pas nouvelle puisque depuis 2019, le gouvernement flamand ne fait pas appel à l’APD pour l’examen de ses projets de textes, et a poursuivi cette pratique malgré un arrêt de mars 2023 de la Cour Constitutionnelle selon lequel gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.]

Disponible (en accès limité) sur:  lesoir.be

Espagne : sanction d’un établissement de crédit pour traitement illicite après une usurpation d’identité

La semaine dernière, l’autorité espagnole (AEPD) a publié une sanction à l’encontre de la société Wenance Lending de España, S.A. (WELP ou WENANCE), une société de prêt en ligne, par laquelle elle prononce une amende de plus de 70 000 euros. pour violation de l’article 6 du RGPD selon lequel le traitement n’est licite que si une base légale appropriée est applicable.

Comme souvent, cette affaire commence avec la réclamation d’une personne, en l’occurrence, pour un traitement illégal de données personnelles. Le plaignant déclare que le 21 août 2020, il a vu une offre d’emploi sur le site web « milanuncios ». L’annonce indiquait le numéro de téléphone à contacter. Après avoir contacté ce numéro, le plaignant affirme avoir envoyé un selfie de lui-même avec une photo du recto et du verso de sa carte d’identité.
Peu de temps après, il dépose une réclamation affirmant que WELP lui impute une dette qui ne lui correspond pas, puisqu’elle découle de la contraction d’un prêt qui aurait été contracté frauduleusement le même jour.

L’AEPD ouvre une enquête au cours de laquelle il a été constaté que la procédure d’octroi du crédit établie par la défenderesse, en fonction du montant de la créance, était la suivante :
a) Remplir le formulaire de demande en indiquant vos données personnelles.
b) Soumission de la  photo de la pièce d’identité, recto et verso, selfie avec carte d’identité à la main, justificatif de revenus et copie du dernier bulle

[Ajout contextuel Portail RGPD: Autrement dit, l’arnaque était bien ficelée et visait à obtenir précisément ces éléments, ou en tout cas suffisamment afin de pouvoir falsifier le reste aisément.]

L’enquête a par ailleurs confirmé que le compte bénéficiant du prêt n’appartient pas au plaignant mais à une autre personne avec date d’enregistrement 20/08/2020 et date de radiation 15/01/2021. Le compte a été créé le 20 août 2020, un jour avant la conclusion du prêt faisant l’objet de la plainte. Il a été vérifié que l’adresse électronique et le numéro de téléphone utilisés pour contracter le prêt et qui apparaissent dans les bases de données de WELP ne coïncident pas avec l’adresse électronique et le numéro de téléphone que la Banque SANTANDER possède dans ses bases de données et que le plaignant a utilisés pour contacter WELP. Par ailleurs, WELP n’a pas fourni la preuve de la propriété du compte bancaire qu’elle était censée avoir vérifié manuellement pour contracter le prêt.

Compte tenu de ces éléments, l’autorité espagnole considère que le traitement des données à caractère personnel de la plaignante par WENANCE, qui a enregistré un contrat de crédit à la consommation en son nom, n’était couvert par
aucune des bases juridiques énoncées à l’article 6 du RGPD. Elle estime ainsi que la banque a procédé à un traitement illicite de données à caractère personnel et l’a condamné à une amende.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net dénonce l’essor du contrôle algorithmique chez France Travail

Selon l’association, « France Travail multiplie les expérimentations de profilage algorithmique des chômeurs, visant à évaluer leur honnêteté, attractivité et état de confiance. Cette pratique, partagée avec la CAF, s’inscrit dans un processus de numérisation forcée du service public de l’emploi. La Quadrature estime que l’automatisation via une myriade d’algorithmes contribue à une déshumanisation de l’accompagnement social.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion » […] Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social. »

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.