Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA
La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.
Disponible sur: CNIL.fr
La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée
Minimisation des données, cookies, traitements illicites, sécurité des données ou encore non coopération et non réponse à une demande d’exercice des droits : les neuf nouvelles sanctions confirment la diversité des manquements sanctionnés par la CNIL dans le cadre de sa procédure simplifiée. Minimisation des données, cookies, traitements illicites, sécurité des données ou encore non coopération et non réponse à une demande d’exercice des droits : les neuf nouvelles sanctions confirment la diversité des manquements sanctionnés par la CNIL dans le cadre de sa procédure simplifiée.
Disponible sur: CNIL.fr
Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA
Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.
En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.
Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.
Disponible sur: CNIL.fr
RH & Recrutement : quelles données peuvent être collectées ?
Par Haas Avocats
Parmi les principes fondamentaux relatifs au traitement des données à caractère personnel, il en est un auquel les employeurs doivent particulièrement être alerté dans le cadre du recrutement de leurs salariés : c’est
le principe de la minimisation des données.
Disponible sur: haas-avocats.com
Le Conseil d’Etat confirme la sanction de la commune de Beaucaire pour des systèmes vidéosurveillance
Le 30 avril 2024, le Conseil d’Etat n’a pas fait droite à la demande de Beaucaire d’annuler la mise en demeure prononcée par la CNIL début 2023 de mettre fin dans un délai ce 6 mois à des manquements constatés lors d’un contrôle en lien avec leur système de vidéosurveillance. Pour rendre sa décision, le Conseil d’Etat a considéré les éléments suivants:
* Sur l’absence de fondement juridique: Si la commune de Beaucaire est une autorité compétente au sens des articles L. 251-2 du code de la sécurité intérieure et 87 de la loi du 6 janvier 1978, elle n’a mis en œuvre les dispositifs litigieux qu’aux seules fins de répondre aux réquisitions des forces de l’ordre en mettant les données ainsi collectées à leur disposition pour l’exercice de leurs missions de police judiciaire. Il s’ensuit que la CNIL, qui n’a au demeurant pas commis d’erreur factuelle quant à l’indétermination des finalités poursuivies, a retenu à bon droit que cette finalité n’est pas au nombre de celles prévues par l’article L. 251-2 du code de la sécurité intérieure et que la mise en œuvre des dispositifs litigieux méconnaît donc l’article 87 de la loi du 6 janvier 1978.
* Sur la nécessité de réaliser une AIPD : Le dispositif de vidéoprotection mis en œuvre par la commune de Beaucaire comportait, à la date de la décision attaquée, 73 caméras implantées dans des zones accessibles au public, notamment à proximité d’axes de passage importants et de plusieurs services et infrastructures publics. Par conséquent, la CNIL, qui a suffisamment motivé sa décision, a exactement qualifié les faits en retenant que la mise en œuvre du dispositif de vidéoprotection litigieux était, eu égard à sa nature et à son ampleur, susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et nécessitait par conséquent la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel en application des dispositions citées au point 6.
* Sur la sécurité des données : La décision attaquée retient un manquement à l’obligation de sécurité imposée par l’article 32 du RGPD à raison de l’absence de segmentation du réseau de la commune de Beaucaire. Ce faisant, la CNIL a exposé dans la décision attaquée, ainsi qu’elle en la faculté pour l’exercice de ses missions rappelées au point 8, les mesures techniques dont la mise en œuvre est, selon elle, de nature à garantir le respect des dispositions de l’article 32 du RGPD.
Disponible sur: legifrance.gouv.fr
Selon l’autorité néerlandaise, le scraping est presque toujours illégal
Le scraping est la collecte et le stockage automatiques d’informations sur l’internet. Le scraping par des parties privées et des individus n’est presque jamais autorisé : c’est en tout cas ce qu’affirme l’Autorité des données personnelles (AP) dans un nouveau guide. Celui-ci précise notamment un certain nombre de cas dans lequel le scraping est en toute hypothèse illégal. Par exemple :
* la recherche sur internet pour créer des profils de personnes en vue de les revendre ;
* la récupération d’informations à partir de comptes de médias sociaux protégés ou de forums fermés ;
* la récupération de données à partir de profils de médias sociaux publics, dans le but de déterminer si les personnes concernées bénéficient ou non de l’assurance demandée.
« Un malentendu très répandu veut que le scraping soit autorisé parce que tout ce qui se trouve sur l’internet est de toute façon accessible à tout le monde », a déclaré le président de l’AP, Aleid Wolfsen. « Mais le fait que des informations vous concernant soient publiques ne signifie pas automatiquement que vous autorisez le scraping. Même si vous indiquez sur votre compte de médias sociaux que vous avez récemment gagné à la loterie ou que vous avez subi une opération, vous ne donnez pas l’autorisation de récupérer ces données. L’autorisation de collecter des données à caractère personnel n’est donnée que si elle a été dûment demandée au préalable. Il est généralement impossible de le faire avec le scraping »,
Les conseils se trouvant dans l’article ci-dessous de l’AP ne s’adressent pas au gouvernement, mais l’AP précise que le scraping gouvernemental présente également des risques importants pour la vie privée et est soumis à des règles strictes. L’AP travaille également à l’élaboration d’une note d’orientation sur le scraping gouvernemental. En tout état de cause, les exceptions à cette règle sont très peu nombreuses : l’AP évoque le cas de l’intérêt légitime qui est fondé sur une norme juridique et qui ne doit pas être uniquement le profit (à condition que celui-ci soit réalisé de manière très ciblé), ou encore le cas del’usage domestique.
Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.
L’autorité finlandaise considère qu’un opérateur de télécommunications a le droit de conserver les données de ses clients mobiles pendant trois ans après la fin de leur abonnement
Suite à une plainte d’un client, l’autorité a enquêté sur la politique de l’opérateur de télécommunications en matière de suppression des données des clients. Le client avait demandé à l’opérateur de télécommunications de supprimer toutes les données personnelles le concernant que l’opérateur avait en sa possession. L’opérateur de télécommunications n’a pas donné suite à cette demande. L’autorité a estimé qu’une période de conservation de trois ans était justifiée parce que les données à caractère personnel peuvent être nécessaires après la fin de la relation avec le client, par exemple en ce qui concerne les dossiers en cours, la facturation ou les réclamations. L’opérateur de télécommunications n’était donc pas obligé de supprimer les données des clients qui avaient été conservées pendant moins de trois ans après la fin de la relation avec le client.
Dans sa décision, l’autorité a également évalué si l’opérateur de télécommunications avait agi illégalement en ne supprimant pas les données datant de plus de trois ans, malgré la demande du client. Les données personnelles en question concernaient une relation client qui avait pris fin plus de dix ans auparavant. Les données n’avaient pas été automatiquement effacées des systèmes informatiques en raison d’une erreur technique et l’opérateur de télécommunications ne les avait pas supprimées, même à la demande du client. Le contrôleur adjoint a adressé un avertissement à l’opérateur de télécommunications pour comportement répréhensible. Selon le règlement général sur la protection des données, les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées.
L’autorité précise néanmoins que cette décision n’est pas encore définitive.
Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.
Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende
Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.
Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé » sollicitation ATT » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »
Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.
Disponible sur: legifrance.gouv.fr
Contre l’empire de la vidéosurveillance algorithmique, La Quadrature du Net contre-attaque
Selon l’association de défense de la vie privée, l’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA (en particulier le projet mis en œuvre par la SNCF) et pointer l’incurie de l’autorité de protection des données personnelles.
Disponible sur: laquadrature.net
Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation
À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. Cette recommandation rappelle notamment que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles.
Disponible sur: CNIL.fr
