Dernières actualités : données personnelles

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Déclaration sur le travail de l’ICO pour protéger les enfants en ligne

Emily Keaney, commissaire adjointe de l’ICO (politique réglementaire), a déclaré :
« Les enfants considèrent que le partage de leurs informations personnelles en ligne est nécessaire pour éviter l’exclusion sociale, selon notre nouvelle recherche. Notre étude Children’s Data Lives montre que, pour de nombreux enfants, leurs données sont la seule monnaie qu’ils possèdent et que le partage de leurs données personnelles est souvent considéré comme un échange nécessaire pour accéder aux applications et aux services qui les aident à se faire des amis et à rester en contact avec eux. Les jeunes ont déclaré ne pas savoir comment les entreprises collectent et utilisent leurs données et font généralement confiance aux « grandes entreprises ». L’étude a montré que la conception des plateformes peut exacerber ce manque de compréhension, ce qui fait qu’il est difficile pour les enfants de prendre des décisions éclairées en matière de protection de leur vie privée. ».

Bien que la plupart des entreprises contactées par l’ICO pour améliorer les pratiques de l’industrie se soient engagées volontairement avec nous en conséquence, l’autorité annonce avoir émis des « requêtes formelles d’information » à l’encontre de trois entreprises : Fruitlab, Frog et Imgur. Celles-ci sont désormais contraintes de fournir à l’ICO des détails sur la manière dont elles abordent des questions telles que la géolocalisation, les paramètres de confidentialité ou la garantie de l’âge. Frog et Imgur ont déjà répondu.

Enfin, l’ICO a annoncé qu’elle fournira d’autres mises à jour sur sa stratégie relative au code des enfants, notamment sur ce qu’elle appris dans le cadre de son appel à contribution et de sonengagement continu avec l’industrie.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Les mauvaises procédures de la PSNI aboutissent à une amende de 750 000 £ (environ 900 000 euros)

Dans un communiqué publié ce jour, l’ICO annonce avoir infligé une amende de 750 000 £ au Service de police d’Irlande du Nord (PSNI) pour avoir exposé les informations personnelles de l’ensemble de son personnel, laissant de nombreuses personnes craindre pour leur sécurité. En effet, le 3 août 2023, le PSNI a reçu deux demandes d’accès à l’information de la part de la même personne via WhatDoTheyKnow (WDTK). La première demande « … le nombre d’officiers à chaque rang et le nombre d’employés à chaque grade… », la seconde demande une distinction entre « combien sont substantifs / temporaires / intérimaires… ». Les informations ont été téléchargées sous forme de fichier Excel avec une seule feuille de calcul à partir du système de gestion des ressources humaines (SAP) du PSNI. Les données comprenaient : les noms et les initiales des prénoms, la fonction, le grade, le département, le lieu du poste, le type de contrat, le sexe et le numéro de service et de personnel du PSNI.

Comme les informations ont été analysées en vue de leur divulgation, plusieurs autres feuilles de calcul ont été créées dans le fichier Excel téléchargé. Une fois l’analyse terminée, tous les onglets visibles à l’écran ont été supprimés du fichier Excel afin de ne garder que les résultats. La feuille de calcul originale, qui contenait les données personnelles a été oubliée et est restée sur le fichier, qui a été téléchargé sur le site web du WDTK à 14h31 le 8 août.
Le PSNI a été alerté de la violation par ses propres agents vers 16h10 le même jour. Le fichier a été caché par WDTK à 16 h 51 et supprimé du site web à 17 h 27. Six jours plus tard, le PSNI a annoncé qu’il partait du principe que le fichier était entre les mains de républicains dissidents et qu’il serait utilisé pour créer de la peur et de l’incertitude et à des fins d’intimidation.

L’enquête de l’autorité a révélé que des procédures simples à mettre en œuvre auraient pu empêcher cette grave violation, dans laquelle des données cachées sur une feuille de calcul publiée dans le cadre d’une demande de liberté d’information ont révélé les noms de famille, les initiales, les grades et les rôles de l’ensemble des 9 483 officiers et membres du personnel du PSNI. L’ICO précise qu’elle est consciente de la situation financière actuelle du PSNI et ne souhaitant pas détourner l’argent public de ses objectifs, le commissaire a fait usage de son pouvoir discrétionnaire pour appliquer l’approche du secteur public dans cette affaire. Si cette approche n’avait pas été appliquée, l’amende aurait été de 5,6 millions de livres sterling (soit 6,6 millions d’euros).

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La police du Surrey fait preuve d’un « manque de sérieux à l’égard de ses obligations » alors que l’ICO émet un avis d’exécution concernant des manquements en matière d’accès à l’information

Ce jour, l’ICO a publié un un avis d’exécution concernant le retard en matière de liberté d’information concernant la police de Surrey. Dans le cadre du FOIA [Freedom of Information Act] , les autorités publiques, y compris les forces de police, sont tenues de répondre aux demandes d’information dans un délai de 20 jours ouvrables. Cependant, l’ICO a constaté, s’agissant des pratiques de la police de Surrey que :

• La plus ancienne demande en suspens date de plus de deux ans, alors que les réponses sont généralement attendues dans un délai de vingt jours ouvrables
• Il y a un retard important et croissant dans le traitement des demandes de liberté d’information par la police du Surrey, qui s’est traduit par un taux de conformité de 54 % seulement, bien en deçà des normes attendues et en net recul par rapport au taux de conformité de 69 % enregistré au cours de la même période l’année dernière.

Très concrètement,  la police du Surrey doit désormais soumettre, dans les 30 jours, un plan d’action détaillant la manière dont elle mettra ses procédures de traitement des FOI en conformité avec la FOIA. Ce plan doit comprendre des mesures spécifiques pour résorber l’arriéré et faire en sorte que les demandes futures soient traitées dans les délais prévus par la loi. Les forces de police pourraient être condamnées pour outrage au tribunal si elles ne se conforment pas à ces mesures.

Disponible (en anglais) sur: ico.org.uk. L’avis d’exécution complet est également disponible (en anglais).
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Déclaration de l’ICO sur le service d’abonnement sans publicité de Meta

Stephen Almond, directeur exécutif de l’ICO chargé des risques réglementaires, a déclaré :
« L’une de nos principales priorités est de veiller à ce que le secteur de la publicité en ligne respecte les droits des personnes en matière d’information. Au début de l’année, nous avons lancé un appel à commentaires sur les modèles de « Pay or Okay », dans lesquels les utilisateurs de services paient une redevance pour ne pas être suivis dans le cadre de la publicité en ligne. Nous examinons actuellement les réponses reçues et définirons la position de l’ICO dans le courant de l’année. À la suite d’un engagement avec Meta, nous examinons comment la loi britannique sur la protection des données s’appliquerait à un éventuel service d’abonnement sans publicité. Nous attendons de Meta qu’elle prenne en compte toutes les questions de protection des données que nous soulevons avant d’introduire un service d’abonnement pour ses utilisateurs britanniques. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.