Dernières actualités : données personnelles

UODO (autorité polonaise)

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

ICO (autorité anglaise)

Déclaration de l’ICO sur les changements apportés à la politique de LinkedIn en matière de données d’IA

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré :
« Nous sommes heureux que LinkedIn ait réfléchi aux préoccupations que nous avons soulevées concernant son approche de la formation des modèles d’IA générative avec des informations relatives à ses utilisateurs britanniques. Nous nous félicitons de la confirmation par LinkedIn qu’il a suspendu cette formation de modèle en attendant un engagement plus approfondi avec l’ICO.
Afin de tirer le meilleur parti de l’IA générative et des possibilités qu’elle offre, il est essentiel que le public puisse avoir confiance dans le fait que ses droits en matière de protection de la vie privée seront respectés dès le départ.
Nous continuerons à surveiller les principaux développeurs d’IA générative, notamment Microsoft et LinkedIn, afin d’examiner les garanties qu’ils ont mises en place et de veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les plateformes de médias sociaux et de partage de vidéos sont mises en garde sur la de protection de la vie privée des enfants

Nous demandons à 11 plateformes de médias sociaux et de partage de vidéos d’améliorer leurs pratiques en matière de protection de la vie privée des enfants. Les plateformes qui ne respectent pas la loi s’exposent à des mesures coercitives. Cette mesure fait suite à l’examen en cours des plateformes de médias sociaux (SMP) et de partage de vidéos (VSP) dans le cadre de notre stratégie du Code de l’enfance.

Notre laboratoire technique a examiné 34 SMP et VSP en se concentrant sur le processus par lequel les jeunes s’inscrivent pour obtenir un compte. Les niveaux d’adhésion à notre code de l’enfant varient, certaines plateformes n’en faisant pas assez pour protéger la vie privée des enfants. Onze des 34 plateformes sont interrogées sur des questions relatives aux paramètres de confidentialité par défaut, à la géolocalisation ou à l’assurance de l’âge, et doivent expliquer comment leur approche est conforme au code, à la suite des préoccupations soulevées par l’examen. Nous nous entretenons également avec certaines plateformes au sujet de la publicité ciblée afin de définir les changements attendus pour que les pratiques soient conformes à la fois à la loi et au code.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une école de l’Essex réprimandée après avoir utilisé la technologie de reconnaissance faciale pour les paiements à la cantine

Ce jour, l’ICO annonce avoir adressé un blâme à une école qui avait enfreint la loi en introduisant la technologie de reconnaissance faciale (FRT). La technologie de reconnaissance faciale traite les données biométriques afin d’identifier les personnes de manière unique et est susceptible d’entraîner des risques élevés en matière de protection des données. Pour l’utiliser de manière légale et responsable, les organisations doivent mettre en place une évaluation de l’impact sur la protection des données (DPIA). Cette évaluation permet d’identifier et de gérer les risques plus élevés qui peuvent découler du traitement de données sensibles.

L’ICO note que la Chelmer Valley High School, située à Chelmsford, dans l’Essex, a commencé à utiliser cette technologie en mars 2023 pour permettre aux élèves de payer leur cantine sans numéraire. Cette école, qui compte environ 1 200 élèves âgés de 11 à 18 ans, n’a pas effectué d’analyse d’impact sur la protection des données avant de commencer à utiliser le FRT : il n’y a donc pas eu d’évaluation préalable des risques pour les informations concernant les enfants. L’école n’a pas non plus obtenu d’autorisation claire pour traiter les informations biométriques des élèves et ces derniers n’ont pas eu la possibilité de décider s’ils voulaient ou non que ces informations soient utilisées de cette manière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque

Lors de la dernière plénière du Comité européen de la protection des données (CEPD) en date du 16 juillet, les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024. En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Selon la CNIL, une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.

Disponible sur: CNIL.fr

CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

CNIL

Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network

En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.

Cette année, l’audit, dit également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs), composé d’autorités de protection des consommateurs.
La CNIL vous expose sa méthodologie ainsi que les résultats observés dans l’article ci-dessous.

Disponible sur: CNIL.fr

Retour en haut