Dernières actualités : données personnelles

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

AP (autorité néerlandaise)

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

HAAS Avocats

Doctolib : L’IA transforme le secteur de la santé, mais à quel prix ?

Doctolib : L'IA transforme le secteur de la santé, mais à quel prix ?

Par Haas Avocats

L’intelligence artificielle (IA) est en train de redéfinir le secteur de la santé, en apportant des solutions novatrices qui améliorent la qualité des soins et la relation entre les patients et les professionnels de santé. Doctolib, à la pointe de cette révolution, développe des outils IA prometteurs qui pourraient redéfinir la pratique médicale.

Disponible sur: haas-avocats.com

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque

Lors de la dernière plénière du Comité européen de la protection des données (CEPD) en date du 16 juillet, les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024. En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Selon la CNIL, une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.

Disponible sur: CNIL.fr

CNIL (via legifrance)

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

CNIL

Design trompeur : les résultats de l’audit du Global Privacy Enforcement Network

En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant pour la protection de la vie privée au sein de pays membres de l’OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.

Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.

Cette année, l’audit, dit également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN – réseau international de protection et d’application des droits des consommateurs), composé d’autorités de protection des consommateurs.
La CNIL vous expose sa méthodologie ainsi que les résultats observés dans l’article ci-dessous.

Disponible sur: CNIL.fr

La Quadrature du Net

La Quadrature du Net dénonce l’essor du contrôle algorithmique chez France Travail

Selon l’association, « France Travail multiplie les expérimentations de profilage algorithmique des chômeurs, visant à évaluer leur honnêteté, attractivité et état de confiance. Cette pratique, partagée avec la CAF, s’inscrit dans un processus de numérisation forcée du service public de l’emploi. La Quadrature estime que l’automatisation via une myriade d’algorithmes contribue à une déshumanisation de l’accompagnement social.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion » […] Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social. »

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Retour en haut