Dernières actualités : données personnelles

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AP (autorité néerlandaise)

L’AP identifie encore des risques pour la vie privée au sein du gouvernement

Ce jour, l »autorité des données personnelles néerlandaise (AP) a annoncé avoir cartographié les tendances et les développements en matière de protection de la vie privée qui affectent le gouvernement. L’AP constate que si le gouvernement a pris des mesures, il a encore du mal à se conformer aux lois sur la protection de la vie privée. L’AP note dans l’évaluation du secteur gouvernemental que :

  • La connaissance des lois et réglementations en matière de protection de la vie privée au sein des organisations gouvernementales laisse parfois à désirer, en particulier chez les administrateurs.
  • La position du superviseur interne de la protection de la vie privée, le délégué à la protection des données (DPD), est parfois mise à mal.
  • Les organisations gouvernementales dépassent parfois délibérément les limites de la loi. Par exemple, lors de l’identification de la fraude (pensez aux algorithmes de risque de fraude). Mais il y a aussi l’inverse : les administrateurs n’osent pas, parce qu’ils considèrent – à tort – les lois et réglementations en matière de protection de la vie privée comme des obstacles.

L’autorité note que les organisations gouvernementales collectent plus de données personnelles que jamais et souhaitent plus que jamais les relier entre elles. Le risque que les citoyens aient des ennuis est élevé si le gouvernement fait un mauvais usage de leurs données personnelles. L’AP constate également que les municipalités ont elles-aussi de plus en plus besoin de partager et de relier des données. Il s’agit souvent d’aider une personne à obtenir des soins, de lutter contre les problèmes d’endettement ou de mettre fin à la criminalité. Il s’agit là de bonnes intentions, mais cela implique la nécessité de protéger correctement les citoyens et leurs donnée

Monique Verdier, vide présente de l’AP : « Le gouvernement a encore du pain sur la planche. Malheureusement, la série de graves abus en matière de traitement des données commis par le gouvernement ces dernières années l’a clairement montré. Elles ont ébranlé la société et entamé la confiance des citoyens dans le gouvernement. Pour rétablir la confiance, le gouvernement devra montrer qu’il prend au sérieux les droits et les intérêts des citoyens en matière de protection de la vie privée et qu’il fait tout ce qui est en son pouvoir pour les protéger correctement.

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

L’autorité polonaise demande au gouvernement de modifier la loi afin que les certificats de signature électronique qualifiée ne révèlent plus le numéro PESEL (équivalent du NIR) des personnes

Le président de l’UODO a demandé au ministre de la Numérisation de modifier la loi sur les services de confiance et d’identification électronique afin que le numéro PESEL ne soit pas rendu public dans un certificat de signature électronique qualifié (au sens du règlement eIDAS). Il s’agit d’une nouvelle demande en ce sens, mais les exigences de l’autorité de contrôle n’ont pas encore produit les résultats escomptés : ce problème a été signalé au président de l’UODO par des institutions et des organisations qui utilisent des signatures électroniques qualifiées. Ce numéro PESEL est obtenu par les prestataires de services de confiance publics (signature électronique qualifiée) et ensuite rendu public, ce qui ne résulte pas de la législation européenne ou nationale.

L’autorité polonaise rappelle qu’à la lumière du règlement eIDAS, le code d’identification du certificat devrait être basé sur un numéro de registre public qui identifierait de manière unique la personne utilisant la signature électronique qualifiée. De l’avis de l’autorité de contrôle, il ne doit pas s’agir d’un numéro PESEL, mais d’un autre identifiant. Le PESEL est une donnée unique, attribuée à un citoyen pour sa relation individuelle avec l’État – il n’identifie pas seulement une personne physique de manière unique, mais permet de déterminer un certain nombre d’informations supplémentaires sur la personne, telles que le sexe ou l’âge de la personne.
En outre, la loi ne prévoit pas l’obligation de divulguer le numéro PESEL dans un document portant une signature électronique. Par conséquent, elle estime que s’il est légitime d’utiliser le numéro PESEL dans le cas de la vérification d’une personne demandant un certificat de signature électronique qualifiée, il est tout à fait discutable de divulguer cette information à d’autres personnes ayant accès au contenu de la signature.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur les changements apportés à la politique de LinkedIn en matière de données d’IA

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré :
« Nous sommes heureux que LinkedIn ait réfléchi aux préoccupations que nous avons soulevées concernant son approche de la formation des modèles d’IA générative avec des informations relatives à ses utilisateurs britanniques. Nous nous félicitons de la confirmation par LinkedIn qu’il a suspendu cette formation de modèle en attendant un engagement plus approfondi avec l’ICO.
Afin de tirer le meilleur parti de l’IA générative et des possibilités qu’elle offre, il est essentiel que le public puisse avoir confiance dans le fait que ses droits en matière de protection de la vie privée seront respectés dès le départ.
Nous continuerons à surveiller les principaux développeurs d’IA générative, notamment Microsoft et LinkedIn, afin d’examiner les garanties qu’ils ont mises en place et de veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur le service d’abonnement sans publicité de Meta

Stephen Almond, directeur exécutif de l’ICO chargé des risques réglementaires, a déclaré :
« L’une de nos principales priorités est de veiller à ce que le secteur de la publicité en ligne respecte les droits des personnes en matière d’information. Au début de l’année, nous avons lancé un appel à commentaires sur les modèles de « Pay or Okay », dans lesquels les utilisateurs de services paient une redevance pour ne pas être suivis dans le cadre de la publicité en ligne. Nous examinons actuellement les réponses reçues et définirons la position de l’ICO dans le courant de l’année. À la suite d’un engagement avec Meta, nous examinons comment la loi britannique sur la protection des données s’appliquerait à un éventuel service d’abonnement sans publicité. Nous attendons de Meta qu’elle prenne en compte toutes les questions de protection des données que nous soulevons avant d’introduire un service d’abonnement pour ses utilisateurs britanniques. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur son approche vis à vis du secteur public

Ce jour, l’ICO a publié le communiqué suivant : « En juin 2022, nous avons révisé notre approche de la collaboration avec les organismes du secteur public et lancé un essai de deux ans, comme indiqué dans la lettre ouverte que nous avons publiée à l’époque. Tout en continuant à infliger des amendes aux organismes publics le cas échéant, nous avons également utilisé nos autres outils réglementaires pour veiller à ce que les informations des citoyens soient traitées de manière appropriée et que l’argent ne soit pas détourné des domaines où il est le plus nécessaire. Nous allons maintenant examiner les deux années d’essai avant de prendre une décision sur l’approche du secteur public à l’automne. Dans l’intervalle, nous continuerons à appliquer cette approche à nos activités réglementaires en relation avec les organisations du secteur public. »

Nous aurons probablement plus d’informations dans les semaines ou mois à venir !

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration en réponse au projet de Meta de suspendre l’entrainement de son IA générative à l’aide de données d’utilisateurs

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« Nous sommes heureux que Meta ait réfléchi aux préoccupations que nous avons partagées avec les utilisateurs de leur service au Royaume-Uni, et ait répondu à notre demande de mettre en pause et de revoir les plans d’utilisation des données des utilisateurs de Facebook et d’Instagram pour former l’IA générative. Afin de tirer le meilleur parti de l’IA générative et des opportunités qu’elle apporte, il est crucial que le public puisse avoir confiance dans le fait que leurs droits à la vie privée seront respectés dès le départ. Nous continuerons à surveiller les principaux développeurs d’IA générative, y compris Meta, pour examiner les garanties qu’ils ont mises en place et veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

De son côté, l’autorité irlandaise a déclaré « se féliciter de la décision de Meta de suspendre son projet de formation de son modèle de langage étendu en utilisant des contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. La DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO enquête sur la nouvelle fonction « Recall » de Microsoft

Dans un communiqué publié hier, l’ICO annonce l’ouverture d’une enquête sur la fonctionnalité Recall récemment présentée par le géant :
« Nous attendons des organisations qu’elles soient transparentes avec les utilisateurs sur la manière dont leurs données sont utilisées et qu’elles ne traitent les données personnelles que dans la mesure où cela est nécessaire pour atteindre un objectif spécifique. L’industrie doit prendre en compte la protection des données dès le départ et évaluer et atténuer rigoureusement les risques pour les droits et libertés des personnes avant de mettre des produits sur le marché. Nous nous renseignons auprès de Microsoft pour comprendre les garanties mises en place pour protéger la vie privée des utilisateurs. »

[Ajout contextuel Portail RGPD: Selon le site de Microsoft, Recall est une fonctionnalité qui « prend des instantanés de votre écran. Les instantanés sont pris toutes les cinq secondes lorsque le contenu de l’écran est différent de l’instantané précédent. Vos instantanés sont ensuite stockés localement et analysés localement sur votre PC. L’analyse de Recall vous permet de rechercher du contenu, y compris des images et du texte, en utilisant le langage naturel. Vous essayez de vous souvenir du nom du restaurant coréen mentionné par votre amie Alice ? Il vous suffit de demander à Recall de trouver des résultats textuels et visuels correspondant à votre recherche, automatiquement triés en fonction de leur degré de concordance avec votre recherche. Recall peut même vous renvoyer à l’emplacement exact de l’article que vous avez vu. »
Malgré l’affirmation de Microsoft selon laquelle tout serait réalisé en local et rien de sortirait de l’ordinateur de l’utilisateur (ce qui serait prouvé par le fait qu’une connexion internet ne serait pas requise pour utiliser Recall), de nombreuses inquiétudes ont émergé en lien avec le fait que tout élément apparaissant sur l’écran est susceptible d’être conservé : les mots de passe, les numéros de carte bancaire, les RIB, des numéros de sécurité sociale, etc. créant un risque très important pour les personnes concernées. En outre, il est difficilement imaginable que tous penseront à systématiquement supprimer les captures d’écran comprenant ces informations très sensibles.]

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO avertit les organisations qu’elles ne doivent pas ignorer les risques liés à la protection des données et nous concluons l’enquête sur le chatbot « My AI » de Snap.

Dans un communiqué publié ce jour, l’ICO annonce avoir conclu son enquête sur le lancement par Snap, Inc. du chatbot « My AI ».
« En juin 2023, nous avons ouvert une enquête sur « Mon IA » après avoir constaté que Snap n’avait pas respecté son obligation légale d’évaluer de manière adéquate les risques de protection des données posés par le nouveau chatbot. Snap a lancé « My AI » pour ses abonnés premium Snapchat+ le 27 février 2023, avant de le mettre à la disposition de tous les utilisateurs de Snapchat le 19 avril 2023. L’enquête nous a conduits à émettre un avis préliminaire d’exécution à l’encontre de Snap le 6 octobre 2023.

Notre enquête a permis à Snap de prendre des mesures importantes pour effectuer un examen plus approfondi des risques posés par « My AI » et nous démontrer qu’elle avait mis en œuvre des mesures d’atténuation appropriées. Nous sommes convaincus que Snap a désormais entrepris une évaluation des risques liés à « Mon IA » qui est conforme à la loi sur la protection des données. Nous continuerons à surveiller le déploiement de « Mon IA » et la manière dont les risques émergents sont traités. »

La décision finale sera publiée dans quelques semaines.
L’ICO profite de cet article pour « avertir l’industrie de s’engager dans les risques de protection des données de l’IA générative avant de mettre des produits sur le marché« , et compte bien « continuer à surveiller le développement et le déploiement de modèles d’IA générative et rappeler à l’industrie qu’elle doit innover de manière responsable« .

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut