Dernières actualités : données personnelles

ICO (autorité anglaise)

Effet domino : l’impact dévastateur des violations de données

Imaginez une personne qui vient d’échapper à une relation abusive et dont l’adresse confidentielle est exposée à la suite d’une violation de données. Ou pensez à une personne vivant avec le VIH dont les informations médicales sont accidentellement divulguées. Il ne s’agit pas de scénarios rares ou exagérés – ils sont réels et se produisent. De telles violations peuvent entraîner la stigmatisation, la peur, la discrimination, voire un danger physique. Pour ceux qui se trouvent déjà dans une situation difficile, les effets peuvent être dévastateurs et changer leur vie.

La protection des données n’a jamais été une affaire d’ordinateurs ou de robots, mais de personnes. Les informations qui nous sont confiées ne se limitent pas à un ensemble de chiffres ou de détails : elles reflètent des vies individuelles. Pourtant, les chiffres révélés aujourd’hui par l’ICO montrent que 55 % des adultes ont vu leurs données perdues ou volées. Cela représente près de 30 millions de personnes. Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées. Il est alarmant de constater que 30 % des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables. Plus inquiétant encore, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue le sentiment de trahison.

Ces chiffres mettent en lumière un problème crucial : trop d’organisations ne mesurent pas pleinement le préjudice qu’elles causent lorsqu’elles traitent mal des données personnelles. Lorsqu’une violation de données se produit, il ne s’agit pas seulement d’une erreur administrative, mais d’une incapacité à protéger quelqu’un. Dans de nombreux cas, si cette personne se trouve dans une situation vulnérable, elle est déjà confrontée à d’innombrables défis personnels ou risque de subir des préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Superviseurs de la protection de la vie privée du G7 : des déclarations sur l’IA et les mineurs, la circulation des données et la coopération internationale ont été approuvées

La quatrième réunion des autorités de protection des données du G7, coordonnée cette année par l’autorité italienne, s’est achevée aujourd’hui à Rome. La réunion, qui s’est déroulée du 9 au 11 octobre, a rassemblé le Collège de la Garante italienne et les autorités compétentes du Canada, de la France, de l’Allemagne, du Japon, du Royaume-Uni et des États-Unis d’Amérique, ainsi que le Conseil européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD).

Différents sujets ont été abordés, tous très pertinents et d’actualité, et d’importantes déclarations ont été approuvées, et notamment :

  • L’importance d’adopter des garanties appropriées pour les enfants dans le cadre du développement et de l’utilisation de l’intelligence artificielle, une technologie qui doit être conçue pour assurer leur croissance libre et harmonieuse.  La nécessité d’adopter des politiques d’innovation qui incluent également une éducation numérique adéquate, fondamentale pour l’éducation des mineurs en particulier, a également été soulignée au cours du débat.
  • Le rôle des Autorités dans la régulation de l’IA, qui a été jugé crucial justement pour en assurer la fiabilité. En effet, il a été souligné qu’elles disposent des compétences et de l’indépendance nécessaires pour assurer les garanties indispensables à la gestion d’un phénomène aussi complexe. Il a donc été convenu qu’il serait souhaitable d’exprimer aux gouvernements l’espoir que les autorités de protection des données se voient attribuer un rôle adéquat dans le système global de gouvernance de l’IA. Le suivi de l »évolution de la législation en matière d’IA et le rôle des autorités chargées de la protection des données dans les juridictions concernées est également un point important.
  • La comparaison entre les systèmes juridiques des différents pays sur le thème de la libre circulation des données, qui représente un élément important du développement et du progrès, y compris du progrès économique et social, a également été très utile.

A l’issue de l’événement, les autorités ont convenu de se rencontrer lors du G7 Privacy 2025, qui sera accueilli par l’Autorité canadienne.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur les changements apportés à la politique de LinkedIn en matière de données d’IA

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré :
« Nous sommes heureux que LinkedIn ait réfléchi aux préoccupations que nous avons soulevées concernant son approche de la formation des modèles d’IA générative avec des informations relatives à ses utilisateurs britanniques. Nous nous félicitons de la confirmation par LinkedIn qu’il a suspendu cette formation de modèle en attendant un engagement plus approfondi avec l’ICO.
Afin de tirer le meilleur parti de l’IA générative et des possibilités qu’elle offre, il est essentiel que le public puisse avoir confiance dans le fait que ses droits en matière de protection de la vie privée seront respectés dès le départ.
Nous continuerons à surveiller les principaux développeurs d’IA générative, notamment Microsoft et LinkedIn, afin d’examiner les garanties qu’ils ont mises en place et de veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

Les résultats du Sweep, réalisé par le Global Privacy Enforcement Network (GPEN) et  dont la Garante italienne est membre, ont été publiés

Dans sa newsletter du 13 septembre, l’autorité italienne revient sur les résultats de l’enquête du GPEN. Globalement, il est estimé que les utilisateurs de sites web et d’applications rencontrent encore trop d’obstacles lorsqu’ils doivent gérer les cookies ou supprimer leur compte. Les politiques de confidentialité, en revanche, sont faciles à lire et facilement accessibles. En effet, 26 autorités de protection des données du GPEN ont passé au crible, entre le 29 janvier et le 2 février, 899 sites web et 111 applications et ont identifié, dans 97 % des cas, la présence d’au moins un type de conception trompeuse. Parmi les indicateurs pris en considération, citons : l’utilisation d’un langage complexe et déroutant dans les divulgations, l’inclusion d’étapes supplémentaires et inutiles, l’introduction d’éléments de conception pour influencer la perception des options de confidentialité, et la demande d’informations personnelles excessives pour accéder à un service.

L’attention du garant italien de la protection de la vie privée s’est portée sur 50 sites web de « comparateurs » de services et de produits et concernait les bannières de cookies et la manière dont les comptes d’utilisateurs peuvent être supprimés. Dans plus de 60 % des cas, les bannières affichaient avec plus d’insistance l’option la moins favorable à la vie privée des utilisateurs ; dans près de 40 % des cas, l’utilisateur était contraint de suivre plusieurs étapes pour rejeter cette option ; dans un plus petit nombre de cas (environ 30 %), aucune autre option n’était présentée, hormis l’acceptation de tous les cookies. En outre, la  suppression d’un compte d’utilisateur présentait aussi souvent des difficultés en raison de l’absence d’une fonctionnalité de suppression spécifique, du nombre excessif de clics pour y parvenir, de la demande d’informations personnelles excessives et de l’utilisation d’un langage visant à dissuader l’utilisateur.

Disponible sur: privacyenforcement.net
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta visant à introduire des comptes pour adolescents, dotés de mesures de protection supplémentaires.

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré : « Nous saluons les nouvelles protections d’Instagram pour ses jeunes utilisateurs suite à notre engagement avec eux. Notre code de l’enfance est clair sur le fait que les comptes des enfants doivent être configurés comme ‘haute confidentialité’ par défaut, à moins qu’il n’y ait une raison impérieuse de ne pas le faire. Nous continuerons à faire pression là où nous pensons que l’industrie peut aller plus loin, et nous prendrons des mesures là où les entreprises ne font pas ce qu’il faut. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur le service d’abonnement sans publicité de Meta

Stephen Almond, directeur exécutif de l’ICO chargé des risques réglementaires, a déclaré :
« L’une de nos principales priorités est de veiller à ce que le secteur de la publicité en ligne respecte les droits des personnes en matière d’information. Au début de l’année, nous avons lancé un appel à commentaires sur les modèles de « Pay or Okay », dans lesquels les utilisateurs de services paient une redevance pour ne pas être suivis dans le cadre de la publicité en ligne. Nous examinons actuellement les réponses reçues et définirons la position de l’ICO dans le courant de l’année. À la suite d’un engagement avec Meta, nous examinons comment la loi britannique sur la protection des données s’appliquerait à un éventuel service d’abonnement sans publicité. Nous attendons de Meta qu’elle prenne en compte toutes les questions de protection des données que nous soulevons avant d’introduire un service d’abonnement pour ses utilisateurs britanniques. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouvel outil aide les petites entreprises à créer des avis de confidentialité

L’ICO a annoncé avoir lancé un nouvel outil rapide et facile à utiliser pour aider les petites organisations et les entrepreneurs individuels à créer un avis de confidentialité sur mesure et à protéger les droits des personnes en matière d’information.

En vertu de la loi sur la protection des données, toute organisation qui détient des informations sur des personnes doit expliquer pourquoi elle les détient et ce qu’elle en fait. Ainsi, ses clients, ses fournisseurs, son personnel et ses bénévoles savent ce qu’il adviendra de leurs données personnelles. Les organisations peuvent fournir ces informations par le biais d’un avis de confidentialité, qui est affiché sur leur site web ou inclus dans d’autres communications, afin de s’assurer qu’elles sont conformes.

En quelques étapes simples, le nouveau générateur d’avis de confidentialité permet de créer des avis de confidentialité sur mesure, adaptés aux petites organisations de divers secteurs de l’économie. L’outil comporte des sections spécifiques aux secteurs de la finance, de l’assurance et du droit, de l’éducation et de la garde d’enfants, de la santé et de l’aide sociale, ainsi qu’aux secteurs caritatif et bénévole. D’autres sections sont également conçues pour d’autres petites organisations dans des secteurs tels que le commerce de détail et l’industrie manufacturière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Google de ne plus bloquer les cookies tiers dans Chrome

Ce jour, Stephen Bonner, commissaire adjoint à l’ICO, a déclaré :
« Nous sommes déçus que Google ait changé ses plans et n’ait plus l’intention de déprécier les cookies tiers du navigateur Chrome. Depuis le début du projet Sandbox de Google en 2019, nous sommes d’avis que le blocage des cookies tiers serait une mesure positive pour les consommateurs.
Le nouveau plan présenté par Google constitue un changement significatif et nous réfléchirons à cette nouvelle ligne de conduite lorsque davantage de détails seront disponibles. Notre ambition de soutenir la création d’un internet plus respectueux de la vie privée se poursuit. Malgré la décision de Google, nous continuons à encourager le secteur de la publicité numérique à opter pour des solutions plus privées que les cookies de tiers – et à ne pas recourir à des formes de suivi plus opaques. Nous surveillerons la réaction du secteur et envisagerons des mesures réglementaires en cas de non-conformité systémique de toutes les entreprises, y compris Google. »

En effet, la veille, Google a annoncé (dans le plan disponible ci-dessus) que  » les premiers tests effectués par des entreprises de technologie publicitaire, dont Google, ont montré que les API de l’écrin de verdure pouvaient permettre d’atteindre ces résultats. Nous nous attendons à ce que les performances globales de l’utilisation des API Privacy Sandbox s’améliorent au fil du temps, à mesure que l’adoption par le secteur augmentera. Dans le même temps, nous reconnaissons que cette transition nécessite un travail important de la part de nombreux participants et qu’elle aura un impact sur les éditeurs, les annonceurs et toutes les personnes impliquées dans la publicité en ligne.

C’est pourquoi nous proposons une approche actualisée qui renforce le choix de l’utilisateur. Au lieu de supprimer les cookies tiers, nous introduirions une nouvelle expérience dans Chrome qui permettrait aux utilisateurs de faire un choix éclairé qui s’appliquerait à l’ensemble de leur navigation sur le web, et ils seraient en mesure d’ajuster ce choix à tout moment. Nous discutons de cette nouvelle voie avec les régulateurs et nous nous engagerons avec l’industrie au fur et à mesure que nous la mettrons en place. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut