Dernières actualités : données personnelles

ICO (autorité anglaise)

L’ICO appelle à la collaboration avec les développeurs alors qu’un rapport révèle les futures innovations et les préoccupations en matière de protection des données dans la génomique

L’ICO a annoncé avoir aujourd’hui publié un nouveau rapport sur la génomique, qui souligne la nécessité d’une approche de la protection de la vie privée dès la conception, qui soutienne l’innovation tout en protégeant la vie privée. Le rapport montre comment la génomique pourrait bientôt avoir un impact remarquable sur la vie quotidienne : les hôpitaux pourraient utiliser l’ADN pour prédire et prévenir les maladies, les assureurs pourraient adapter leurs politiques en fonction des marqueurs génétiques de la santé, et les technologies portables pourraient personnaliser les programmes de remise en forme en fonction des tendances génétiques.

Le rapport, qui fait partie de la série Tech Futures, examine les défis posés par les progrès rapides de la technologie génomique et invite les organisations à s’engager avec nous dans notre « bac à sable réglementaire ». Alors que la génomique continue de remodeler les soins de santé et de s’étendre à des secteurs tels que l’assurance, l’éducation et l’application de la loi, le rapport explore divers scénarios pour illustrer les préoccupations potentielles en matière de protection des données, notamment :

  • La sécurité des données : Certaines données génomiques sont très personnelles et presque impossibles à rendre anonymes, ce qui soulève des risques d’utilisation abusive ou de réidentification en cas de mauvaise manipulation ou de partage inapproprié.
  • La discrimination ou les préjugés : L’utilisation de données génomiques dans des domaines tels que l’assurance ou l’application de la loi pourrait conduire à une discrimination systémique, en particulier si elle est associée à des modèles susceptibles de renforcer les préjugés existants.
  • Transparence et consentement : Le partage de données entre organisations dans des secteurs tels que les soins de santé peut rendre difficile pour les individus de comprendre comment leurs données génomiques sont utilisées et dans quel but.
  • Partage familial : Les informations génomiques sont intrinsèquement liées aux membres de la famille, ce qui signifie que les données partagées sur une personne pourraient par inadvertance révéler des informations sensibles sur une autre personne.
  • But de l’utilisation : L’extension potentielle de l’utilisation des données génomiques au-delà de leur finalité initiale suscite des inquiétudes quant à la minimisation des données et à la limitation des finalités.

Enfin, l’ICO encourage les entreprises qui travaillent avec la génomique – que ce soit dans le domaine des soins de santé, de l’éducation, de l’assurance ou de la justice pénale – à collaborer avec son « Regulatory Sandbox ». Ce service gratuit permet aux développeurs de bénéficier de conseils d’experts sur l’élaboration d’innovations conformes à la protection de la vie privée dans le domaine de la génomique, afin de transformer des idées novatrices en solutions fiables et conformes à la législation.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Effet domino : l’impact dévastateur des violations de données

Imaginez une personne qui vient d’échapper à une relation abusive et dont l’adresse confidentielle est exposée à la suite d’une violation de données. Ou pensez à une personne vivant avec le VIH dont les informations médicales sont accidentellement divulguées. Il ne s’agit pas de scénarios rares ou exagérés – ils sont réels et se produisent. De telles violations peuvent entraîner la stigmatisation, la peur, la discrimination, voire un danger physique. Pour ceux qui se trouvent déjà dans une situation difficile, les effets peuvent être dévastateurs et changer leur vie.

La protection des données n’a jamais été une affaire d’ordinateurs ou de robots, mais de personnes. Les informations qui nous sont confiées ne se limitent pas à un ensemble de chiffres ou de détails : elles reflètent des vies individuelles. Pourtant, les chiffres révélés aujourd’hui par l’ICO montrent que 55 % des adultes ont vu leurs données perdues ou volées. Cela représente près de 30 millions de personnes. Les conséquences personnelles et émotionnelles de cette situation sont trop souvent négligées. Il est alarmant de constater que 30 % des victimes font état d’une détresse émotionnelle, alors que 25 % d’entre elles ne reçoivent aucune aide de la part des organisations responsables. Plus inquiétant encore, 32 % des personnes touchées l’apprennent par les médias plutôt que par l’organisation elle-même, ce qui accentue le sentiment de trahison.

Ces chiffres mettent en lumière un problème crucial : trop d’organisations ne mesurent pas pleinement le préjudice qu’elles causent lorsqu’elles traitent mal des données personnelles. Lorsqu’une violation de données se produit, il ne s’agit pas seulement d’une erreur administrative, mais d’une incapacité à protéger quelqu’un. Dans de nombreux cas, si cette personne se trouve dans une situation vulnérable, elle est déjà confrontée à d’innombrables défis personnels ou risque de subir des préjudices.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Les autorités mondiales chargées de la protection de la vie privée publient une déclaration commune de suivi sur le « scraping » de données après l’engagement de l’industrie d’améliorer ses pratiques

L’ICO a aujourd’hui, avec 16 autres autorités mondiales de protection des données, publié sur le site de l’autorité canadienne (en anglais) une déclaration afin de souligner comment les entreprises de médias sociaux peuvent mieux protéger les informations personnelles, alors que les inquiétudes grandissent au sujet de la récupération massive d’informations personnelles sur les plateformes de médias sociaux, y compris pour soutenir les systèmes d’intelligence artificielle. 

La première déclaration commune publiée l’année dernière souligne les principaux risques pour la vie privée associés au « data scraping », c’est-à-dire l’extraction automatisée de données sur le web, y compris sur les plateformes de médias sociaux et d’autres sites web qui hébergent des informations personnelles accessibles au public. Cette nouvelle déclaration conjointe fournit des conseils supplémentaires pour aider les entreprises à s’assurer que les informations personnelles de leurs utilisateurs sont protégées contre le scraping illégal.

L’année dernière, les autorités chargées de la protection des données ont invité les entreprises à définir et à mettre en œuvre des contrôles pour se protéger contre les activités de « scraping » de données sur leurs plateformes, les surveiller et y répondre, notamment en prenant des mesures pour détecter les robots et bloquer les adresses IP lorsqu’une activité de « scraping » de données est identifiée, entre autres mesures. Cette nouvelle déclaration conjointe énonce d’autres attentes, notamment que les organisations :
* Respectent les lois sur la protection de la vie privée et des données lorsqu’elles utilisent des informations personnelles, y compris sur leurs propres plateformes, pour développer des modèles de langage à grande échelle d’intelligence artificielle (IA) ;
*Déploient une combinaison de mesures de sauvegarde et les réviser et les mettre à jour régulièrement pour suivre les progrès des techniques et des technologies de scraping ; et
* Veillent à ce que l’extraction de données autorisée à des fins commerciales ou socialement bénéfiques se fasse dans le respect de la loi et de conditions contractuelles strictes.

Après la signature de la première déclaration par les membres du groupe de travail international Global Privacy Assembly en 2023, celle-ci a été envoyée aux sociétés mères de YouTube, TikTok, Instagram, Threads, Facebook, LinkedIn, Weibo et X (la plateforme anciennement connue sous le nom de Twitter). En général, les entreprises de médias sociaux ont indiqué aux autorités de protection des données qu’elles avaient mis en œuvre un grand nombre des mesures identifiées dans la déclaration initiale, ainsi que d’autres mesures qui peuvent faire partie d’une approche dynamique à plusieurs niveaux pour mieux se protéger contre le raclage illégal de données. Parmi les mesures supplémentaires présentées dans la déclaration conjointe de suivi figurent l’utilisation d’éléments de conception des plateformes qui rendent plus difficile le grattage automatisé des données, des mesures de protection qui tirent parti de l’intelligence artificielle et des solutions moins coûteuses que les petites et moyennes entreprises pourraient utiliser pour s’acquitter de leurs obligations en matière de protection des données.

Disponible (en anglais) sur: ico.org.uk.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouveau cadre d’audit de la protection des données est lancé pour aider les organisations à améliorer leur conformité

L’ICO a annoncé aujourd’hui avoir lancé un nouveau cadre d’audit conçu pour aider les organisations à évaluer leur propre conformité aux exigences clés de la loi sur la protection des données. Ce cadre donne aux organisations les moyens d’identifier les mesures nécessaires pour améliorer leurs pratiques en matière de protection des données et créer une culture de la conformité. Il leur fournit un point de départ pour évaluer la manière dont elles traitent et protègent les informations personnelles. Qu’il s’agisse de la direction générale, des délégués à la protection des données, des auditeurs de conformité ou des responsables de la gestion des dossiers ou de la cybersécurité, le cadre offre des outils pratiques pour mettre en place et maintenir une gestion solide de la protection de la vie privée.

Il s’agit d’une extension de notre cadre de responsabilisation existant, et il comprend neuf boîtes à outils couvrant les domaines clés suivants : Responsabilité, gestion des dossiers, information et cybersécurité, formation et sensibilisation, partage des données, demandes de données, gestion des violations de données personnelles, intelligence artificielle ou encore conception adaptée à l’âge.

Chaque boîte à outils est accompagnée d’un outil de suivi de l’audit de la protection des données téléchargeable qui aidera les organisations à procéder à leur propre évaluation de la conformité et à suivre les actions à entreprendre dans les domaines nécessitant une amélioration.

Ian Hulme, directeur de l’assurance réglementaire à l’ICO, a déclaré : « La transparence et la responsabilité en matière de protection des données sont essentielles, non seulement pour le respect de la réglementation, mais aussi pour instaurer la confiance avec le public. Les études montrent que les gens accordent de plus en plus d’importance à l’utilisation responsable de leurs informations personnelles et veulent que les organisations soient en mesure de démontrer qu’elles appliquent des pratiques rigoureuses en matière de protection des données. Notre nouveau cadre d’audit contribuera à instaurer la confiance et à encourager une culture positive de la protection des données, tout en étant flexible dans le ciblage des domaines de conformité les plus urgents. Nous voulons donner aux organisations les moyens de considérer la protection des données comme un atout, et pas seulement comme une obligation légale ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur les changements apportés à la politique de LinkedIn en matière de données d’IA

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré :
« Nous sommes heureux que LinkedIn ait réfléchi aux préoccupations que nous avons soulevées concernant son approche de la formation des modèles d’IA générative avec des informations relatives à ses utilisateurs britanniques. Nous nous félicitons de la confirmation par LinkedIn qu’il a suspendu cette formation de modèle en attendant un engagement plus approfondi avec l’ICO.
Afin de tirer le meilleur parti de l’IA générative et des possibilités qu’elle offre, il est essentiel que le public puisse avoir confiance dans le fait que ses droits en matière de protection de la vie privée seront respectés dès le départ.
Nous continuerons à surveiller les principaux développeurs d’IA générative, notamment Microsoft et LinkedIn, afin d’examiner les garanties qu’ils ont mises en place et de veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta visant à introduire des comptes pour adolescents, dotés de mesures de protection supplémentaires.

Stephen Almond, directeur exécutif des risques réglementaires, a déclaré : « Nous saluons les nouvelles protections d’Instagram pour ses jeunes utilisateurs suite à notre engagement avec eux. Notre code de l’enfance est clair sur le fait que les comptes des enfants doivent être configurés comme ‘haute confidentialité’ par défaut, à moins qu’il n’y ait une raison impérieuse de ne pas le faire. Nous continuerons à faire pression là où nous pensons que l’industrie peut aller plus loin, et nous prendrons des mesures là où les entreprises ne font pas ce qu’il faut. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à l’annonce de Meta concernant les données utilisateur pour former l’IA.

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« En juin, Meta a mis en pause ses projets d’utilisation des données des utilisateurs de Facebook et d’Instagram pour entraîner l’IA générative en réponse à une demande de l’ICO. Elle a depuis apporté des modifications à son approche, notamment en simplifiant la possibilité pour les utilisateurs de s’opposer au traitement et en leur offrant une fenêtre plus longue pour le faire. Meta a maintenant pris la décision de reprendre ses projets et nous suivrons la situation au fur et à mesure que Meta informera les utilisateurs britanniques et commencera le traitement dans les semaines à venir.

Nous avons clairement indiqué que toute organisation utilisant les informations de ses utilisateurs pour former des modèles génératifs d’IA doit être transparente sur la manière dont les données des personnes sont utilisées. Les organisations doivent mettre en place des garanties efficaces avant de commencer à utiliser des données personnelles pour l’entraînement de modèles, notamment en offrant aux utilisateurs un moyen clair et simple de s’opposer au traitement. L’ICO n’a pas fourni d’approbation réglementaire pour le traitement et c’est à Meta de garantir et de démontrer une conformité continue.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Déclaration de l’ICO sur le service d’abonnement sans publicité de Meta

Stephen Almond, directeur exécutif de l’ICO chargé des risques réglementaires, a déclaré :
« L’une de nos principales priorités est de veiller à ce que le secteur de la publicité en ligne respecte les droits des personnes en matière d’information. Au début de l’année, nous avons lancé un appel à commentaires sur les modèles de « Pay or Okay », dans lesquels les utilisateurs de services paient une redevance pour ne pas être suivis dans le cadre de la publicité en ligne. Nous examinons actuellement les réponses reçues et définirons la position de l’ICO dans le courant de l’année. À la suite d’un engagement avec Meta, nous examinons comment la loi britannique sur la protection des données s’appliquerait à un éventuel service d’abonnement sans publicité. Nous attendons de Meta qu’elle prenne en compte toutes les questions de protection des données que nous soulevons avant d’introduire un service d’abonnement pour ses utilisateurs britanniques. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Un nouvel outil aide les petites entreprises à créer des avis de confidentialité

L’ICO a annoncé avoir lancé un nouvel outil rapide et facile à utiliser pour aider les petites organisations et les entrepreneurs individuels à créer un avis de confidentialité sur mesure et à protéger les droits des personnes en matière d’information.

En vertu de la loi sur la protection des données, toute organisation qui détient des informations sur des personnes doit expliquer pourquoi elle les détient et ce qu’elle en fait. Ainsi, ses clients, ses fournisseurs, son personnel et ses bénévoles savent ce qu’il adviendra de leurs données personnelles. Les organisations peuvent fournir ces informations par le biais d’un avis de confidentialité, qui est affiché sur leur site web ou inclus dans d’autres communications, afin de s’assurer qu’elles sont conformes.

En quelques étapes simples, le nouveau générateur d’avis de confidentialité permet de créer des avis de confidentialité sur mesure, adaptés aux petites organisations de divers secteurs de l’économie. L’outil comporte des sections spécifiques aux secteurs de la finance, de l’assurance et du droit, de l’éducation et de la garde d’enfants, de la santé et de l’aide sociale, ainsi qu’aux secteurs caritatif et bénévole. D’autres sections sont également conçues pour d’autres petites organisations dans des secteurs tels que le commerce de détail et l’industrie manufacturière.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut