Dernières actualités : données personnelles

HmbBfDI (autorité allemande d’Hambourg)

Ouverture d’une étude par l’autorité de protection des données d’Hambourg sur les données personnelles dans les grands modèles linguistiques (LLMs)

Le commissaire de Hambourg à la protection des données et à la liberté d’information (HmbBfDI) présente aujourd’hui un document de travail examinant l’applicabilité du règlement général sur la protection des données (RGPD) aux grands modèles linguistiques (LLM). Ce document reflète la compréhension actuelle du sujet par l’autorité et vise à stimuler le débat et à aider les entreprises et les autorités publiques à naviguer à l’intersection de la loi sur la protection des données et de la technologie LLM. Il explique les aspects techniques pertinents des LLM, les évalue à la lumière de la jurisprudence de la Cour de justice de l’Union européenne en ce qui concerne la notion de données à caractère personnel du RGPD et met en évidence les implications pratiques. Ce faisant, la HmbBfDI fait la distinction, conformément à la loi sur l’IA qui entrera en vigueur le 2 août 2024, entre un LLM en tant que modèle d’IA (tel que GPT-4o) et en tant que composant d’un système d’IA (par exemple, ChatGPT).

D’après le communiqué publié, les principales hypothèses de travail sont les suivantes :
* Par principe, le simple stockage d’un LLM ne constitue pas un traitement au sens de l’article 4, paragraphe 2, du RGPD, dès lors qu’aucune donnée à caractère personnel n’est stockée dans les LLM.
* Étant donné qu’aucune donnée à caractère personnel n’est stockée dans les LLM, les droits des personnes concernées tels que définis dans le RGPD ne peuvent pas se rapporter au modèle lui-même. Toutefois, les demandes d’accès, d’effacement ou de rectification peuvent certainement porter sur les données d’entrée et de sortie d’un système d’IA du fournisseur ou du déployeur responsable.
* Dans la mesure où des données à caractère personnel sont traitées dans un système d’IA soutenu par un LLM, le traitement doit être conforme aux exigences du GDPR. Cela s’applique en particulier au contenu créé par un tel système d’IA.
* La formation des LLM utilisant des données à caractère personnel doit être conforme aux réglementations en matière de protection des données. Tout au long de ce processus, les droits des personnes concernées doivent également être respectés. Toutefois, les violations potentielles au cours de la phase de formation des MLD n’affectent pas la légalité de l’utilisation d’un tel modèle au sein d’un système d’IA.

Lire le document de discussion : Les grands modèles de langage et les données à caractère personnel (en anglais).

Disponible (en anglais) sur: datenschutz-hamburg.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.

Disponible sur: CNIL.fr

L’Usine digitale

Le ministère japonais de la Défense lance sa première politique autour des usages de l’IA

Le rythme s’intensifie concernant l’adoption de l’intelligence artificielle par les États. Dernier en date à se prononcer, le ministère japonais de la Défense qui a dévoilé la semaine dernière sa première politique sur l’utilisation de l’intelligence artificielle. Une annonce stratégique pour le pays qui cherche à éviter une pénurie de main-d’œuvre et à suivre le rythme de la Chine et des États-Unis dans les applications militaires de cette technologie. « Dans notre pays, où la population diminue et vieillit rapidement, il est essentiel d’utiliser le personnel plus efficacement que jamais« , a déclaré le ministre de la Défense, Minoru Kihara, lors d’une conférence de presse après la publication du programme, rapporte The Japan Times. « Nous pensons que l’IA a le potentiel d’être l’une des technologies capables de surmonter ces défis« .

Disponible sur: usine-digitale.fr

Diario de Sevilla

Le parquet espagnol enquête sur Meta pour avoir utilisé des données personnelles d’utilisateurs pour former son IA

Meta a suspendu l’entrainement de son IA basée sur les données des utilisateurs Facbeook et Instagram, mais l’histoire ne s’arrête pas à la DPC. Ce 4 juillet 2024, le ministère public espagnol a annoncé avoir ouvert une procédure préliminaire pour déterminer si Meta a violé le droit des utilisateurs de Facebook et d’Instagram à la protection des données personnelles en les utilisant pour entraîner son intelligence artificielle. Selon le ministère public, cette enquête fait suite à la réception massive par les utilisateurs de Facebook et d’Instagram de communications envoyées par les deux plateformes les avertissant que leurs posts, photos et légendes, ainsi que leurs messages et requêtes de sites web ou de commandes, allaient être utilisés par Meta. Selon lui, et bien que les utilisateurs aient le droit de s’opposer à la manière et à la finalité de l’utilisation de ces informations par les entreprises susmentionnées au moyen d’un formulaire de « demande d’opposition », celui-ci « est difficile à localiser et à gérer dans son envoi » et, une fois rempli et envoyé, « reste en attente d’acceptation ».

D’après l’article, le ministère public a l’intention de promouvoir des actions en justice pour défendre le droit fondamental des citoyens à la protection des données personnelles, ainsi que les droits des consommateurs et des utilisateurs des services de la société de l’information. En ce sens, il a notamment été convenu de mener une action en lien avec l’AEPD, l’autorité de protection des données espagnole, relative à la présentation d’un rapport sur les actions d’investigation.

Disponible (en espagnol) sur: diariodesevilla.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

 Reconnaissance faciale : l’autorité italienne sanctionne un concessionnaire qui l’utilisait pour du contrôle des temps de travail (120 000 euros d’amende)

Dans sa newsletter du 26 juin, l’autorité italienne est revenue sur la sanction d’un concessionnaire automobile (dont nous ne connaissons pas l’identité) pour avoir violé les données personnelles de ses employés en utilisant des systèmes de reconnaissance faciale pour contrôler les présences sur le lieu de travail. L’autorité est intervenue à la suite d’une plainte déposée par un employé dénonçant le traitement illicite de données à caractère personnel au moyen d’un système biométrique installé dans les deux unités de production de l’entreprise. La plainte dénonçait également l’utilisation d’un logiciel de gestion avec lequel chaque employé devait enregistrer les travaux de réparation effectués sur les véhicules qui lui étaient attribués, l’heure et la manière dont les travaux avaient été effectués, ainsi que les temps d’arrêt avec des raisons spécifiques.

L’enquête menée par l’autorité pour faire suite à cette plainte, réalisée en coopération avec d’autres autorités, ont révélé de nombreuses violations du règlement européen par la société. Dans sa newsletter, l’autorité met en particulier en lumière les deux éléments suivants :

* En ce qui concerne le traitement des données biométriques, l’autorité a réitéré une fois de plus que l’utilisation de ces données n’est pas autorisée parce qu’aucune disposition légale n’envisage actuellement l’utilisation de données biométriques pour l’enregistrement des présences. Par conséquent, l’Autorité a rappelé que même le consentement donné par les employés ne peut être considéré comme une condition préalable à la légalité, en raison de l’asymétrie entre les parties respectives à la relation de travail.

* Depuis plus de six ans, le concessionnaire utilisait un logiciel de gestion pour collecter des données personnelles sur les activités des employés afin d’établir des rapports mensuels à envoyer à la société mère, contenant des données agrégées sur le temps passé par les ateliers sur le travail effectué. Tout cela en l’absence d’une base juridique appropriée et d’une information adéquate qui, dans le cadre de la relation de travail, est l’expression du principe d’équité et de transparence. En conséquence, en plus de sanctionner la société, l’autorité lui a donc ordonné de mettre le traitement des données effectué par le biais du logiciel de gestion en conformité avec les dispositions de la réglementation relative à la protection des données personnelles.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

La Quadrature du Net

La Quadrature du Net dénonce l’essor du contrôle algorithmique chez France Travail

Selon l’association, « France Travail multiplie les expérimentations de profilage algorithmique des chômeurs, visant à évaluer leur honnêteté, attractivité et état de confiance. Cette pratique, partagée avec la CAF, s’inscrit dans un processus de numérisation forcée du service public de l’emploi. La Quadrature estime que l’automatisation via une myriade d’algorithmes contribue à une déshumanisation de l’accompagnement social.

« Score de suspicion » visant à évaluer l’honnêteté des chômeur·ses, « score d’employabilité » visant à mesurer leur « attractivité », algorithmes de détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion » […] Au nom de la « rationalisation » de l’action publique et d’une promesse « d’accompagnement personnalisé » et de « relation augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social. »

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

ICO (autorité anglaise)

Déclaration en réponse au projet de Meta de suspendre l’entrainement de son IA générative à l’aide de données d’utilisateurs

Stephen Almond, directeur exécutif chargé des risques réglementaires à l’ICO, a déclaré:
« Nous sommes heureux que Meta ait réfléchi aux préoccupations que nous avons partagées avec les utilisateurs de leur service au Royaume-Uni, et ait répondu à notre demande de mettre en pause et de revoir les plans d’utilisation des données des utilisateurs de Facebook et d’Instagram pour former l’IA générative. Afin de tirer le meilleur parti de l’IA générative et des opportunités qu’elle apporte, il est crucial que le public puisse avoir confiance dans le fait que leurs droits à la vie privée seront respectés dès le départ. Nous continuerons à surveiller les principaux développeurs d’IA générative, y compris Meta, pour examiner les garanties qu’ils ont mises en place et veiller à ce que les droits à l’information des utilisateurs britanniques soient protégés. »

De son côté, l’autorité irlandaise a déclaré « se féliciter de la décision de Meta de suspendre son projet de formation de son modèle de langage étendu en utilisant des contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. La DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

NOYB – None of your business

NOYB demande à 11 autorités de protection des données de mettre immédiatement un terme à l’utilisation abusive des données personnelles par Meta à des fins d’intelligence artificielle

Ces derniers jours, Meta a informé des millions d’Européens que sa politique de confidentialité changeait une fois de plus. Ce n’est qu’en examinant de plus près les liens figurant dans la notification qu’il est apparu clairement que l’entreprise envisageait d’utiliser des années de messages personnels, d’images privées ou de données de suivi en ligne pour une « technologie d’IA » non définie, capable d’ingérer des données personnelles provenant de n’importe quelle source et de partager toute information avec des « tiers » non définis. Au lieu de demander le consentement des utilisateurs (opt-in), Meta fait valoir un intérêt légitime qui l’emporte sur le droit fondamental à la protection des données et à la vie privée des utilisateurs européens. Une fois leurs données dans le système, les utilisateurs semblent n’avoir aucune possibilité de les supprimer (« droit à l’oubli »). noyb a déposé des plaintes dans 11 pays européens, demandant aux autorités de lancer une procédure d’urgence pour mettre fin à ce changement immédiatement, avant qu’il n’entre en vigueur le 26 juin 2024.

Disponible sur: noyb.eu

Retour en haut