Dernières actualités : données personnelles

Datatilsynet (autorité danoise)

Thématiques prioritaires de l’autorité danoise en 2025

Dans un communiqué publié ce jour, l’autorité danoise rappelle que les activités de l’Autorité de protection des données comprennent des conseils, des consultations, le traitement des plaintes, le travail international et des contrôles ciblés. Comme les années précédentes, et à l’instar de la CNIL en France, celle-ci publie un aperçu des thèmes qui seront particulièrement au centre des activités de contrôle prévues pour l’année.

Au programme, notamment :
* Protection des enfants
* Suivi numérique dans la vie réelle
* Droit à l’effacement des personnes
* Gestion de l’accès au « Dossier Médical Partagé  » chez les médecins et dentistes libéraux
* Intelligence artificielle – IA générative et secteur de la santé

L’autorité a également annoncé qu’en 2025, en raison de changement dans les textes, moins de plaintes seront traitées en profondeur, mais une attention accrue sera portée aux affaires générales que l’Autorité de protection des données prend de sa propre initiative.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

En Corée du Sud, proposition d’un modèle de gestion des risques de confidentialité de l’IA pour une ère d’intelligence artificielle digne de confiance

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission de protection des informations ») a mis à disposition le « modèle de gestion des risques de confidentialité de l’IA pour une utilisation sécurisée de l’intelligence artificielle (IA) et des données » (ci-après dénommé « modèle de gestion des risques »), afin que les entreprises d’IA puissent gérer de manière autonome les risques de confidentialité. Ce modèle de gestion des risques contient de manière systématique les directions et principes de gestion des risques de confidentialité tout au long du cycle de vie de l’IA, les types de risques, ainsi que les mesures d’atténuation.

Les principales contenus du modèle de gestion des risques sont les suivants :

1. Procédure de gestion des risques de confidentialité de l’IA : D’abord, la procédure de gestion des risques de confidentialité de l’IA. L’IA est utilisée dans des contextes et des objectifs très divers, ce qui entraîne des exigences variées en matière de données (types, formes, volumes, etc.) et des modes de traitement. Par conséquent, pour définir la nature et gérer le risque, le point de départ consiste à identifier 1) les types et les usages concrets de l’IA. Sur cette base, il est possible d’identifier de manière spécifique 2) les risques propres à chaque type et usage d’IA, puis de réaliser des 3) mesures qualitatives et quantitatives des risques en tenant compte de la probabilité d’occurrence, de la gravité, de la priorité et de l’acceptabilité. Ensuite, l’élaboration de 4) mesures de sécurité proportionnelles aux risques permet de gérer les risques de manière systématique.

2. Types de risques de confidentialité de l’IA : Ensuite, la Commission a présenté des exemples de types de risques de confidentialité dans le contexte de l’IA. Les risques de violations des droits des personnes concernées et de non-conformité à la loi sur la protection des données résultant des caractéristiques uniques et des demandes de données assistées par les technologies d’IA ont été particulièrement abordés à travers une recherche bibliographique et des interviews d’entreprises.

3. Mesures d’atténuation des risques de confidentialité de l’IA : En outre, des mesures de sécurité techniques et administratives pour atténuer les risques ont été également fournies. Cependant, il n’est pas obligatoire de prendre toutes les mesures d’atténuation, mais il a été recommandé de préparer et mettre en œuvre des combinaisons optimales de mesures de sécurité en fonction des résultats de l’identification et de la mesure des risques.

4. Système de gestion des risques de confidentialité de l’IA : Enfin, la Commission a proposé un système de gestion des risques. Dans l’environnement de l’IA, divers éléments de gouvernance numérique tels que la protection des données personnelles, la gouvernance de l’IA, la cybersécurité, la sécurité et la confiance sont interconnectés. Il est donc nécessaire de réorganiser la gouvernance traditionnelle de la vie privée, lors de quoi le rôle et la responsabilité proactive du responsable de la protection des données personnelles (CPO) doivent être mis en avant. Il est également souhaitable de créer des organisations chargées de procéder à des évaluations diversifiées et professionnelles des risques et d’établir des politiques garantissant une gestion systématique des risques.

De plus, les entreprises d’IA doivent clairement comprendre leurs pouvoirs et responsabilités dans la chaîne de valeur de l’IA, et élaborer des systèmes de coopération avec d’autres entreprises et institutions afin de répondre de manière continue aux changements des risques de confidentialité et de garantir efficacement l’exercice des droits des personnes concernées.

La Commission de protection des informations prévoit de mettre à jour en permanence le modèle de gestion des risques en prenant en compte les développements technologiques en matière d’IA, la promulgation et la révision des lois relatives aux données personnelles, ainsi que les tendances mondiales. De plus, des documents d’orientation spécialisés seront prochainement élaborés pour des domaines spécifiques, tels que les petites organisations, les startups et les types de développement d’IA (ajustement fin, amélioration de recherche (RAG), etc.).

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

BfDI (autorité allemande)

Le groupe de Berlin adopte des documents sur les LLM et le partage de données

Le groupe de travail international sur la protection des données dans la technologie (IWGDPT), également appelé « groupe de Berlin », a adopté sous la présidence de la BfDI deux nouveaux documents de travail : un document sur les soi-disant « modèles de langage large » (LLM) et un document sur le thème du « partage de données ». Les LLM sont des modèles d’IA hautement complexes pour la génération de textes. Ils sont entraînés avec de grandes quantités de données. Le document aborde les risques pour la protection des données et montre comment y faire face avec une compréhension efficace du fonctionnement de la technologie.

La Commissaire fédérale pour la protection des données et la liberté d’information (BfDI), le professeur Dr. Louisa Specht-Riemenschneider, souligne : Pour l’entraînement de grands modèles linguistiques, des données d’entraînement de haute qualité sont nécessaires. Lorsque des données personnelles sont traitées, cela doit se faire de manière transparente et légale. Pour un traitement approprié des LLM et une supervision efficace qui accompagne constructivement les innovations, une analyse approfondie est nécessaire. Le document du groupe de Berlin décrit comment cela peut être réalisé.

Vous pouvez accéder aux documents de travail sur les modèles de langage large et le partage de données via le lien ci-dessous. Ceux-ci sont disponibles en anglais !

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

En Italie,  OpenAI condamné à réaliser une campagne d’information de six mois et payer une amende de 15 millions d’euros.

L’autorité italienne a annoncé aujourd’hui avoir adopté une décision corrective et sanctionnatrice à l’encontre d’OpenAI en lien avec la gestion du service ChatGPT. La décision, qui constate les violations précédemment reprochées à la société californienne, arrive à l’issue d’une instruction initiée en mars 2023 et après que le Comité européen de la protection des données (CEPD) a publié un avis identifiant une approche commune sur certaines des questions les plus pertinentes relatives au traitement des données personnelles dans le cadre de la conception, du développement et de la distribution de services basés sur l’intelligence artificielle.

Selon l’autorité, la société américaine, qui a créé et gère le chatbot d’intelligence artificielle générative ChatGPT :
* N’a pas notifié l’autorité de la violation des données subie en mars 2023,
* A traité les données personnelles des utilisateurs pour entraîner ChatGPT sans avoir d’abord identifié une base juridique adéquate, et a violé le principe de transparence ainsi que les obligations d’information qui en découlent vis-à-vis des utilisateurs,
* N’a pas mis en place de mécanismes pour vérifier l’âge, ce qui expose les mineurs de moins de 13 ans à des réponses inappropriées par rapport à leur niveau de développement et de conscience de soi,
* N’a pas correctement fait droit à des demandes d’exercice des droits.

L’Autorité, afin de garantir en premier lieu une réelle transparence sur le traitement des données personnelles, a ordonné à OpenAI, en utilisant pour la première fois les nouveaux pouvoirs prévus par l’article 166, paragraphe 7 du Code de la protection des données, de réaliser une campagne de communication institutionnelle de 6 mois sur la radio, la télévision, les journaux et Internet. Les contenus, à convenir avec l’autorité, devront promouvoir la compréhension et la sensibilisation du public sur le fonctionnement de ChatGPT, en particulier sur la collecte des données d’utilisateurs et de non-utilisateurs pour l’entraînement de l’intelligence artificielle générative, et sur les droits que peuvent exercer les personnes concernées, y compris ceux de s’opposer, de rectifier et d’effacer leurs données.

L’autorité a également infligé à OpenAI une sanction de quinze millions d’euros, calculée également en tenant compte de l’attitude collaborative de la société. Enfin, compte tenu du fait que la société a établi son siège social européen en Irlande au cours de l’instruction, la Garante, conformément à la règle du « guichet unique », a transmis les actes de la procédure à l’Autorité de protection des données irlandaise (DPC), devenue l’autorité de contrôle principale selon le RGPD, afin qu’elle poursuive l’instruction en ce qui concerne d’éventuelles violations de nature continue non épuisées avant l’ouverture de l’établissement européen.

[Ajout contextuel portail RGPD: Une affaire à suivre, en ce qu’elle pourrait affecter tous les responsables de traitement se servant de ChatGPT ! En effet, de manière assez classique, il y a de fortes chances qu’une solution n’ayant pas été développée selon les principes du RGPD ne permettra pas aux responsables de traitement se servant de cette solution d’être eux-mêmes conformes. En matière d’IA, le fait que le modèle d’entrainement n’a pas été développé conformément au RGPD est susceptible de remettre en cause toutes les utilisations ultérieures. En outre, comme l’a mentionné (en creux) le CEPD dans son avis en la matière, il appartiendra aux responsables de traitement de procéder aux évaluations nécessaires pour le déterminer.]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Avis du comité européen de la protection des données sur les modèles d’IA : Les principes du RGPD soutiennent une IA responsable

Le comité européen de la protection des données (CEPD) a adopté un avis* sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA. Le présent avis examine 1) quand et comment les modèles d’IA peuvent être considérés comme anonymes, 2) si et comment l’intérêt légitime peut être utilisé comme base juridique pour développer ou utiliser des modèles d’IA, et 3) ce qui se passe si un modèle d’IA est développé à l’aide de données à caractère personnel qui ont été traitées illégalement. Il prend également en compte l’utilisation de données de première et de tierce partie.

L’avis a été demandé par l’autorité irlandaise de protection des données (DPA) en vue d’une harmonisation réglementaire à l’échelle européenne. Afin de recueillir des contributions pour le présent avis, qui traite des technologies en évolution rapide qui ont une incidence importante sur la société, l’EDPB a organisé une manifestation des parties prenantes et a eu un échange avec le Bureau de l’UE pour l’IA.


Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

L’autorité avertit Gedi de ne pas vendre les données personnelles contenues dans l’archive du journal à OpenAI pour qu’elles soient utilisées pour entraîner les algorithmes

Un avertissement formel a été envoyé au groupe d’édition, en raison du risque possible pour les données de millions de personnes. Les archives numériques des journaux contiennent les histoires de millions de personnes, avec des informations, des détails, voire des données personnelles extrêmement sensibles qui ne peuvent pas être utilisées sous licence par des tiers pour entraîner l’intelligence artificielle, sans les précautions d’usage.

Si le groupe Gedi, en vertu de l’accord signé le 24 septembre dernier avec OpenAI, devait divulguer à cette dernière les données personnelles contenues dans ses archives, il pourrait violer les dispositions du règlement de l’UE, avec toutes les conséquences, y compris celles de nature répressive, prévues par la législation. Tel est, en résumé, l’avertissement formel que le Garant de la vie privée a adressé à Gedi et à toutes les sociétés (Gedi News Network Spa, Gedi Periodi e Servizi Spa, Gedi Digital Srl, Monet Srl et Alfemminile Srl) qui font partie de l’accord de communication de contenus éditoriaux stipulé avec OpenAI. La mesure a été adoptée à la suite des premières informations fournies par l’entreprise, dans le cadre de l’enquête récemment lancée par l’Autorité.

Sur la base des informations reçues, l’Autorité considère que les activités de traitement sont destinées à impliquer un volume important de données à caractère personnel, y compris celles de nature spéciale et de nature judiciaire, et que l’analyse d’impact, réalisée par la société et transmise à la Garante, n’analyse pas suffisamment la base juridique sur laquelle l’éditeur pourrait céder ou licencier les données à caractère personnel de ses archives à OpenAI pour qu’elles soient utilisées par des tiers, afin qu’elle puisse les traiter pour entraîner ses algorithmes.

Enfin, la mesure d’avertissement souligne que les obligations d’information et de transparence à l’égard des personnes concernées ne semblent pas avoir été suffisamment respectées et que Gedi n’est pas en mesure de garantir aux personnes concernées les droits que leur confère la législation européenne en matière de protection de la vie privée, en particulier le droit d’opposition.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

IA : votre assistant vocal connaît-il votre vie privée ?

Informations sur notre santé, sur nos préférences alimentaires, sur nos amis et notre famille : sans nous en rendre compte, nous pouvons confier de nombreuses données personnelles aux assistants vocaux. La CNIL a mené une expérience avec trois étudiants.

Accompagnée de la Fédération des centres sociaux de Vendée et de leur café mobile, la CNIL s’est rendue sur une place publique à La Roche-sur-Yon pour proposer à plusieurs passants d’échanger avec Germain, « un nouvel assistant vocal utilisant de l’intelligence artificielle ». Intrigués par le dispositif, les habitants ont interrogé l’assistant sur leurs besoins quotidiens : rechercher le numéro de téléphone d’une agence de voyages, savoir comment arrêter de fumer, identifier des circuits de vélo autour de son domicile ou encore savoir s’ils allaient réussir leurs examens, etc. À l’issue des échanges, les participants ont pu découvrir qu’ils avaient en réalité parlé avec un agent de la CNIL, caché dans un lieu à proximité, et qu’ils avaient confié de nombreuses données personnelles au fil de la discussion, parfois sans s’en rendre compte.

Disponible sur: CNIL.fr

SDTB (autorité allemande de Saxe)

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en particulier ont été abordés, résumés de la manière suivante:

* Une attention particulière a été portée au développement et à l’utilisation de modèles et de systèmes d’intelligence artificielle. La DSK a décidé de créer un groupe de travail sur l’intelligence artificielle qui réunit l’expertise technique et juridique de toutes les autorités de surveillance affiliées à la CCPD. Ce groupe de travail se penchera sur des questions telles que la collecte et la préparation des données d’entraînement, l’entraînement avec des données à caractère personnel et la mise en œuvre des droits des personnes concernées.

* L’arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 a également été discuté lors de la conférence. La Cour constitutionnelle fédérale a en effet déclaré, par un arrêt du 1er octobre 2024 – 1 BvR 1160/19 – que des dispositions de la loi sur le Bundeskriminalamt (BKAG) inconstitutionnelles. Cela concerne :
– d’une part le stockage préventif de « données de base » d’un prévenu précédemment collectées dans le réseau d’informations policières, sans qu’il ait été établi avec une probabilité suffisante que cela soit nécessaire pour prévenir un futur acte criminel;
– d’autre part, la surveillance de personnes de contact avec des moyens spéciaux est inconstitutionnelle si ces personnes de contact ne représentent elles-mêmes aucun danger concret. L’arrêt nécessite une modification du BKAG ainsi que des projets de loi au niveau des Länder et de la pratique de surveillance de la police.

La conférence a été l’occasion de discuter des modifications que cet arrêt nécessite pour la pratique de contrôle des autorités de protection des données et comment des contrôles communs ou coordonnés peuvent être mis en œuvre.

* La DSK a abordé des questions de protection des données importantes liées à l’administration électronique. Elle explique les nouvelles dispositions introduites par la nouvelle loi sur l’accès en ligne (OZG) en ce qui concerne leurs impacts pratiques pour les utilisateurs du droit. Sont notamment traités le principe « dites le moi une fois », l’attribution légale de la responsabilité en matière de protection des données aux fournisseurs de services d’accès et aux opérateurs de procédures administratives spécialisées.

* Enfin, la conférence a permis d’évoquer la mise à jour des lignes directrices pour les fournisseurs de services numériques du 1er décembre 2021. Les lignes directrices concernent notamment les services numériques, tels que les sites web et les applications, qui traitent des données personnelles des utilisateurs et constituent des profils pour suivre le comportement individuel des utilisateurs et utiliser les données à diverses fins, principalement des fins publicitaires. Selon l’article, la révision prend en compte principalement deux évolutions juridiques importantes des dernières années : la décision d’adéquation relative au cadre de protection des données UE-États-Unis; ainsi que les lois sur les services numériques (DDG) et sur la protection des données des services numériques de télécommunications (TDDDG) qui ont adapté les réglementations allemandes aux récentes modifications du droit européen.

Disponible (en allemand) sur: datenschutz.sachsen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

UODO (autorité polonaise)

Le président de l’UODO a rencontré des représentants de Microsoft

L’autorité polonaise a aujourd’hui annoncé que le 15 novembre dernier, le président de l’UODO Miroslaw Wróblewski, et la présidente adjointe , le professeur Agnieszka Grzelak, ont rencontré des représentants de Microsoft, dont Julie Brill, Chief Privacy Officer et Corporate Vice President of Global Privacy, Security and Regulatory Affairs chez Microsoft.

La réunion a porté sur l’utilisation de données personnelles pour former des modèles d’intelligence artificielle, y compris les risques pour la vie privée des utilisateurs et le respect des réglementations en matière de protection des données. Ont également été abordés les défis liés à l’utilisation des services en nuage en termes de protection des données, et  notamment vis à vis des transferts de données en dehors de l’UE. Une attention particulière a été accordée au besoin de transparence et de contrôle efficace des données des utilisateurs, y compris la possibilité de mettre en œuvre de nouvelles solutions technologiques pour soutenir la protection des données.

L’autorité estime dans son article que la réunion a constitué une étape importante dans la mise en place d’une coopération entre l’autorité de protection des données et les représentants du marché des technologies de l’information, en vue d’un développement durable des technologies, tout en respectant le droit à la vie privée. Une affaire à suivre !

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

L’ICO publie des recommandations en matière d’utilisation de l’IA à des fins de recrutement

De nombreux recruteurs peuvent chercher à se procurer ces outils pour améliorer l’efficacité de leur processus d’embauche, en aidant à trouver des candidats potentiels, à résumer les CV et à noter les candidats. Cependant, s’ils ne sont pas utilisés dans le respect de la loi, les outils d’IA peuvent avoir un impact négatif sur les demandeurs d’emploi, qui pourraient être injustement exclus des postes à pourvoir ou voir leur vie privée compromise.
L’ICO a ainsi publié des recommandations concernant les questions clés que les organisations devraient poser lorsqu’elles se procurent des outils d’IA pour les aider à recruter des employés. Cela fait suite à plusieurs contrôles réalisés auprès fournisseurs et développeurs d’outils d’IA pour le secteur du recrutement, qui ont  mis en évidence des domaines considérables à améliorer, notamment en veillant à ce que les informations personnelles soient traitées équitablement et réduites au minimum, et en expliquant clairement aux candidats comment leurs informations seront utilisées par l’outil d’IA.

L’autorité a formulé près de 300 recommandations claires à l’intention des fournisseurs et des développeurs afin d’améliorer leur conformité à la législation sur la protection des données, qui ont toutes été acceptées ou partiellement acceptées. Le rapport sur les résultats des audits résume les principales conclusions des audits, ainsi que des recommandations pratiques à l’intention des recruteurs qui souhaitent utiliser ces outils. Au menu: réalisation d’un PIA, base légale, documentation du traitement, transparence, élément contractuels, biais potentiels, …

Ian Hulme, directeur de l’assurance à l’ICO, a déclaré :
« L’IA peut apporter de réels avantages au processus de recrutement, mais elle introduit également de nouveaux risques qui peuvent nuire aux demandeurs d’emploi si elle n’est pas utilisée de manière légale et équitable. Les organisations qui envisagent d’acheter des outils d’IA pour faciliter leur processus de recrutement doivent poser des questions clés sur la protection des données aux fournisseurs et obtenir des garanties claires quant à leur respect de la loi. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut