Dernières actualités : données personnelles

Contrôleur européen de la protection de données (EDPS)

Le texte complet de la décision du Contrôleur européen concernant l’utilisation de Microsoft 365 par la Commission européenne est désormais disponible sur le site de l’EDPS (au total, 180 pages).

Selon un article sur LinkedIn de Thomas Zerdick (attention, lien tracké), chef de service à l’EDPS, les points d’attention du contrôleur ont été les suivants :
* La limitation des finalités : Évaluer l’adhésion de la Commission européenne au principe de limitation de la finalité tel qu’il est inscrit dans le « RGPD des institutions de l’UE » (Règlement 2018/1725) garantissant que les données ne sont traitées que pour des finalités déterminées, explicites et légitimes.
* L’encadrement des transferts internationaux : Évaluer la conformité du traitement avec les exigences du Règlement en matière de transferts internationaux de données, en particulier dans le contexte de l’arrêt Schrems II. Cet aspect est crucial, étant donné la surveillance accrue des transferts de données en dehors de l’UE/EEE.
* Divulgations non autorisées : Enquêter sur les garanties contractuelles contre les divulgations non autorisées de données à caractère personnel.

Toujours selon l’auteur, dans sa décision, le CEPD impose des mesures correctives à la Commission. Notez que le #EUDPR ne permet pas au CEPD d’imposer immédiatement une amende administrative, mais seulement lorsqu’une institution, un organe, un bureau ou une agence de l’UE ne se conforme pas à un ordre du CEPD.

Disponible (en anglais) sur: edps.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’autorité espagnole de protection des données ordonne une mesure conservatoire qui empêche Worldcoin de continuer à traiter des données à caractère personnel en Espagne.

Par une décision du 6 mars 2024, l’AEPD exige de Worldcoin (outil permettant de créer une identité numérique via l’iris des personnes concernées) la cessation de la collecte et du traitement de données à caractère personnel sensibles (en l’occurrence, biométriques) ainsi que le blocage des données déjà collectées. L’AEPD indique avoir reçu plusieurs plaintes dénonçant des informations insuffisantes, la collecte de données auprès de mineurs et l’impossibilité de retirer son consentement, entre autres infractions. L’AEPD précise que cette décision est basée sur des circonstances exceptionnelles, où il est nécessaire d’adopter des mesures visant à la cessation immédiate des activités de traitement afin d’éviter le transfert éventuel de données à des tiers et de sauvegarder le droit fondamental des personnes à la protection des données à caractère personnel.
Enfin, cette interdiction temporaire d’activité, limitée à l’Espagne, est valable pour une période maximale de trois mois.

[Ajout contextuel Portail RGPD: Si l’article 58 du RGPD donne effectivement aux autorités de contrôle le pouvoir « d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement », il s’agit jusqu’à présent d’une possibilité qui n’a été que très peu utilisée, probablement au regard des conséquences qu’elle peut avoir sur l’activité économique de la société concernée et/ou sur la liberté d’entreprendre. Cela pourrait expliquer pourquoi l’AEPD a tenu à préciser que des « circonstances exceptionnelles » sont à l’origine de cette décision.]

Disponible sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courtlistener (via @LuizaJarovsky)

Nouvelle plainte contre OpenAI déposée par un résident de Floride dans le cadre d’une « class action », notamment fondée sur la violation de la loi sur la confidentialité des communications électroniques, de la loi californienne sur la vie privée (CIPA), ou encore sur la loi concernant la concurrence déloyale. Sont également reprochés à OpenAI : de la négligence, l’atteinte à la vie privée des personnes, le vol ou encore un enrichissement sans cause.

Sur Twitter, Luiza Jarovsky reprend les arguments clés (attention, lien tracké), traduits ci-dessous :

  • « Avec le scraping par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, ainsi qu’il y a 15 ans – les défendeurs ont maintenant suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Avec le grattage par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, mais aussi il y a 15 ans – les défendeurs disposent désormais de suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Cela anéantirait la vie privée telle que nous la connaissons et souligne l’importance de la vie privée, de la propriété et d’autres droits légaux que cette action en justice cherche à défendre » (page 7). »
  • « L’orientation soudaine d’OpenAI vers le profit et son alignement sur Microsoft, une entreprise géante qui a tout intérêt à créer et à dominer un marché commercial de l’IA, ont marqué le début de la fin de l’engagement d’OpenAI en faveur de l’humanité. L’entreprise a commencé à rechercher des profits au détriment de la vie privée, de la sécurité et de l’éthique, en commençant par la collecte de données » (page 14)
  • « L’intégration de la technologie ChatGPT dans les principaux produits de Microsoft amplifie considérablement les préoccupations existantes en matière de confidentialité des données. Cette évolution permet effectivement de collecter des informations sur les consommateurs à travers un large éventail de systèmes et de plateformes, englobant une gamme complète d’interactions avec les utilisateurs. La collecte de données étendues sur les consommateurs qui en résulte contribue à l’élaboration de profils d’utilisateurs étendus. » (page 26)
  • « Une autre raison pour laquelle les utilisateurs conservent un intérêt pour leurs données personnelles sur l’internet, même lorsqu’elles sont techniquement « publiques », est l’attente raisonnable d' »obscurité », c’est-à-dire « la notion selon laquelle lorsque nos activités ou nos informations ont peu de chances d’être trouvées, vues ou mémorisées, elles sont, dans une certaine mesure, sûres ». Les experts en matière de protection de la vie privée notent que les utilisateurs s’attendent raisonnablement à ce que la majeure partie de l’internet ignore tout simplement leurs messages individuels. En outre, « [l]e passage du temps rend également les informations obscures : personne ne se souvient de vos photos MySpace d’il y a quinze ans » (page 53).

Une affaire à suivre !

Disponible (en anglais) sur: storage.courtlistener.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut