Dernières actualités : données personnelles

AP (autorité néerlandaise)

L’AP inflige une amende de 30,5 millions d’euros à Clearview pour collecte illégale de données à des fins de reconnaissance faciale

L’Autorité des données personnelles (AP) a aujourd’hui annoncé avoir condamné Clearview AI à une amende de 30,5 millions d’euros et à des astreintes d’un montant maximum de plus de 5 millions d’euros. Clearview est une société américaine qui propose des services de reconnaissance faciale. Clearview a notamment créé illégalement une base de données contenant des milliards de photos de visages, dont ceux de citoyens néerlandais. L’AP prévient qu’il est également illégal d’utiliser les services de Clearview.

Clearview est une société commerciale qui propose des services de reconnaissance faciale aux services de renseignement et d’enquête. Les clients de Clearview peuvent soumettre des images de caméras afin de découvrir l’identité des personnes qui apparaissent sur l’image. Clearview dispose à cet effet d’une base de données de plus de 30 milliards de photos de personnes. Clearview récupère automatiquement ces photos sur l’internet. Elle les convertit ensuite en un code biométrique unique par visage Le tout, à l’insu des personnes concernées et sans leur consentement.

L’AP estime ainsi que :
– Clearview n’aurait jamais dû créer la base de données de photos, les codes biométriques uniques associés et d’autres informations. C’est particulièrement vrai pour les codes. Il s’agit de données biométriques, au même titre que les empreintes digitales. Il est interdit de les collecter et de les utiliser. Il existe quelques exceptions légales à cette interdiction, mais Clearview ne peut pas s’en prévaloir.
– Clearview n’informe pas suffisamment les personnes figurant dans la base de données que l’entreprise utilise leur photo et leurs données biométriques. Par ailleurs, les personnes figurant dans la base de données ont le droit de consulter leurs données. Cela signifie que Clearview doit montrer aux personnes qui en font la demande quelles sont les données dont dispose la société à leur sujet. Mais Clearview ne coopère pas avec les demandes d’inspection.

[Ajout contextuel Portail RGPD: Ce n’est pas le premier rodéo de Clearview, qui « joue » avec les règles depuis déjà quelques années, celle-ci tentant depuis toujours d’échapper à l’application du RGPD en expliquant qu’elle n’est pas implantée dans l’UE et qu’elle n’a pas de clients eu sein de l’UE. En mai 2023 par exemple, la CNIL avait liquidé une astreinte prononcée à l’encontre de la société en 2022, à l’occasion d’une décision par laquelle la société avait écopé d’une amende de 20 millions d’euros. L’autorité autrichienne avait également jugé les pratiques de la société illicites, mais n’avait quant à elle pas prononcé d’amende, comme l’a rapporté NOYB dans un article. Dès lors, certains auraient pu s’attendre à voir une escalade dans le montant des amendes dans l’espoir qu’enfin la société se mette en conformité avec la réglementation.]

Disponible (en néerlandais) sur: autoriteitpersoonsgegevens.nl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Les projets de Twitter en matière d’intelligence artificielle font l’objet de neuf nouvelles plaintes liées au GDPR

Récemment, Twitter International (aujourd’hui rebaptisé « X ») a commencé à utiliser illégalement les données personnelles de plus de 60 millions d’utilisateurs dans l’UE/EEE pour former ses technologies d’IA (comme « Grok ») sans leur consentement. Contrairement à Meta (qui a récemment dû mettre fin à l’entraînement à l’IA dans l’UE), Twitter n’a même pas informé ses utilisateurs à l’avance. La Commission irlandaise de protection des données (DPC) est allée trop loin : La semaine dernière, elle a entamé une procédure judiciaire contre Twitter pour mettre fin au traitement illégal, mais la DPC irlandaise semble s’être abstenue d’appliquer pleinement le GDPR. noyb a déposé neuf plaintes

Screen showing Twitter's Grok logo

Disponible sur: noyb.eu

PIPC (autorité coréenne)

L’autorité coréenne publie des lignes directrices pour le traitement des « données ouvertes » utilisées dans le développement et les services d’intelligence artificielle

La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a préparé et publié le « Guide de traitement des informations personnelles ouvertes pour le développement et les services d’intelligence artificielle (IA) » afin de garantir que les données ouvertes essentielles au développement de l’IA soient traitées légalement et en toute sécurité dans le cadre réglementaire actuel en matière d’informations personnelles. L’autorité annoncée s’être concentrée sur l’établissement de normes interopérables au niveau international, étant donné que les principaux pays d’outre-mer tels que l’Union européenne (UE) et les États-Unis, qui équilibrent l’innovation et la sécurité de l’IA, ont récemment formé un système de réglementation de la vie privée pour l’IA et le traitement des données, y compris le traitement des données publiques.

En particulier, les lignes directrices précisent que les informations personnelles traitées en vertu de la disposition relative à l' »intérêt légitime » de l’article 15 de la loi sur la protection peuvent être utilisées pour le développement de l’apprentissage et des services d’intelligence artificielle (IA). En outre, pour que cette disposition relative à l’« intérêt légitime » s’applique, trois conditions doivent être remplies :
* la légitimité de la finalité du développement de l’IA,
* la nécessité de traiter les données à caractère personnel divulguées et
* la spécificité de l’avantage.

La PIPC a également fourni des orientations sur le contenu et l’application de ces trois conditions. Dans ses orientations, la PIPC a en outre fourni des conseils spécifiques sur les garanties techniques et administratives et les droits des personnes concernées que les entreprises d’IA peuvent prendre en compte pour traiter les informations personnelles divulguées sur la base de l’« intérêt légitime ».

Enfin, l’autorité a souligné le rôle des entreprises d’IA et du responsable de la protection de la vie privée dans le traitement des données d’apprentissage pour le développement de l’IA. Il a été recommandé que les entreprises organisent et gèrent de manière autonome une « organisation (provisoire) de protection de la vie privée dans le domaine de l’IA » dont le responsable de la protection de la vie privée serait la pièce maîtresse, qu’elles évaluent si les critères des lignes directrices sont respectés, et qu’elles créent et conservent les éléments de preuve. Il est également recommandé aux entreprises de surveiller régulièrement les facteurs de risque tels que les changements technologiques importants, comme l’amélioration des performances de l’IA, ou les préoccupations relatives à la violation des données personnelles, et de préparer des mesures correctives rapides en cas d’incidents tels que la fuite ou l’exposition de données personnelles.

« La publication de ce guide est une avancée importante et un premier pas vers la réalisation du développement simultané de la technologie de l’IA et de la protection des données personnelles », a déclaré Kyung-hoon Bae, président de l’Elgee AI Research Institute, coprésident du conseil d’orientation public-privé. « En fournissant des normes pour le traitement sécurisé des informations personnelles dans les données publiques, les incertitudes juridiques dans le développement de la technologie de l’IA seront réduites, ce qui permettra l’utilisation sécurisée des données, qui à son tour sera la base pour les citoyens de profiter des avantages de la technologie de l’IA dans un environnement de traitement des données digne de confiance. »

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

(Préliminaire)  WIN : Meta arrête les projets d’IA dans l’UE

En réaction aux 11 plaintes de noyb , la DPC (autorité irlandaise) a annoncé, vendredi en fin d’après-midi, que Meta s’est engagé auprès du DPC à ne pas traiter les données des utilisateurs de l’UE/EEE pour des « techniques d’intelligence artificielle » non définies. Auparavant, Meta soutenait qu’elle avait un « intérêt légitime » à le faire, en informant seulement (certains) utilisateurs du changement et en permettant simplement un « opt-out » (trompeur et compliqué).

NOYB note qu’alors que la DPC avait initialement approuvé l’introduction de Meta AI dans l’UE/EEE, il semble que d’autres régulateurs aient fait marche arrière au cours des derniers jours, ce qui a conduit la DPC à faire volte-face dans son avis sur Meta. La DPC a annoncé ce qui suit : « La DPC salue la décision de Meta de mettre en pause ses projets d’entraînement de son grand modèle linguistique à l’aide de contenus publics partagés par des adultes sur Facebook et Instagram dans l’UE/EEE. Cette décision fait suite à un engagement intensif entre le DPC et Meta. Le DPC, en coopération avec les autres autorités de protection des données de l’UE, continuera à dialoguer avec Meta sur cette question. »

Jusqu’à présent, il n’y a pas de contexte ou d’informations supplémentaires sur la nature de cet engagement ou sur les raisons pour lesquelles laDPC a changé d’avis.

Disponible sur: noyb.eu

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

NOYB – None of your business

NOYB demande à 11 autorités de protection des données de mettre immédiatement un terme à l’utilisation abusive des données personnelles par Meta à des fins d’intelligence artificielle

Ces derniers jours, Meta a informé des millions d’Européens que sa politique de confidentialité changeait une fois de plus. Ce n’est qu’en examinant de plus près les liens figurant dans la notification qu’il est apparu clairement que l’entreprise envisageait d’utiliser des années de messages personnels, d’images privées ou de données de suivi en ligne pour une « technologie d’IA » non définie, capable d’ingérer des données personnelles provenant de n’importe quelle source et de partager toute information avec des « tiers » non définis. Au lieu de demander le consentement des utilisateurs (opt-in), Meta fait valoir un intérêt légitime qui l’emporte sur le droit fondamental à la protection des données et à la vie privée des utilisateurs européens. Une fois leurs données dans le système, les utilisateurs semblent n’avoir aucune possibilité de les supprimer (« droit à l’oubli »). noyb a déposé des plaintes dans 11 pays européens, demandant aux autorités de lancer une procédure d’urgence pour mettre fin à ce changement immédiatement, avant qu’il n’entre en vigueur le 26 juin 2024.

Disponible sur: noyb.eu

GPDP (autorité italienne)

Publication en Italie d’une « note d’information » pour aider les responsables de traitement à se prémunir contre le web scraping

Quelques jours après la publication de l’avis de l’autorité néerlandaise selon lequel le scraping est presque toujours illégal, l’autorité italienne a également décidé de se saisir du sujet en publiant une note d’information « pour la défense des données à caractère personnel publiées en ligne par des entités publiques et privées en leur qualité de responsables du traitement contre le web scraping, la collecte indiscriminée de données à caractère personnel sur Internet, effectuée par des tiers dans le but d’entraîner des modèles d’intelligence artificielle générative (IAG) ». Le document tient compte des contributions reçues par l’Autorité dans le cadre de l’enquête qui a été délibérée en décembre dernier.

Dans son communiqué, l’autorité précise que « dans l’attente d’une décision, à l’issue de certaines enquêtes déjà entamées, dont celle à l’encontre d’OpenAI, sur la légalité du web scraping de données à caractère personnel effectué sur la base de l’intérêt légitime, l’autorité a jugé nécessaire de fournir à ceux qui publient des données à caractère personnel en ligne en tant que responsables du traitement des données quelques indications initiales sur la nécessité de procéder à certaines évaluations sur la nécessité d’adopter des mesures appropriées pour empêcher ou, au moins, entraver le web scraping.

Dans ce document, l’autorité suggère certaines des mesures concrètes à adopter : la création de zones réservées, accessibles uniquement sur inscription, afin de retirer les données de la disponibilité publique ; l’insertion de clauses anti-scraping dans les conditions de service des sites ; la surveillance du trafic vers les pages web afin d’identifier tout flux anormal de données entrantes et sortantes ; des interventions spécifiques sur les bots en utilisant, entre autres, les solutions technologiques mises à disposition par les mêmes sociétés responsables du web scraping (par exemple : l’intervention sur le fichier robots.txt).

Il s’agit de mesures non obligatoires que les responsables du traitement devront évaluer, sur la base du principe de responsabilité, s’il convient de mettre en œuvre pour prévenir ou atténuer, de manière sélective, les effets du web scraping, en tenant compte d’un certain nombre d’éléments : l’état de l’art technologique ; les coûts de mise en œuvre, en particulier pour les PME. »

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

HAAS Avocats

La CNIL dévoile son référentiel dédié à l’IA

La CNIL dévoile son référentiel dédié à l’IA

Par Haas Avocats

Le 8 avril 2024, la CNIL a publié ses premières recommandations concernant le développement des dispositifs, outils et applications utilisant de l’intelligence artificielle (IA)[1].

Disponible sur: haas-avocats.com

HAAS Avocats

IA garante de la cybersécurité

IA garante de la cybersécurité

Par Haas Avocats

Il est commun de dire que de nombreuses analyses ont donné crédit à l’IA de faciliter et même de renforcer les différents hacks existants avant son développement.

Force est de constater que l’IA en plus de l’attaque, peut renforcer la défense cyber d’un organisme.

Disponible sur: haas-avocats.com

Retour en haut