Veille de mai 2024

Vote de l'IA ACT

Le Conseil de l'Union Européenne a adopté définitivement le 21 mai 2024 le Règlement sur l'Intelligence Artificielle (IA ACT), établissant les premières règles mondiales en matière d'intelligence artificielle. Pour rappel ce règlement vise à promouvoir une utilisation éthique et sécurisée de l'IA, en garantissant que les systèmes d’intelligence artificielle (SIA) commercialisés au sein de l’UE, surtout ceux dits à “haut risque” respectent un certain nombre d’exigences.   

Rapport du CEPD sur le groupe de travail ChatGPT

Le groupe de travail ChatGPT du CEPD a émis un rapport évaluant les implications de l'utilisation de ChatGPT en matière de protection des données. Il examine les risques associés au traitement des données personnelles par cette technologie et propose des recommandations pour assurer la conformité avec le RGPD. Le rapport souligne ainsi l'importance de la transparence, de la minimisation des données et de la sécurité dans l'implémentation des systèmes d'IA tels que ChatGPT. 

Publication d'un avis du CEPD sur la reconnaissance faciale dans les aéroports

Lors de sa dernière session plénière, le Comité Européen de la Protection des Données (CEPD) a publié un avis sur l'utilisation des technologies de reconnaissance faciale dans les aéroports. Il insiste sur la nécessité de garantir un contrôle maximal des individus sur leurs données biométriques. L'avis recommande des mesures strictes pour protéger les droits des passagers, notamment des mécanismes de consentement éclairé et des options pour des alternatives non biométriques. 

Jeux Olympiques et Paralympiques 2024 : admission du texte “laissez-passer” par la CNIL avec réserves 

La CNIL a validé le dispositif de laissez-passer pour les Jeux Olympiques et Paralympiques de Paris 2024, tout en émettant des réserves. Ce dispositif, basé sur des QR codes, vise à contrôler l'accès aux zones de sécurité où la circulation sera restreinte. La CNIL a manifesté ses préoccupations concernant la protection des données personnelles, notamment en termes de proportionnalité et de sécurité des informations collectées. Elle insiste sur la nécessité de minimiser ces données et de garantir leur sécurisation pour éviter tout usage abusif. 

DSA : plainte de UFC-Que-Choisir contre TEMU

L'UFC-Que Choisir a déposé une plainte contre la plateforme chinoise TEMU, sur la base du Digital Services Act (DSA), pour non-respect de ses obligations. La plainte, déposée auprès de l'ARCOM, accuse TEMU de ne pas se conformer aux exigences de transparence et de protection des consommateurs imposées par le DSA, notamment en matière de publicité trompeuse et de sécurité des produits.  

L’association nyob, fondée par Max Schrems, dépose une plainte contre OpenAI (traitement de données personnelles réalisés via ChatGPT) auprès de l’autorité autrichienne de protection des données (Datenschutzbehörde/DSB). 

Interrogé par un utilisateur (personnalité publique) sur sa date d’anniversaire, ChatGPT a fourni à plusieurs reprises des dates erronées et n’a pas satisfait ses demandes d’accès et d’effacement des données adressées le 4 décembre 2023.

Concernant la demande d’accès aux données, OpenAI n'a divulgué aucune information sur les données traitées, leurs sources ou leurs destinataires et s’est contenté de fournir les données de compte utilisateur.

Concernant la demande d'effacement des données, OpenAI a confirmé l’impossibilité technique d’effacer définitivement du système une date de naissance inexacte sans impacter l’ensemble des résultats. Selon OpenAI, des solutions de contournement restent toutefois possibles (blocage partiel des résultats).

L’association nyob a par conséquent déposé une plainte le 29 avril 2024 pour violation du droit d’accès aux données (articles 12.3 et 15 du RGPD) et du principe d’exactitude des données (article 5.1.d du RGPD).

Les erreurs humaines restent à l'origine de la majorité des violations de données

Selon un rapport ("The Human Factor in Data Breaches 2023"), 68% des violations de données auraient été causées par des actions humaines “non malveillantes” : des erreurs ou des victimes d'ingénierie sociale (technique de manipulation psychologique utilisée pour inciter des individus à divulguer des informations confidentielles ou à effectuer des actions compromettantes). Cela souligne la nécessité d'une meilleure formation des salariés sur ces questions et la mise en place de mesures de sécurité plus adaptées à ces attaques.

Arrêt de la Cour de cassation du 30 avril 2024 : la collecte de données personnelles en accès libre sur internet ne dispense pas le responsable de traitement de son obligation d’information des personnes.

Un enquêteur privé a été condamné le 27 janvier 2023 par la cour d'appel de Versailles à deux ans d’emprisonnement avec sursis et 20 000 euros d'amende sur le fondement de l'article 226-18 du code pénal qui punit "le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite".

Ces enquêtes concernaient les salariés, candidats à l'embauche, clients ou prestataires d’une société et s’appuyaient sur des captures et recoupements d'informations diffusés sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale.

Dans un arrêt du 30 avril 2024, la chambre criminelle de la Cour de cassation valide l’interprétation de la Cour d’appel concernant la collecte déloyale (malgré une cassation pour prescription) en précisant que la collecte de données personnelles en accès libre sur internet ne dispense pas le responsable de traitement de son obligation d’information des personnes. Dès lors, constitue une collecte déloyale le traitement des données personnelles utilisées sans rapport avec l'objet de leur mise en ligne et recueillies à l'insu des personnes concernées, ainsi privées de leur droit d'opposition.

Les infractions liées au numérique enregistrées par la police et la gendarmerie de 2016 à 2023

Le SSMSI (Service statistique ministériel de la sécurité intérieure) publie pour la première fois une étude sur les infractions liées au numérique enregistrées par les services de police et de gendarmerie depuis 2016. Le champ des « infractions liées au numérique », désigne les crimes et délits commis à l’aide d’un outil numérique, répartis en quatre grandes catégories : les atteintes aux biens (escroqueries, arnaques, détournements de moyens de paiement et infractions occasionnant un préjudice financier, rendues possibles par les outils numériques), les « atteintes numériques aux personnes » (harcèlement, injures, menaces et discriminations), les atteintes aux institutions (troubles à l’ordre public, atteintes à la sûreté de l’État et aux institutions, publication de contenus haineux notamment) et enfin les infractions spécifiques aux réglementations numériques (infractions au droit d’auteur, les infractions au RGPD et à la LCEN et toutes les mesures visant au respect de la vie privée dans le traitement des données.

Concernant cette dernière catégorie, (infractions aux réglementations numériques) le SSMSI a constaté une hausse des atteintes aux données et à la vie privée de 18 % en moyenne par an entre 2016 et 2023.

Notons toutefois qu’en 2023, 59 % des « infractions numériques » enregistrées sont des atteintes aux biens. Les infractions aux réglementations numériques ne représentaient quant à elles que 0,5% de ces « infractions numériques ».

Le Conseil d'Etat confirme la mise en demeure CNIL d'une commune concernant la non-conformité RGPD de son système de vidéosurveillance.

La CNIL a mis en demeure, le 6 février 2023, la ville de Beaucaire, concernant l’utilisation dans l’espace public de son système de vidéosurveillance composé de 73 caméras, dont six étaient équipées de dispositifs de lecture automatisée des plaques d’immatriculation des véhicules. Les manquements constatés portent sur l’absence de base légale (la collecte des données des plaques d'immatriculation ayant pour seule finalité de répondre aux réquisitions des forces de l'ordre pour l'exercice de leurs missions de police judiciaire, relatives à des infractions, ne correspondant pas à l'une des finalités énumérées à l'article L. 251-2 du code de la sécurité intérieure), l’absence d’analyse d’impact préalable, et le manquement à l’obligation de sécurité des données (faiblesse des mots de passe notamment).

Le 30 avril dernier, le Conseil d’Etat a rejeté le recours déposé par la Commune qui a six mois pour se mettre en conformité avec le RGPD et la LIL.

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

Le 2 mai dernier la CNIL a publié sa recommandation sur la vidéosurveillance dans les chambres d’Ehpad. Elle formule des recommandations restrictives sur les traitements de données personnelles effectués dans ce cadre : finalité limitée à la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) seulement en cas de suspicion étayée de mauvais traitements ET après échec des procédures d’enquêtes.

Par ailleurs la CNIL rappelle l’interdiction d’installer des caméras pour améliorer le service offert à la personne concernée en renforçant son « confort » et l’obligation de réaliser une AIPD préalable.

Retrouvez la précédente veille

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.