Le mois d’avril n’est pas en reste sur le sujet de l’Intelligence Artificielle (IA), il est certain que ce sujet prend de plus en plus d’importance dans notre société, dans notre tissu économique et donc dans ce bulletin. Car en effet, l’IA progresse et avec elle les interrogations sur son encadrement technique, juridique et éthique. Au regard de ces capacités qui évoluent très rapidement, il était évident que la question de la protection des données personnelles se pose.

En tant qu’autorité de contrôle nationale, la CNIL ne pouvait pas ignorer cette évolution majeure. Depuis presque 2 ans elle a mis en place une section spéciale dédiée à l’IA, des consultations publiques, des bacs à sable, etc. Aujourd’hui elle « accouche » de ces premières recommandations et commence doucement à coordonner la construction d’une IA respectueuse de la vie privée dès la conception !

Dans ces premières recommandations sorties début avril, la CNIL s’attaque tout d’abord à la phase de développement d’un système d’IA qui comprend la conception du système, la constitution de la base de données et l’apprentissage.

Son objectif est de permettre de réfléchir aux enjeux de protection des données personnelles en amont de la conception du système. Pour cela, elle interroge le lecteur ou le concepteur sur chaque élément essentiel constituant un traitement de données personnelles conforme aux exigences du RGPD.

La fiche 1 permet de comprendre les systèmes d’IA concernés par la conformité au RGPD. En résumé, la CNIL considère qu’il existe 3 de systèmes d’IA concernés :

• Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général (general purpose AI) ;
• Les systèmes dont l’apprentissage est réalisé une fois ou de façon continue en utilisant des données d’utilisation pour l’amélioration dudit système.

Les données personnelles se situent donc dans les bases de données utilisées pour entraîner les systèmes d’IA et cet entrainement peut intervenir pendant la conception, pendant l’utilisation ou même les deux.

La fiche 2 permet de définir la finalité du système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement du système. La CNIL profite de cette fiche pour contredire certaines objections. En effet, il est parfois entendu que définir une finalité est incompatible avec l’IA car cette dernière peut développer des caractéristiques non anticipées. Cependant, la CNIL considère que la finalité d’un système d’IA doit être adaptée à son contexte et donne ainsi des exemples :

• L’usage opérationnel est connu : l’objectif de l’usage est donc la finalité de la phase de développement comme de la phase de déploiement et d’utilisation.
• L’usage est général : la finalité ne doit pas être trop générale et pour cela la CNIL recommande de formuler dans la finalité : le type de système développé ainsi que ces fonctionnalités et capacités techniquement envisageables.
• L’usage à des fins de recherche scientifique : la CNIL tolère moins de précisions dans cette finalité compte tenu des difficultés à définir précisément les objectifs en début de travaux mais elle recommande de fournir ces précisions complémentaires à mesure que le projet avance.

La fiche 3 permet de déterminer les responsabilités au sens du RGPD dans un projet de conception d’un système d’IA. Autrement dit, il s’agit de déterminer le rôle des acteurs du projet : responsable de traitement, sous-traitant ou co-responsables.

En pratique, le règlement sur l’IA définit de son côté deux types d’acteurs :

• Le fournisseur de système d’IA qui développe ou fait développer un système, le met sur le marché ou le met en service à titre payant ou gratuit.
• Les importateurs, distributeurs, utilisateurs ou déployeurs de ces systèmes.

Contrairement à ce qu’on pourrait penser les responsabilités au sens du RGPD ne s’attribuent pas arbitrairement à l’un ou l’autre rôle définit par le règlement sur l’IA. Tout dépend de l’analyse qui est faite de chaque cas. Il faut donc interroger le rôle définit par le règlement sur l’IA à la lumière des définitions du RGPD. Cette fiche comprend des exemples proposés par la CNIL afin de pouvoir plus facilement déterminer votre rôle et donc vos responsabilités.

La fiche 4 permet d’établir la base légale la plus adaptée au système d’IA. Dans cette recommandation la CNIL apporte des précisions sur certaines bases légales mais le message principal est qu’il n’existe pas de base légale prédominante pour les systèmes d’IA, il faut pouvoir choisir la plus adaptée au projet et toujours être en capacité de la démontrer ou de la justifier.

Cette fiche 4 met également en avant une notion importante, celle de la réutilisation de certaines données personnelles. La CNIL y distingue plusieurs cas de figure :

• Le fournisseur réutilise des données qu’il a lui-même déjà collectées ;
• Le fournisseur réutilise des données publiquement accessibles ;
• Le fournisseur réutilise des données acquises auprès d’un tiers (ex : courtiers en données).

Par cette fiche, la CNIL insiste particulièrement sur la compatibilité de la réutilisation des données et sur la licéité des traitements précédents non-réalisés par le fournisseur qui réutilise lesdites données car les responsabilités ne disparaissent pas pour autant.

La fiche 5 rappelle l’importance voire la nécessité de réaliser une analyse d’impact sur la protection des données (ou AIPD) dans le cadre de la conception de systèmes d’IA. La CNIL rappelle les critères permettant de savoir si une AIPD doit être réalisée, mais surtout elle intègre un nouveau critère apporté par le règlement sur l’IA : le risque ! La CNIL considère que pour le développement des systèmes d’IA dits à « haut risque » par le règlement sur l’IA et impliquant des données personnelles, la réalisation d’une AIPD est en principe nécessaire.

Les fiches 6 et 7 s’attardent sur le principe de minimisation des données utilisées par les systèmes d’IA car au regard de leur volume important qui n’empêche pas que ces données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Mais qui s’attardent également sur le principe de limitation de conservation des données personnelles.

Dans cette fiche la CNIL insiste particulièrement sur le fait de rechercher les techniques pour atteindre l’objectif visé nécessitant le moins de données personnelles possibles. Ainsi elle met en avant les différents choix de protocoles, les choix de conception, la consultation de comité éthique, des techniques de collecte de données différentes, etc.

A travers ces recommandations, la CNIL démontre que le RGPD n’est pas un obstacle à l’innovation que peut apporter les systèmes d’IA et qu’il est possible voire crucial d’innover dans le respecte des données personnelles et de la vie privée pour une IA éthique ! Le règlement sur l’IA ou IA Act n’a pas vocation à remplacer le RGPD, bien au contraire, il va le compléter ! C’est d’ailleurs ce qu’explique en détails M. DAUTIEU, Directeur de l’accompagnement juridique de la CNIL.

La CNIL compte poursuivre ces travaux avec des recommandations sur la phase de déploiement d’un système d’IA dès que possible.

Consultez ici l’intégralité de l’arrêt de la CJUE : IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle, 8 avril 2024

La CNIL a mis en demeure une société de minimiser la collecte de données personnelles de candidats effectuée lors de ses recrutements.

Cette injonction fait suite à une plainte visant la société quant au nombre de données personnelles collectées sur les candidats à l’embauche (entre autres lieu de naissance, nationalité, situation de famille).

La CNIL rappelle donc le principe de minimisation en matière de recrutement qui impose au responsable de traitement de traiter des informations limitées à ce qui est nécessaire à la réalisation de l’objectif poursuivi, en précisant :

• Les exigences de ce principe de minimisation lors du recrutement:

Ainsi, le recruteur ne doit collecter que les données présentant « un lien direct et nécessaire avec l’emploi proposé ou avec l’évaluation des aptitudes professionnelles » (article L. 1221-6 du Code du travail). Par ailleurs, il ne doit procéder à aucune discrimination illicite des candidats (notamment en raison de son âge ou de sa situation de famille).

Les informations demandées doivent permettre d’identifier le candidat le plus adapté au poste à pourvoir, de vérifier ses compétences (les connaissances, le savoir-faire et le savoir-être) et les qualifications requises pour le poste concerné (diplômes, titres et expériences). Elles doivent avoir pour seul objectif de pouvoir valider ou non une candidature.

Ce n’est qu’au stade de l’embauche, c’est-à-dire une fois qu’une candidature a été définitivement retenue, que l’employeur peut collecter des données supplémentaires (état civil complet, adresse postale, numéro de sécurité sociale, copies des justificatifs).

En effet, seules les données des candidats retenus sont nécessaires pour l’accomplissement des formalités obligatoires de l’employeur (déclaration préalable à l’embauche, déclaration sociale nominative, etc.). La CNIL rappelle par ailleurs que pour aider les employeurs, elle a publié en janvier 2023 un guide dédié au recrutement.

• Les conséquences du non-respect de ce principe:

Après avoir constaté le non-respect de ce principe et avoir rappelé à la société concernée quels types de collecte de données effectuée par ladite société n’étaient pas justifiés (à savoir lieu de naissance du candidat, nom et prénom du conjoint, ses date et lieu de naissance, sa profession, le nombre d’enfants et leur âge, l’ensemble des salaires perçus par le candidat), l’Autorité a alors précisé que cette collecte ne présente « pas d’utilité pour apprécier la capacité à occuper l’emploi proposé ou les aptitudes du candidat, et ne sont de ce fait pas compatibles avec les dispositions du code du travail » et a donc mis en demeure l’intéressée d’y remédier.

La société mise en cause ayant fait diligence, la CNIL a clôturé la procédure de mise en demeure à son encontre.

→ Il n’en demeure pas moins que la procédure initiée à l’encontre de cette entreprise est une bonne piqûre de rappel quant aux bonnes pratiques de recrutement !

Consultez ici l’intégralité des conseils de la CNIL : CNIL, Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles de candidats, 25 avril 2024

Comme chaque année, la CNIL a publié son rapport annuel d’activité. Ce rapport met en avant son activité particulièrement intense au cours de l’année 2023 d’une part et présente d’autre part, sa stratégie d’action pour les années à venir.

Ainsi, concernant son activité pour l’année 2023, la Commission rend compte de ses actions au regard de ses 4 grandes missions : Informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper et innover pour construire le numérique de demain et enfin contrôler et sanctionner les manquements au RGPD et à la loi.

• Informer et protéger: au printemps 2023, la Commission a créé une mission de sensibilisation du grand public, en complément de ses actions déjà menées. L’année 2023 a été marquée par une nette augmentation des sollicitations du grand public. La CNIL a ainsi traité 16 433 plaintes (+ 35 % par rapport à 2022) dont 3 % inhérentes à la santé et a été destinataire de 20 810 demandes d’exercice des droits indirects via l’ouverture d’un téléservice dédié, représentant une hausse de 217 % en un an. Le site web a par ailleurs enregistré 11,8 millions de visites. Dans le cadre du service des relations avec le public (SRP), 19 % des requêtes traitées concernent le secteur de la banque et de l’assurance (part la plus importante des requêtes).
• Accompagner et conseiller: 2023 s’est focalisée sur l’IA mais 2023 c’est aussi 5 guides (notamment le guide sectoriel pour les pharmaciens), 4 référentiels, 2 recommandations et 2 méthodologies de référence en santé pour simplifier l’accès des chercheurs aux données du Système national des données de santé (SNDS). 2023 c’est enfin un total de 34 250 DPO désignés auprès de la CNIL.

La Commission a également mis l’accent sur la cybersécurité au travers de la prise en compte de la sécurité informatique. Dans ce cadre, elle a reçu 4 668 notifications de violations de données (+ 14 % par rapport à 2022), dont plus de la moitié trouvent leur origine dans du piratage (hameçonnage, rançongiciels). La CNIL a ainsi mis à jour son guide relatif à la sécurité des données, a multiplié les campagnes de sensibilisation et a republié des fiches pratiques (API : les recommandations de la CNIL sur le partage des données, fiche pratique durée de conservation dans le secteur social et médico-social).

• Anticiper et innover: la Commission a publié une feuille de route sur l’IA suivant 3 principes fondamentaux : guider le développement d’une IA respectueuse de la vie privée, fédérer et accompagner les acteurs innovants, auditer les systèmes existants et protéger les personnes.
• Contrôler et sanctionner: la CNIL a mené 340 contrôles et a infligé 42 sanctions (2 fois plus qu’en 2022) dont 36 amendes pour un total de 89 179 500 €. En parallèle, la présidente a prononcé 168 mises en demeure et 33 rappels aux obligations légales.

Cette année marque par ailleurs le réel essor de la procédure simplifiée (24 sanctions sur les 42 prononcées).

Régulièrement saisie de plaintes au sujet des cookies et traceurs, la CNIL a mené en 2023 une série de contrôles visant des applications mobiles (20 missions portant sur 22 applications) et a constaté un recours systématique au suivi publicitaire des utilisateurs, souvent sans recueil de leur consentement et a relevé des manquements liés à un défaut de transparence ou à l’absence de base légale.

Par ailleurs, la CNIL a sanctionné des organismes qui ne recueillaient pas le consentement des personnes pour traiter des données de santé, qui sont des données dites « sensibles ». Elle a rappelé que le simple fait pour une personne de livrer spontanément de telles informations ne peut pas être considéré comme un consentement explicite.

En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et les enjeux de l’IA et poursuit son action répressive.

Consultez ici l’intégralité du document : CNIL, Rapport annuel 2023 – « Je n’ai rien à cacher Mais vous n’avez pas à tout savoir sur moi, 23 avril 2024

Ce guide a pour but de rappeler les précautions de sécurité à mettre en œuvre. La version 2024 le restructure et introduit de nouvelles fiches, notamment sur l’intelligence artificielle (IA), les applications mobiles, le cloud et les interfaces de programmation applicative (API).

Nouveautés :

• Le guide a été restructuré en 5 parties pour faciliter la navigation entre ses 25 fiches ;
• 5 nouvelles fiches ont été créées et reprennent le contenu déjà publié par la CNIL sur les sujets suivants :
  – l’informatique en nuage (cloud),
  – les applications mobiles,
  – l’IA,
  – les API,
  – le pilotage de la sécurité des données ;
• Les fiches existantes sont complétées, le cas échéant, des pratiques actuelles existantes comme par exemple l’utilisation d’équipements personnels en environnement professionnel (BYOD) ;
• Certaines d’entre elles ont été scindées en sujets distincts afin d’étoffer leurs contenus respectifs.
  Des mises à jour et améliorations ont été apportées au regard des évolutions de la menace et des connaissances.

Enfin, un journal des modifications a été créé afin d’identifier les nouveautés du guide plus aisément.

Ce guide constitue une référence dont les DPO, les responsables de la sécurité des systèmes d’information (RSSI), les informaticiens et les juristes de vos entités pourront se saisir dans le cadre de leurs activités liées à la sécurité des données. Il est également le guide de référence utilisé par la CNIL pour son appréciation de la sécurité des traitements de données personnelles.

En sus de ce guide, la CNIL a publié une plaquette cybersécurité 2024 dans laquelle elle rappelle le rôle du RGPD dans la prévention contre les risques cyber au travers de l’obligation de sécurité, principe fondamental inscrit depuis 45 ans dans la Loi Informatique et Libertés de 1978 et renforcé par le RGPD, « premier texte à imposer des obligations de cybersécurité précises de façon transversale et soumises au pouvoir de contrôle et de sanction d’une autorité administrative ».

La plaquette rappelle ce qu’est une violation de données et quelles sont la nature et les causes de ces violations mais aussi et surtout, au travers de la protection des données, le rôle du RGPD et de la CNIL en matière de cybersécurité, comme :

• La réalisation d’AIPD (Analyse d’Impact sur la Protection des Données) permettant d’identifier, d’encadrer et de sécuriser les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ;
• Les recommandations : journalisation, Cloud ;
• L’anonymisation, le chiffrement des données ;
• Les fiches pratiques pour les particuliers : mot de passe « fort » (nombre et type de caractère, fréquence de changement), protéger son identité en ligne, navigation privée ;
• Les fiches pratiques à destination des professionnels : sécuriser son site web, sécuriser son SI, purger les données.

Cette plaquette accompagne le guide de sécurité des données personnelles et rappelle le contrôle systématique et les sanctions régulières prononcées par l’Autorité en matière de manquements à la sécurité tels que la transmission de données par une connexion non chiffrée, une politique de mots de passe non conforme, le défaut de verrouillage automatique des sessions des postes de travail (pourtant programmable) ou encore l’absence de test de vulnérabilité avant le développement d’un outil traitant des données personnelles.
Il n’est donc pas inutile de le consulter afin de se remémorer le b-a.-ba des sécurités à mettre en place et à vérifier par des audits flash au sein de vos structures.

Consultez ici les documents de la CNIL : CNIL, Guide pratique RGPD, Sécurité des données personnelles, Édition 2024 (mars 2024) ; CNIL, Plaquette cybersécurité 2024, 26 mars 2024

Les solutions pour faire face aux menaces cyber évoluent pour une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses notamment.

Ces solutions dont fait partie l’authentification multifacteur (MFA – multi-factor authentication) permettent de répondre à l’obligation de sécurité des données prévue à l’article 32 du RGPD mais génèrent à leur tour des traitements de données dont la conformité audit RGPD doit également être assurée.

C’est donc dans ce contexte que la CNIL travaille à un projet de recommandation sur cette solution dont la finalité est de sécuriser les responsables de traitement (utilisateurs de MFA) (détermination d’une base légale par exemple) et d’encourager les fournisseurs à adopter une approche de protection de la vie privée dès la conception (minimisation des données, données de conservation notamment).

La CNIL soumet ainsi ce projet à consultation publique jusqu’au 31 mai 2024 pour permettre d’améliorer ce projet au regard de la réalité du terrain et de l’expérience des acteurs concernés.

Cette consultation s’adresse :

• Aux responsables de traitements et aux sous-traitants, et particulièrement à leurs DPO, aux responsables RSSI (responsables de la sécurité des systèmes d’information) ainsi qu’à leurs équipes ;
• Aux fournisseurs de solutions de MFA.

Dans le contexte actuel où les menaces cyber sont de plus en plus prégnantes induisant des sécurités renforcées auxquelles vos structures ont recours, précisément s’agissant de la connexion renforcée de vos adhérents à leur espace personnel, participer à cette consultation publique en appréhendant le projet de recommandation ne peut que vous permettre de vous saisir du sujet et de ses implications pour vos entités et vos prestataires.

En lien avec cette consultation publique, la CNIL a publié le 14 mars 2024 une fiche pratique : « Sécurité : Authentifier les utilisateurs » permettant de reconnaître ses utilisateurs pour leur donner ensuite, les accès nécessaires.

Cette fiche rappelle qu’un identifiant est propre à chaque utilisateur et qu’une authentification est indispensable afin de contrôler son identité et ses accès aux données dont il a besoin. Après avoir évoqué les mécanismes permettant de réaliser l’authentification, elle détaille les précautions élémentaires pour définir une bonne authentification (identifiant unique, respect des recommandations de la CNIL, choix de mots de passe robustes et accompagnement), les pratiques interdites (noter son mot de passe en clair) et propose des pistes pour aller plus loin (authentification multifactorielle, nombre limité de tentatives d’accès, recours à un outil générateur de mots de passe).

Consultez ici l’intégralité du document : Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation (CNIL, 28 mars 2024) ; CNIL, Fiche pratique « Sécurité : Authentifier les utilisateurs, 14 mars 2024

Le 22 février dernier, la Commission européenne a en effet validé deux projets de règlements délégués précisant certaines exigences du Pilier IV de DORA relatif à la gestion des risques liés aux prestataires de services de TIC (PTST)

Ces actes portent précisément sur :

• les (sous-)critères de désignation des PTST comme critiques, ce qui permet d’y voir un peu plus clair sur la méthode d’évaluation et sur les prestataires qui seront susceptibles de figurer sur la liste des PTST critiques établie par les AES ;
• les modalités de paiement et la détermination du montant des redevances de supervision que les PTST critiques devront verser au superviseur principal dont ils relèvent, en l’occurrence 50 000 € minimum par an pour chaque PTST critique. Ainsi, il y a tout lieu de penser que les PTST, d’une manière ou d’une autre, répercuteront ou compenseront cette charge auprès de leurs partenaires compte tenu du petit nombre qu’ils sont sur le marché et de la situation de dépendance inévitable dans laquelle se trouve un bon nombre d’entités à leur égard.

N.B : des ajustements du montant de cette redevance sont prévus pour la première liste publiée et pour la première année au cours de laquelle le PTST sera désigné comme critique.

Ces deux textes devraient faire l’objet d’une publication officielle après le 22 mai 2024, à la fin du délai de présentation des objections.

Dans ce contexte, les AES se préparent à l’entrée en application du DORA et ont lancé les 1^ers recrutements afin de mettre en place l’équipe conjointe de surveillance du Règlement.
Cette équipe, comprenant un directeur, des experts juridiques et conformité et des experts en risques TIC, sera totalement intégrée au sein des 3 AES.

Consultez ici l’intégralité des documents : Règlement délégué (UE) …/… de la Commission, 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières ; Règlement délégué (UE) …/… de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances