Face à la difficulté d’évaluer la conformité des modèles d’intelligence artificielle (IA) aux exigences du RGPD, la CNIL lance le projet PANAME (pour « Privacy Auditing of AI Models »), en partenariat avec l’ANSSI, le PEReN (Pôle d’Expertise de la Régulation Numérique) et le projet IPoP (« Interdisciplinary Project on Privacy ») du PEPR (Programme et Équipements Prioritaires de Recherche) Cybersécurité.
Beaucoup d’acronymes et de sigles pour un objectif stratégique : développer une bibliothèque logicielle open source, facilitant la réalisation de tests de confidentialité sur les modèles d’IA, permettant de tester la robustesse des modèles face aux risques de réidentification et ainsi aider les acteurs à démontrer la conformité RGPD de leurs systèmes…
Cette capacité à tester la robustesse d’un modèle est essentielle pour qualifier les données comme anonymes, condition permettant de sortir du champ du RGPD.
Le projet répond à trois défis majeurs :
En février 2024, les deux opérateurs de tiers payant (OTP) VIAMEDIS et ALMERYS ont été victimes d’une cyberattaque importante entrainant la violation de données personnelles de plus de 33 millions de personnes concernées.
C’est dans ce contexte que le sénateur du Rhône, Monsieur Bernard FIALAIRE, avait notamment interrogé Mme la ministre de la santé à ce sujet, le 17 octobre 2024, dans une question au gouvernement, pour s’assurer justement des avancées gouvernementales sur les conséquences de cette violation de données à grande échelle.
Comme pour justifier sa question, une réflexion intéressante était d’ailleurs soulevée par le sénateur puisqu’il rappelait l’importance du principe de minimisation des données en demandant au ministère s’il était vraiment utile de transférer toutes les données de santé vers autant de tiers, mentionnant ainsi les OCAM.
Il proposait en outre la mise en place d’une blockchain pour sécuriser les échanges et éviter une multiplication des transferts, et donc une multiplication des risques.
Publié le 29 avril dernier, le rapport annuel 2024 de la CNIL dresse essentiellement les mêmes constats que le dispositif « Cybermalveillance.gouv », soit une augmentation grandissante des cyberattaques, dont les acteurs du domaine de l’assurance ne sont pas épargnés.
Il faut donc dire que la publication quelques jours auparavant de la version finale de sa recommandation relative à l’authentification multifacteur (dite MFA pour Multi-factor authentication) tombe à pic ; recommandation dont l’élaboration, pour mémoire, fait suite à une consultation publique où différents acteurs étaient invités à partager leurs questions, leurs suggestions et leurs pratiques internes au sein de leurs organismes.
La MFA est un procédé qui permet un niveau de sécurité élevé quant à l’accès aux données personnelles des personnes concernées. Elle propose de vérifier la preuve de l’identité de la personne souhaitant accéder à ses données personnelles.
Exemple : en cas de cyberattaque ou de fuite de données
La CNIL a publié fin janvier et début février deux bilans concomitants : l’un portant sur les violations de données personnelles, l’autre sur les sanctions et mesures correctrices appliquées au cours de l’année. Ces deux rapports offrent une vision complète des enjeux de protection des données en France et permettent d’en tirer des enseignements cruciaux pour vos organismes.
Le bilan des violations de données révèle une hausse de 20 % des incidents signalés, atteignant 5 629 cas en 2024. Parmi eux, les atteintes touchant plus d’un million de personnes ont doublé, impliquant des acteurs tels que les opérateurs de tiers payant, France Travail et Free. Cette augmentation met en évidence des failles systémiques et une exposition accrue aux cyberattaques.
Le Conseil d’État a rendu le 27 janvier dernier, une décision clé sur le droit à l’effacement et d’opposition des données de santé. Dans les faits, une personne concernée a demandé l’effacement de ses données personnelles auprès d’un organisme de santé par sommation interpellative émanant d’un huissier. L’organisme ayant refusé, l’affaire a été portée devant la CNIL par deux plaintes, puis devant le Conseil d’État.
La CNIL a rappelé qu’avant de la saisir, une personne concernée doit d’abord adresser sa demande directement au responsable du traitement. Elle a souligné que le droit à l’effacement des données de santé n’est pas absolu et peut être limité par des motifs d’intérêt public, comme la recherche scientifique ou la gestion sanitaire.
Le 31 janvier 2025, la CNIL a publié un guide portant sur les Analyse d’Impacts des Données (AITD) à la suite d’une consultation publique où tout acteur concerné était invité à échanger au sujet des transferts de données à des sous-traitants se trouvant hors de l’Union européenne.
Le principe défini par le RGPD instaure la nécessité, pour les responsables de traitements ayant recours à des sous-traitants en dehors de l’Union européenne, de s’assurer d’un cadre légal équivalent à celui du RGPD.
Ainsi, ce guide précise les moyens mis en place par le RGPD (clauses contractuelles type, décision d’adéquation du pays hors UE ou dérogation particulière listé à l’article 49) pour transférer des données hors de l’Union européenne.
Le 16 janvier 2025, la CNIL a dévoilé le plan stratégique de ses objectifs pour les années à venir, s’articulant autour de 4 grands axes prioritaires tenant compte des évolutions et nouvelles technologies développées ces dernières années, de ses prévisions et des plaintes déposées :
Malgré la promulgation de l’IA Act le 1er août 2024, il est difficile d’encadrer légalement au plan national ou international cette technologie qui est à la fois omniprésente et en constante évolution.
Dans son grand axe dédié à l’intelligence artificielle, la CNIL évoque dès lors sa volonté de comprendre les enjeux de l’émergence de l’IA dans nos usages quotidiens pouvant entrainer des atteintes aux données personnelles des utilisateurs.
Dans un premier temps, elle souhaite ainsi continuer à sensibiliser les usagers quant aux enjeux mais aussi les accompagner dans l’exercices de leurs droits dans le cadre de potentiels incidents résultant de l’utilisation d’une IA.
Le contrôle des systèmes d’IA sera donc renforcé, la clarification du cadre juridique de l’IA étant une de ses priorités. Aussi, nous pouvons nous attendre à d’éventuels nouveaux textes nationaux, européens ou internationaux portant sur l’intelligence artificielle dans un futur proche, l’IA Act ne constituant que le début de ce travail de définition d’un vrai cadre légal.
