L’Union européenne a adopté un règlement sur la gestion des données représentant une avancée majeure pour la protection des données et l’équité numérique. Cette législation audacieuse affectera tous les secteurs économiques, des objets connectés aux services en nuage (« cloud »).
Le règlement exige que les fabricants et prestataires de services permettent aux utilisateurs d’accéder et de réutiliser les données générées par leurs produits ou services, tout en autorisant le partage avec des tiers. Les propriétaires de voitures peuvent par exemple choisir de partager des données spécifiques avec leur mécanicien ou leur assureur.
Les objectifs fondamentaux de la loi sont clairs : assurer l’équité dans la distribution de la valeur des données, stimuler un marché concurrentiel des données, encourager l’innovation et rendre les données accessibles à tous. Elle souhaite également favoriser le changement de fournisseur de services de traitement de données, tout en introduisant des garanties contre le transfert illicite et en établissant des normes d’interopérabilité pour la réutilisation des données entre les secteurs.
Le règlement renforce également le droit à la portabilité des données, permettant aux particuliers et aux entreprises de contrôler plus étroitement leurs données générées par les objets connectés. Les consommateurs bénéficieront d’une plus grande facilité de passage d’un fournisseur de services en nuage à un autre, avec des garanties contre les transferts illicites et des normes d’interopérabilité.
Dans cette continuité, la norme garantit la protection des secrets d’affaires et des droits de propriété intellectuelle avec des mécanismes de règlement des différends. Elle introduit des mesures pour prévenir les abus de déséquilibres contractuels dans les contrats de partage de données, assurant une protection aux entreprises et offrant une plus grande marge de manœuvre aux PME.
Le règlement aspire enfin à faciliter la coopération entre les secteurs publics et privés dans des circonstances exceptionnelles, telles que les urgences publiques. Il marque la deuxième grande initiative législative de la stratégie européenne pour les données, témoignant de l’engagement de l’UE à jouer un rôle de premier plan dans la société fondée sur les données. Ce nouveau règlement sera très prochainement publié au JO de l’UE et entrera en application 20 jours suivant sa publication.
Consultez ici le communiqué du Conseil de l’UE : Règlement sur les données : le Conseil adopte une nouvelle loi sur l’équité de l’accès aux données et de l’utilisation des données
La Commission Nationale de l’informatique et des Libertés (CNIL) a émis une recommandation technique visant à promouvoir l’utilisation des Interfaces de Programmation Applicatives (API) dans le partage de données entre entités publiques et privées. Cette recommandation souligne le potentiel des API pour renforcer la sécurité, minimiser les données et gérer les autorisations.
La CNIL met en avant la diversité des cas d’utilisation des API, couvrant tous les types d’organisations et de partages de données, qu’ils soient ouverts ou restreints, publics ou privés. La recommandation identifie trois rôles techniques essentiels dans ce processus : le détenteur de données, le gestionnaire d’API et le réutilisateur de données.
Il est mis en avant que l’utilisation des API doit respecter des bonnes pratiques tout au long de leur cycle de vie, de la conception au déploiement. La CNIL précise que la recommandation, issue d’une consultation publique à l’automne 2022, se concentre sur les mesures techniques sans détailler le cadre juridique général du partage de données via les API.
La responsabilité juridique est abordée de manière générale et la recommandation introduit trois rôles fonctionnels, sans toutefois déterminer la responsabilité juridique spécifique de chaque organisme. Celle-ci doit être évaluée au cas par cas, en tenant compte des circonstances du partage de données. Lorsqu’une API est accessible sans restriction, les réutilisateurs sont généralement responsables de leurs propres traitements distincts du traitement d’ouverture des données par l’API.
La méthodologie proposée par la CNIL vise à promouvoir les bonnes pratiques et est complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI pour sécuriser l’ensemble du traitement. Des outils spécifiques sont également recommandés pour mettre en œuvre ces mesures, mais leur utilisation doit être évaluée au cas par cas.
Des exemples concrets illustrent la mise en œuvre pratique des recommandations, couvrant des cas tels que le partage restreint de données entre organismes, le partage de données entre réseaux sociaux et chercheurs, l’ouverture de données de l’administration, ou encore le partage fermé de données entre services d’un même organisme.
En résumé, la CNIL, par le biais de cette recommandation, cherche à encourager l’utilisation des API comme un moyen sécurisé et efficace de partager des données, illustrant l’importance de la conception et de la mise en œuvre appropriées de ces interfaces pour garantir la protection des données personnelles.
Consultez ici la recommandation de la CNIL : Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel
La cyberattaque contre l’Agence Nationale des recettes Publiques bulgare (NAP) a mis en lumière les enjeux cruciaux entourant la protection des données personnelles. Le 15 juillet 2019, une intrusion dans le système informatique de la NAP a entraîné la publication sur Internet de données à caractère personnel concernant des millions de personnes. Face à cette menace potentielle, de nombreux individus ont décidé d’agir en justice, invoquant un préjudice moral résultant de la crainte d’une utilisation abusive de leurs données.
La Cour administrative suprême bulgare a soumis des questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE), cherchant à clarifier les conditions de réparation du préjudice moral dans le contexte d’une cyberattaque.
L’arrêt rendu par la CJUE explique que la divulgation non autorisée de données à caractère personnel nécessite une évaluation concrète des mesures de protection mises en œuvre par le responsable du traitement. La simple divulgation ne suffit pas à conclure que ces mesures étaient inappropriées ni à engager la responsabilité du responsable de traitement.
Cependant, la charge de la preuve incombe au responsable du traitement. Il doit ainsi démontrer que les mesures de protection étaient adéquates pour prévenir l’accès non autorisé aux données. Autrement dit, il doit démontrer que le dommage subi par les personnes concernées victimes de cette divulgation par des tiers, ne lui est pas imputable.
Par cet arrêt la Cour confirme la légitimité de la crainte d’un usage abusif de données personnelles, qui constitue en soi un « dommage moral ». Ainsi, la simple appréhension d’une utilisation inappropriée par des tiers peut donner lieu à une réparation.
Cette décision renforce la protection des individus contre les conséquences néfastes des violations du Règlement Général sur la Protection des Données (RGPD) et plus particulièrement son article 32 relatif aux exigences de sécurité des données à caractère personnel. Elle fait ainsi ressortir la responsabilité accrue des organisations dans la mise en place de mesures robustes pour prévenir de telles atteintes.
La cybersécurité demeure un enjeu majeur, et cette jurisprudence établit un précédent important pour la protection des droits individuels face aux menaces croissantes de la cybercriminalité.
Consultez ici la décision de la CJUE : CJUE-affaire-C-340/21-
Le mois dernier, nous vous annoncions l’ouverture par la CNIL d’une consultation publique sur 9 fiches pratiques concernant l’application du Règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA) en phase de développement.
Cette consultation publique devait ainsi prendre fin le 16 novembre.
Cependant, avec l’intention de mobiliser tout particulièrement l’ensemble des acteurs de l’IA (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, etc.) autour des enjeux de protection des droits et libertés que son usage implique, et de permettre au plus grand nombre quel que soit son profil, de pouvoir participer à cette consultation, la CNIL a décidé de prolonger d’un mois supplémentaire la possibilité de déposer des contributions.
La présente consultation prendra donc fin le 15 décembre prochain.
Consultez ici l’intégralité du document : « Intelligence artificielle : la CNIL ouvre une consultation sur la constitution de bases de données d’apprentissage » (MAJ)
Le Groupe Canal+, l’éditeur de chaînes de télévision et fournisseur d’offres de télévision payante, se retrouve sous les feux des projecteurs pour des manquements aux règles de protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL) a récemment rendu son verdict concernant plusieurs plaintes déposées par des individus se plaignant de difficultés à faire valoir leurs droits en matière de protection des données.
À la suite d’enquêtes approfondies, la formation restreinte de la CNIL, chargée de prononcer des sanctions, a conclu que le Groupe Canal+ avait enfreint plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD) ainsi que du Code des Postes et des Communications Électroniques (CPCE). En conséquence, une amende publique de 600 000 euros a été infligée à la société.
L’amende a été calculée en tenant compte de la nature des manquements constatés, mais également de la coopération de la société avec la CNIL et des mesures qu’elle a prises pour se conformer aux règles tout au long de la procédure.
Parmi les manquements relevés figure l’absence de consentement valide des personnes pour la prospection commerciale par voie électronique. Le Groupe Canal+ effectue régulièrement des campagnes de prospection, mais n’a pas pu démontrer qu’il avait obtenu un consentement approprié des destinataires de ces communications. Les formulaires utilisés ne fournissaient pas d’informations sur l’identité des destinataires, ce qui est nécessaire pour garantir un consentement éclairé.
En outre, des manquements à l’obligation d’informer les personnes, le respect de l’exercice de leurs droits, ainsi que des obligations concernant les modalités d’exercice des droits ont également été relevés. La société a omis de répondre à certaines demandes dans les délais requis par la loi, et un contrat de sous-traitance ne respectait pas toutes les exigences du RGPD.
Un autre aspect de l’infraction concerne la sécurité des données personnelles. Le Groupe Canal+ n’a pas suffisamment sécurisé le stockage des mots de passe de ses employés, ce qui constitue une violation de l’obligation de protection des données.
Enfin, la CNIL a constaté l’existence d’une violation de données qui a exposé certaines informations d’abonnés à d’autres abonnés pendant cinq heures. Cette violation n’a pas été notifiée à la CNIL, enfreignant ainsi l’obligation de notification des violations de données prévue par le RGPD.
Cette décision de la CNIL souligne l’importance cruciale du respect des règles de protection des données et de la nécessité pour les entreprises de s’assurer qu’elles sont en conformité avec ces réglementations. Le Groupe Canal+ devra maintenant mettre en place des mesures correctives pour se conformer aux exigences légales et garantir la protection des données de ses abonnés.
En synthèse, nous vous recommandons …
Consultez ici le communiqué de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros
L’intelligence artificielle (IA) offre un potentiel considérable dans divers domaines de l’économie et de la société, mais son développement doit être équilibré avec la protection des libertés individuelles. La CNIL se mobilise pour accompagner les acteurs de l’IA tout en garantissant la protection des données personnelles.
L’entraînement des algorithmes d’IA nécessite souvent l’utilisation de données personnelles, ce qui soulève des préoccupations en matière de confidentialité. Dans certains cas, les applications de ces algorithmes peuvent mettre en péril les droits des individus, par exemple en favorisant la création de fausses informations, en automatisant les processus de décision ou en permettant une surveillance accrue.
Pour relever ces nouveaux défis, la CNIL promeut une approche d’innovation responsable qui intègre les dernières avancées en matière d’IA tout en préservant les droits des individus.
En janvier 2023, la CNIL a créé un service dédié à l’IA, et au printemps, elle a lancé un plan d’action visant à clarifier les règles et à soutenir l’innovation dans ce domaine. Elle a également lancé deux programmes d’accompagnement pour les acteurs français, y compris un bac à sable pour des projets d’IA au service des services publics et un programme d’accompagnement renforcé pour des entreprises innovantes de taille intermédiaire.
Face aux demandes des principaux acteurs français de l’IA, la CNIL reconnaît le besoin de sécurité juridique. Elle a également lancé un appel à contributions sur la constitution de bases de données pour alimenter sa réflexion.
La CNIL a publié une première série de fiches pratiques sur l’utilisation de l’IA respectueuse des données personnelles pour lesquelles elle clarifie que les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte définis par le RGPD n’entravent pas la recherche ou les applications en IA tant que certaines lignes directrices et conditions sont respectées.
La CNIL souligne que la finalité de l’utilisation des données doit être précisément définie. Le principe de minimisation n’empêche pas l’utilisation de grandes bases de données, mais exige la sélection soignée des données pour optimiser l’entraînement des algorithmes. La durée de conservation des données d’entraînement peut être longue si elle est justifiée, et la réutilisation de jeux de données est possible, sous réserve de certaines conditions.
La CNIL insiste sur la compatibilité de l’IA avec la protection de la vie privée et estime que cette approche permettra le développement d’outils et d’applications éthiques et conformes aux valeurs européennes, établissant ainsi la confiance des citoyens dans ces technologies.
Consultez ici le communiqué de la CNIL : Intelligence artificielle : la CNIL dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée
