La Commission Nationale de l’informatique et des Libertés (CNIL) a émis une recommandation technique visant à promouvoir l’utilisation des Interfaces de Programmation Applicatives (API) dans le partage de données entre entités publiques et privées. Cette recommandation souligne le potentiel des API pour renforcer la sécurité, minimiser les données et gérer les autorisations.
La CNIL met en avant la diversité des cas d’utilisation des API, couvrant tous les types d’organisations et de partages de données, qu’ils soient ouverts ou restreints, publics ou privés. La recommandation identifie trois rôles techniques essentiels dans ce processus : le détenteur de données, le gestionnaire d’API et le réutilisateur de données.
Il est mis en avant que l’utilisation des API doit respecter des bonnes pratiques tout au long de leur cycle de vie, de la conception au déploiement. La CNIL précise que la recommandation, issue d’une consultation publique à l’automne 2022, se concentre sur les mesures techniques sans détailler le cadre juridique général du partage de données via les API.
La responsabilité juridique est abordée de manière générale et la recommandation introduit trois rôles fonctionnels, sans toutefois déterminer la responsabilité juridique spécifique de chaque organisme. Celle-ci doit être évaluée au cas par cas, en tenant compte des circonstances du partage de données. Lorsqu’une API est accessible sans restriction, les réutilisateurs sont généralement responsables de leurs propres traitements distincts du traitement d’ouverture des données par l’API.
La méthodologie proposée par la CNIL vise à promouvoir les bonnes pratiques et est complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI pour sécuriser l’ensemble du traitement. Des outils spécifiques sont également recommandés pour mettre en œuvre ces mesures, mais leur utilisation doit être évaluée au cas par cas.
Des exemples concrets illustrent la mise en œuvre pratique des recommandations, couvrant des cas tels que le partage restreint de données entre organismes, le partage de données entre réseaux sociaux et chercheurs, l’ouverture de données de l’administration, ou encore le partage fermé de données entre services d’un même organisme.
En résumé, la CNIL, par le biais de cette recommandation, cherche à encourager l’utilisation des API comme un moyen sécurisé et efficace de partager des données, illustrant l’importance de la conception et de la mise en œuvre appropriées de ces interfaces pour garantir la protection des données personnelles.
Consultez ici la recommandation de la CNIL : Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel
La cyberattaque contre l’Agence Nationale des recettes Publiques bulgare (NAP) a mis en lumière les enjeux cruciaux entourant la protection des données personnelles. Le 15 juillet 2019, une intrusion dans le système informatique de la NAP a entraîné la publication sur Internet de données à caractère personnel concernant des millions de personnes. Face à cette menace potentielle, de nombreux individus ont décidé d’agir en justice, invoquant un préjudice moral résultant de la crainte d’une utilisation abusive de leurs données.
La Cour administrative suprême bulgare a soumis des questions préjudicielles à la Cour de Justice de l’Union Européenne (CJUE), cherchant à clarifier les conditions de réparation du préjudice moral dans le contexte d’une cyberattaque.
L’arrêt rendu par la CJUE explique que la divulgation non autorisée de données à caractère personnel nécessite une évaluation concrète des mesures de protection mises en œuvre par le responsable du traitement. La simple divulgation ne suffit pas à conclure que ces mesures étaient inappropriées ni à engager la responsabilité du responsable de traitement.
Cependant, la charge de la preuve incombe au responsable du traitement. Il doit ainsi démontrer que les mesures de protection étaient adéquates pour prévenir l’accès non autorisé aux données. Autrement dit, il doit démontrer que le dommage subi par les personnes concernées victimes de cette divulgation par des tiers, ne lui est pas imputable.
Par cet arrêt la Cour confirme la légitimité de la crainte d’un usage abusif de données personnelles, qui constitue en soi un « dommage moral ». Ainsi, la simple appréhension d’une utilisation inappropriée par des tiers peut donner lieu à une réparation.
Cette décision renforce la protection des individus contre les conséquences néfastes des violations du Règlement Général sur la Protection des Données (RGPD) et plus particulièrement son article 32 relatif aux exigences de sécurité des données à caractère personnel. Elle fait ainsi ressortir la responsabilité accrue des organisations dans la mise en place de mesures robustes pour prévenir de telles atteintes.
La cybersécurité demeure un enjeu majeur, et cette jurisprudence établit un précédent important pour la protection des droits individuels face aux menaces croissantes de la cybercriminalité.
Consultez ici la décision de la CJUE : CJUE-affaire-C-340/21-
Le mois dernier, nous vous annoncions l’ouverture par la CNIL d’une consultation publique sur 9 fiches pratiques concernant l’application du Règlement général sur la protection des données (RGPD) à l’intelligence artificielle (IA) en phase de développement.
Cette consultation publique devait ainsi prendre fin le 16 novembre.
Cependant, avec l’intention de mobiliser tout particulièrement l’ensemble des acteurs de l’IA (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, etc.) autour des enjeux de protection des droits et libertés que son usage implique, et de permettre au plus grand nombre quel que soit son profil, de pouvoir participer à cette consultation, la CNIL a décidé de prolonger d’un mois supplémentaire la possibilité de déposer des contributions.
La présente consultation prendra donc fin le 15 décembre prochain.
Consultez ici l’intégralité du document : « Intelligence artificielle : la CNIL ouvre une consultation sur la constitution de bases de données d’apprentissage » (MAJ)
Le Groupe Canal+, l’éditeur de chaînes de télévision et fournisseur d’offres de télévision payante, se retrouve sous les feux des projecteurs pour des manquements aux règles de protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL) a récemment rendu son verdict concernant plusieurs plaintes déposées par des individus se plaignant de difficultés à faire valoir leurs droits en matière de protection des données.
À la suite d’enquêtes approfondies, la formation restreinte de la CNIL, chargée de prononcer des sanctions, a conclu que le Groupe Canal+ avait enfreint plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD) ainsi que du Code des Postes et des Communications Électroniques (CPCE). En conséquence, une amende publique de 600 000 euros a été infligée à la société.
L’amende a été calculée en tenant compte de la nature des manquements constatés, mais également de la coopération de la société avec la CNIL et des mesures qu’elle a prises pour se conformer aux règles tout au long de la procédure.
Parmi les manquements relevés figure l’absence de consentement valide des personnes pour la prospection commerciale par voie électronique. Le Groupe Canal+ effectue régulièrement des campagnes de prospection, mais n’a pas pu démontrer qu’il avait obtenu un consentement approprié des destinataires de ces communications. Les formulaires utilisés ne fournissaient pas d’informations sur l’identité des destinataires, ce qui est nécessaire pour garantir un consentement éclairé.
En outre, des manquements à l’obligation d’informer les personnes, le respect de l’exercice de leurs droits, ainsi que des obligations concernant les modalités d’exercice des droits ont également été relevés. La société a omis de répondre à certaines demandes dans les délais requis par la loi, et un contrat de sous-traitance ne respectait pas toutes les exigences du RGPD.
Un autre aspect de l’infraction concerne la sécurité des données personnelles. Le Groupe Canal+ n’a pas suffisamment sécurisé le stockage des mots de passe de ses employés, ce qui constitue une violation de l’obligation de protection des données.
Enfin, la CNIL a constaté l’existence d’une violation de données qui a exposé certaines informations d’abonnés à d’autres abonnés pendant cinq heures. Cette violation n’a pas été notifiée à la CNIL, enfreignant ainsi l’obligation de notification des violations de données prévue par le RGPD.
Cette décision de la CNIL souligne l’importance cruciale du respect des règles de protection des données et de la nécessité pour les entreprises de s’assurer qu’elles sont en conformité avec ces réglementations. Le Groupe Canal+ devra maintenant mettre en place des mesures correctives pour se conformer aux exigences légales et garantir la protection des données de ses abonnés.
En synthèse, nous vous recommandons …
Consultez ici le communiqué de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros
L’intelligence artificielle (IA) offre un potentiel considérable dans divers domaines de l’économie et de la société, mais son développement doit être équilibré avec la protection des libertés individuelles. La CNIL se mobilise pour accompagner les acteurs de l’IA tout en garantissant la protection des données personnelles.
L’entraînement des algorithmes d’IA nécessite souvent l’utilisation de données personnelles, ce qui soulève des préoccupations en matière de confidentialité. Dans certains cas, les applications de ces algorithmes peuvent mettre en péril les droits des individus, par exemple en favorisant la création de fausses informations, en automatisant les processus de décision ou en permettant une surveillance accrue.
Pour relever ces nouveaux défis, la CNIL promeut une approche d’innovation responsable qui intègre les dernières avancées en matière d’IA tout en préservant les droits des individus.
En janvier 2023, la CNIL a créé un service dédié à l’IA, et au printemps, elle a lancé un plan d’action visant à clarifier les règles et à soutenir l’innovation dans ce domaine. Elle a également lancé deux programmes d’accompagnement pour les acteurs français, y compris un bac à sable pour des projets d’IA au service des services publics et un programme d’accompagnement renforcé pour des entreprises innovantes de taille intermédiaire.
Face aux demandes des principaux acteurs français de l’IA, la CNIL reconnaît le besoin de sécurité juridique. Elle a également lancé un appel à contributions sur la constitution de bases de données pour alimenter sa réflexion.
La CNIL a publié une première série de fiches pratiques sur l’utilisation de l’IA respectueuse des données personnelles pour lesquelles elle clarifie que les principes de finalité, de minimisation, de conservation limitée et de réutilisation restreinte définis par le RGPD n’entravent pas la recherche ou les applications en IA tant que certaines lignes directrices et conditions sont respectées.
La CNIL souligne que la finalité de l’utilisation des données doit être précisément définie. Le principe de minimisation n’empêche pas l’utilisation de grandes bases de données, mais exige la sélection soignée des données pour optimiser l’entraînement des algorithmes. La durée de conservation des données d’entraînement peut être longue si elle est justifiée, et la réutilisation de jeux de données est possible, sous réserve de certaines conditions.
La CNIL insiste sur la compatibilité de l’IA avec la protection de la vie privée et estime que cette approche permettra le développement d’outils et d’applications éthiques et conformes aux valeurs européennes, établissant ainsi la confiance des citoyens dans ces technologies.
Consultez ici le communiqué de la CNIL : Intelligence artificielle : la CNIL dévoile ses premières réponses pour une IA innovante et respectueuse de la vie privée
Récemment, les services de la Commission européenne ont officiellement sollicité des informations de la part de X, la grande plateforme en ligne anciennement Twitter, en vertu du règlement sur les services numériques (DSA pour « Digital Services Act »). Cette demande fait suite à des indications selon lesquelles des contenus illicites et des informations erronées se propagent sur cette plateforme, y compris du contenu à caractère terroriste et violent, ainsi que des discours haineux. La demande englobe également la conformité aux autres dispositions du DSA.
Depuis sa désignation en tant que « très grande plateforme en ligne » à la fin août 2023, X doit se conformer à toutes les exigences du DSA. Cela inclut l’évaluation et la réduction des risques liés à la diffusion de contenus illicites, de désinformation, de violence à caractère sexiste, ainsi que les effets potentiels sur les droits fondamentaux, les droits de l’enfant, la sécurité publique et le bien-être mental.
La Commission enquête sur le respect de X au DSA, y compris ses politiques de signalement de contenus illicites, le traitement des plaintes, l’évaluation des risques et les mesures prises pour atténuer ces risques. La Commission peut demander des informations supplémentaires à X pour garantir le respect du droit.
X devra fournir les informations requises à la Commission concernant le protocole de crise de la plateforme pour d’autres questions. La Commission prendra des mesures en fonction des réponses de X, y compris l’ouverture d’une procédure officielle en vertu de l’article 66 du DSA.
En vertu de l’article 74 §2 du DSA, la Commission peut imposer des amendes en cas de fourniture d’informations inexactes, incomplètes ou trompeuses en réponse à une simple demande d’informations. Si X ne répond pas, la Commission peut exiger la fourniture d’informations par décision. Le non-respect des délais pourrait entraîner des astreintes (limitées à 5% du chiffre d’affaires quotidien).
Pour rappel, le DSA, garant de la liberté d’expression et des droits des utilisateurs, est essentiel dans la stratégie numérique de l’UE. Il établit en effet des normes de responsabilité sans précédent pour les plateformes en ce qui concerne la diffusion d’éléments de désinformation et de contenus illicites comme les discours haineux. Ces démarches, contrôles et enquêtes devraient se multiplier, affaires à suivre…
Consultez ici le communiqué de presse de la Commission européenne : Demande d’informations à X par la Commission europénne
