Dans le cadre de 3 avis publiés le 27 juin, l’ACPR a récemment déclaré sa conformité à trois volets d’orientations européennes majeures, publiées dans le cadre de l’application de DORA (ou de son petit nom règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier).

Ces textes, constituant surtout à ce stade des piqûres de rappel, structurent ainsi les exigences techniques, organisationnelles et de supervision, qui sont attendues des entités financières à compter du second semestre 2025.

Gestion des risques TIC et sécurité (EBA/GL/2025/02) :

Face à la difficulté d’évaluer la conformité des modèles d’intelligence artificielle (IA) aux exigences du RGPD, la CNIL lance le projet PANAME (pour « Privacy Auditing of AI Models »), en partenariat avec l’ANSSI, le PEReN (Pôle d’Expertise de la Régulation Numérique) et le projet IPoP (« Interdisciplinary Project on Privacy ») du PEPR (Programme et Équipements Prioritaires de Recherche) Cybersécurité.

Beaucoup d’acronymes et de sigles pour un objectif stratégique : développer une bibliothèque logicielle open source, facilitant la réalisation de tests de confidentialité sur les modèles d’IA, permettant de tester la robustesse des modèles face aux risques de réidentification et ainsi aider les acteurs à démontrer la conformité RGPD de leurs systèmes…

Cette capacité à tester la robustesse d’un modèle est essentielle pour qualifier les données comme anonymes, condition permettant de sortir du champ du RGPD.

Le projet répond à trois défis majeurs :

En février 2024, les deux opérateurs de tiers payant (OTP) VIAMEDIS et ALMERYS ont été victimes d’une cyberattaque importante entrainant la violation de données personnelles de plus de 33 millions de personnes concernées.

C’est dans ce contexte que le sénateur du Rhône, Monsieur Bernard FIALAIRE, avait notamment interrogé Mme la ministre de la santé à ce sujet, le 17 octobre 2024, dans une question au gouvernement, pour s’assurer justement des avancées gouvernementales sur les conséquences de cette violation de données à grande échelle.

Comme pour justifier sa question, une réflexion intéressante était d’ailleurs soulevée par le sénateur puisqu’il rappelait l’importance du principe de minimisation des données en demandant au ministère s’il était vraiment utile de transférer toutes les données de santé vers autant de tiers, mentionnant ainsi les OCAM.

Il proposait en outre la mise en place d’une blockchain pour sécuriser les échanges et éviter une multiplication des transferts, et donc une multiplication des risques.