Le mois d’avril n’est pas en reste sur le sujet de l’Intelligence Artificielle (IA), il est certain que ce sujet prend de plus en plus d’importance dans notre société, dans notre tissu économique et donc dans ce bulletin. Car en effet, l’IA progresse et avec elle les interrogations sur son encadrement technique, juridique et éthique. Au regard de ces capacités qui évoluent très rapidement, il était évident que la question de la protection des données personnelles se pose.

En tant qu’autorité de contrôle nationale, la CNIL ne pouvait pas ignorer cette évolution majeure. Depuis presque 2 ans elle a mis en place une section spéciale dédiée à l’IA, des consultations publiques, des bacs à sable, etc. Aujourd’hui elle « accouche » de ces premières recommandations et commence doucement à coordonner la construction d’une IA respectueuse de la vie privée dès la conception !

Dans ces premières recommandations sorties début avril, la CNIL s’attaque tout d’abord à la phase de développement d’un système d’IA qui comprend la conception du système, la constitution de la base de données et l’apprentissage.

Son objectif est de permettre de réfléchir aux enjeux de protection des données personnelles en amont de la conception du système. Pour cela, elle interroge le lecteur ou le concepteur sur chaque élément essentiel constituant un traitement de données personnelles conforme aux exigences du RGPD.

La fiche 1 permet de comprendre les systèmes d’IA concernés par la conformité au RGPD. En résumé, la CNIL considère qu’il existe 3 de systèmes d’IA concernés :

• Les systèmes fondés sur l’apprentissage automatique (machine learning) ;
• Les systèmes dont l’usage opérationnel est défini dès la phase de développement et les systèmes à usage général (general purpose AI) ;
• Les systèmes dont l’apprentissage est réalisé une fois ou de façon continue en utilisant des données d’utilisation pour l’amélioration dudit système.

Les données personnelles se situent donc dans les bases de données utilisées pour entraîner les systèmes d’IA et cet entrainement peut intervenir pendant la conception, pendant l’utilisation ou même les deux.

La fiche 2 permet de définir la finalité du système d’IA afin de cadrer et de limiter les données personnelles utilisées pour l’entraînement du système. La CNIL profite de cette fiche pour contredire certaines objections. En effet, il est parfois entendu que définir une finalité est incompatible avec l’IA car cette dernière peut développer des caractéristiques non anticipées. Cependant, la CNIL considère que la finalité d’un système d’IA doit être adaptée à son contexte et donne ainsi des exemples :

• L’usage opérationnel est connu : l’objectif de l’usage est donc la finalité de la phase de développement comme de la phase de déploiement et d’utilisation.
• L’usage est général : la finalité ne doit pas être trop générale et pour cela la CNIL recommande de formuler dans la finalité : le type de système développé ainsi que ces fonctionnalités et capacités techniquement envisageables.
• L’usage à des fins de recherche scientifique : la CNIL tolère moins de précisions dans cette finalité compte tenu des difficultés à définir précisément les objectifs en début de travaux mais elle recommande de fournir ces précisions complémentaires à mesure que le projet avance.

La fiche 3 permet de déterminer les responsabilités au sens du RGPD dans un projet de conception d’un système d’IA. Autrement dit, il s’agit de déterminer le rôle des acteurs du projet : responsable de traitement, sous-traitant ou co-responsables.

En pratique, le règlement sur l’IA définit de son côté deux types d’acteurs :

• Le fournisseur de système d’IA qui développe ou fait développer un système, le met sur le marché ou le met en service à titre payant ou gratuit.
• Les importateurs, distributeurs, utilisateurs ou déployeurs de ces systèmes.

Contrairement à ce qu’on pourrait penser les responsabilités au sens du RGPD ne s’attribuent pas arbitrairement à l’un ou l’autre rôle définit par le règlement sur l’IA. Tout dépend de l’analyse qui est faite de chaque cas. Il faut donc interroger le rôle définit par le règlement sur l’IA à la lumière des définitions du RGPD. Cette fiche comprend des exemples proposés par la CNIL afin de pouvoir plus facilement déterminer votre rôle et donc vos responsabilités.

La fiche 4 permet d’établir la base légale la plus adaptée au système d’IA. Dans cette recommandation la CNIL apporte des précisions sur certaines bases légales mais le message principal est qu’il n’existe pas de base légale prédominante pour les systèmes d’IA, il faut pouvoir choisir la plus adaptée au projet et toujours être en capacité de la démontrer ou de la justifier.

Cette fiche 4 met également en avant une notion importante, celle de la réutilisation de certaines données personnelles. La CNIL y distingue plusieurs cas de figure :

• Le fournisseur réutilise des données qu’il a lui-même déjà collectées ;
• Le fournisseur réutilise des données publiquement accessibles ;
• Le fournisseur réutilise des données acquises auprès d’un tiers (ex : courtiers en données).

Par cette fiche, la CNIL insiste particulièrement sur la compatibilité de la réutilisation des données et sur la licéité des traitements précédents non-réalisés par le fournisseur qui réutilise lesdites données car les responsabilités ne disparaissent pas pour autant.

La fiche 5 rappelle l’importance voire la nécessité de réaliser une analyse d’impact sur la protection des données (ou AIPD) dans le cadre de la conception de systèmes d’IA. La CNIL rappelle les critères permettant de savoir si une AIPD doit être réalisée, mais surtout elle intègre un nouveau critère apporté par le règlement sur l’IA : le risque ! La CNIL considère que pour le développement des systèmes d’IA dits à « haut risque » par le règlement sur l’IA et impliquant des données personnelles, la réalisation d’une AIPD est en principe nécessaire.

Les fiches 6 et 7 s’attardent sur le principe de minimisation des données utilisées par les systèmes d’IA car au regard de leur volume important qui n’empêche pas que ces données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Mais qui s’attardent également sur le principe de limitation de conservation des données personnelles.

Dans cette fiche la CNIL insiste particulièrement sur le fait de rechercher les techniques pour atteindre l’objectif visé nécessitant le moins de données personnelles possibles. Ainsi elle met en avant les différents choix de protocoles, les choix de conception, la consultation de comité éthique, des techniques de collecte de données différentes, etc.

A travers ces recommandations, la CNIL démontre que le RGPD n’est pas un obstacle à l’innovation que peut apporter les systèmes d’IA et qu’il est possible voire crucial d’innover dans le respecte des données personnelles et de la vie privée pour une IA éthique ! Le règlement sur l’IA ou IA Act n’a pas vocation à remplacer le RGPD, bien au contraire, il va le compléter ! C’est d’ailleurs ce qu’explique en détails M. DAUTIEU, Directeur de l’accompagnement juridique de la CNIL.

La CNIL compte poursuivre ces travaux avec des recommandations sur la phase de déploiement d’un système d’IA dès que possible.

Consultez ici l’intégralité de l’arrêt de la CJUE : IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle, 8 avril 2024

Les solutions pour faire face aux menaces cyber évoluent pour une sécurité en profondeur basée sur des technologies mêlant intelligence artificielle, mutualisation et utilisation d’informations diverses notamment.

Ces solutions dont fait partie l’authentification multifacteur (MFA – multi-factor authentication) permettent de répondre à l’obligation de sécurité des données prévue à l’article 32 du RGPD mais génèrent à leur tour des traitements de données dont la conformité audit RGPD doit également être assurée.

C’est donc dans ce contexte que la CNIL travaille à un projet de recommandation sur cette solution dont la finalité est de sécuriser les responsables de traitement (utilisateurs de MFA) (détermination d’une base légale par exemple) et d’encourager les fournisseurs à adopter une approche de protection de la vie privée dès la conception (minimisation des données, données de conservation notamment).

La CNIL soumet ainsi ce projet à consultation publique jusqu’au 31 mai 2024 pour permettre d’améliorer ce projet au regard de la réalité du terrain et de l’expérience des acteurs concernés.

Cette consultation s’adresse :

• Aux responsables de traitements et aux sous-traitants, et particulièrement à leurs DPO, aux responsables RSSI (responsables de la sécurité des systèmes d’information) ainsi qu’à leurs équipes ;
• Aux fournisseurs de solutions de MFA.

Dans le contexte actuel où les menaces cyber sont de plus en plus prégnantes induisant des sécurités renforcées auxquelles vos structures ont recours, précisément s’agissant de la connexion renforcée de vos adhérents à leur espace personnel, participer à cette consultation publique en appréhendant le projet de recommandation ne peut que vous permettre de vous saisir du sujet et de ses implications pour vos entités et vos prestataires.

En lien avec cette consultation publique, la CNIL a publié le 14 mars 2024 une fiche pratique : « Sécurité : Authentifier les utilisateurs » permettant de reconnaître ses utilisateurs pour leur donner ensuite, les accès nécessaires.

Cette fiche rappelle qu’un identifiant est propre à chaque utilisateur et qu’une authentification est indispensable afin de contrôler son identité et ses accès aux données dont il a besoin. Après avoir évoqué les mécanismes permettant de réaliser l’authentification, elle détaille les précautions élémentaires pour définir une bonne authentification (identifiant unique, respect des recommandations de la CNIL, choix de mots de passe robustes et accompagnement), les pratiques interdites (noter son mot de passe en clair) et propose des pistes pour aller plus loin (authentification multifactorielle, nombre limité de tentatives d’accès, recours à un outil générateur de mots de passe).

Consultez ici l’intégralité du document : Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation (CNIL, 28 mars 2024) ; CNIL, Fiche pratique « Sécurité : Authentifier les utilisateurs, 14 mars 2024

Le 22 février dernier, la Commission européenne a en effet validé deux projets de règlements délégués précisant certaines exigences du Pilier IV de DORA relatif à la gestion des risques liés aux prestataires de services de TIC (PTST)

Ces actes portent précisément sur :

• les (sous-)critères de désignation des PTST comme critiques, ce qui permet d’y voir un peu plus clair sur la méthode d’évaluation et sur les prestataires qui seront susceptibles de figurer sur la liste des PTST critiques établie par les AES ;
• les modalités de paiement et la détermination du montant des redevances de supervision que les PTST critiques devront verser au superviseur principal dont ils relèvent, en l’occurrence 50 000 € minimum par an pour chaque PTST critique. Ainsi, il y a tout lieu de penser que les PTST, d’une manière ou d’une autre, répercuteront ou compenseront cette charge auprès de leurs partenaires compte tenu du petit nombre qu’ils sont sur le marché et de la situation de dépendance inévitable dans laquelle se trouve un bon nombre d’entités à leur égard.

N.B : des ajustements du montant de cette redevance sont prévus pour la première liste publiée et pour la première année au cours de laquelle le PTST sera désigné comme critique.

Ces deux textes devraient faire l’objet d’une publication officielle après le 22 mai 2024, à la fin du délai de présentation des objections.

Dans ce contexte, les AES se préparent à l’entrée en application du DORA et ont lancé les 1^ers recrutements afin de mettre en place l’équipe conjointe de surveillance du Règlement.
Cette équipe, comprenant un directeur, des experts juridiques et conformité et des experts en risques TIC, sera totalement intégrée au sein des 3 AES.

Consultez ici l’intégralité des documents : Règlement délégué (UE) …/… de la Commission, 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières ; Règlement délégué (UE) …/… de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances

Fin février, l’ANSSI a publié sa 3^ème édition du panorama de la cybermenace qui décrit les principales tendances constatées en 2023 en se concentrant sur les intentions des attaquants, leurs capacités et les opportunités exploitées pour compromettre des SI.

Dans un contexte de fortes tensions géopolitique et dans la perspective de la tenue des Jeux Olympiques sur le territoire national, la menace informatique est en constante augmentation et l’ANSSI appelle plus que jamais à une meilleure application des recommandations de première nécessité.

Ce panorama :

• Constate le regain du niveau de la menace cyber, notamment de l’espionnage qui reste à un niveau élevé et qui cible des personnes et des entités non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Les attaques par rançongiciel, dont l’ANSSI a eu connaissance, augmentent de 30 % par rapport à 2022. Enfin, les opérations de déstabilisation visant à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation se multiplient.
• Relève l’amélioration des méthodes des attaquants qui profitent des faiblesses techniques et perfectionnent les leurs afin d’éviter d’être détectés, voire identifiés. Concernant les faiblesses, l’exploitation de vulnérabilités « jour-zéro » (faille présente mais non connue ou identifiée par le fabricant) et « jour-un » (faille connue mais non mise à jour du logiciel induisant une faille persistante) reste une porte d’entrée privilégiée pour les hackers qui profitent ainsi de mauvaises pratiques, de retard dans l’application de correctifs ou dans l’absence de mécanisme de chiffrement.

Face à ces constats, l’ANSSI poursuit ses actions pour élever le niveau de cybersécurité et appelle à une meilleure application des recommandations primordiales que sont le développement des capacités de détection, la mise en place d’une stratégie de sauvegarde des SI, l’élaboration de PCA-PRA.

Par ailleurs, même si l’ANSSI souhaite poursuivre ses actions notamment en collaborant davantage avec des partenaires nationaux et internationaux, son partenaire principal cybermalveillance.gouv.fr corrobore ses dires et renforce ces recommandations.

En effet, le site a également publié son rapport d’activité pour 2023, lequel dresse un court bilan de la fréquentation de son site tant par les particuliers que par les professionnels. Les tendances de consultations et de demandes d’assistances en ligne convergent vers les menaces principales décrites par l’ANSSI :

• L’hameçonnage reste la principale menace générant des consultations par tous les publics (particuliers, professionnels, collectivités territoriales).
• Le piratage de compte vient en seconde place car celui-ci génère aujourd’hui de plus nombreuses conséquences qu’auparavant : usurpation d’identité, impacts financiers, couplage de données …
• Le rançongiciel reste un habitué du podium et dépasse même son propre record depuis 4 ans : 2 782 demandes d’assistance !

À noter que le virus fait son grand retour en atteignant la 4^e place des demandes d’assistance.

Consultez ici l’intégralité des documents : Panorama de la cybermenace 2023 (ANSSI, 23 février 2023) ; Rapport d’activité 2023 (Cybermalveillance.gouv.fr, 5 mars 2024)

En 2018, l’ACPR avait pris l’initiative de mener une première enquête sur l’assurance des risques cyber qui avait ainsi mis en exergue l’existence de couvertures implicites concernant l’assurance de ces risques. Ainsi, ces garanties n’étaient pas systématiques et le flou palpable entre existence et étendue de la couverture faisait peser un risque sur les assureurs et sur leurs assurés.

En 2023, après des recommandations, des rapports, des dossiers d’enquêtes, l’ACPR renouvelle donc l’expérience et par suite d’une nouvelle enquête auprès réalisée auprès d’un échantillon d’organismes d’assurance, elle se voit contrainte d’enjoindre à certains organismes n’ayant toujours pas pris conscience du risque important que représentent les ambiguïtés présentes dans leurs contrats liées aux risques cyber, de les clarifier.

L’Autorité somme donc, de nouveau, les assureurs de poursuivre leurs efforts visant à clarifier la couverture du risque cyber dans les contrats d’assurance !

L’enquête révèle en effet que les assureurs ont progressé dans l’identification et la clarification des garanties implicites couvrant le risque cyber. Cependant, des travaux de long terme sont encore nécessaires, notamment pour modifier les polices d’assurance afin d’expliciter la couverture effective du risque ou son exclusion.

Bien que la plupart des incertitudes concernant ces couvertures semblent être maîtrisées, certains organismes ne sont pas encore en mesure de quantifier exhaustivement le risque lié aux couvertures cyber des contrats qui ne sont pas entièrement dédiés à ce risque.

En conséquence, l’ACPR recommande donc aux assureurs d’identifier toutes les couvertures cyber, de clarifier les clauses contractuelles pour éliminer toute ambiguïté juridique et de s’assurer que le maintien des couvertures implicites représente un risque maîtrisé. De plus, elle encourage une évaluation financière exhaustive des risques portés par l’ensemble des garanties cyber, qu’elles soient implicites ou explicites.Haut du formulaire

→ Dans le contexte actuel de cybermenaces exponentielles, couvrir vos entités du risque cyber devient sinon une priorité, du moins une nécessité. Il convient néanmoins, au regard de cette information de l’ACPR, de vous assurer d’identifier les couvertures cyber effectivement proposées et assurées et le cas échéant, de bien faire clarifier les clauses contractuelles d’inclusions/exclusions de garanties prévues.

Consultez ici l’intégralité du document : Communiqué de presse ACPR du 11 mars 2024

France Travail, anciennement Pôle emploi, est au cœur d’une enquête de la CNIL suite à une cyberattaque ayant potentiellement exposé les données de 43 millions d’utilisateurs. L’attaque, survenue le 8 mars, aurait affecté les personnes inscrites sur la liste des demandeurs d’emploi actuels ou ayant eu un espace candidat sur le site francetravail.fr au cours des 20 dernières années.

Les données personnelles compromises incluent les noms, prénoms, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, ainsi que les numéros de téléphone. Cependant, la CNIL précise que les mots de passe et les coordonnées bancaires ne semblent pas avoir été touchés.

France Travail s’engage à informer individuellement toutes les personnes potentiellement concernées et met en place une plateforme téléphonique (39 49) pour les accompagner. En parallèle, la CNIL exhorte les utilisateurs à la vigilance et rappelle quelques conseils pour se protéger :

• Soyez vigilants par rapport aux messages : SMS, mails, courriers, appels, … 💬
• Ne communiquez jamais vos mots de passes ou coordonnées bancaires par messagerie ⛔
• Au moindre doute, n’ouvrez pas les pièces jointes ; ne cliquez pas sur les liens contenus 📎
• Vérifiez régulièrement les activités et mouvements sur vos différents comptes 💲
• Assurez-vous d’utiliser des mots de passes très robustes!

Malgré l’absence de données bancaires compromises, la CNIL met en garde contre d’éventuels risques de couplage de ces données avec d’autres informations provenant de fuites antérieures. Dans ce contexte, des investigations sont menées pour évaluer la conformité des mesures de sécurité de France Travail aux exigences du RGPD.

Consultez ici l’intégralité du communiqué de l’autorité :  Enquête sur la fuite de données et donne des conseils pour se protéger

La Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction de 310 000 euros à l’encontre de la société FORIOU pour des pratiques de prospection commerciale illégales. Cette décision intervient suite à des constatations faites lors de contrôles, révélant une absence de consentement libre et univoque ainsi qu’une information insuffisante des personnes concernées.

FORIOU, spécialisée dans la promotion de programmes et cartes de fidélité, a été sanctionnée pour avoir utilisé des données fournies par des courtiers en données sans s’assurer que les personnes
concernées avaient valablement consenti à être démarchées. Ces données étaient collectées via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

La formation restreinte de la CNIL a relevé que l’apparence trompeuse de ces formulaires ne permettait pas de recueillir un consentement valide, conforme aux exigences du règlement général sur la protection des données (RGPD).

En effet, la mise en valeur des boutons incitant à la transmission des données à des fins de prospection commerciale orientait fortement les utilisateurs à accepter, tandis que les liens hypertextes permettant de participer au jeu sans accepter cette transmission étaient moins visibles et tout à fait différents des boutons. La CNIL a également souligné le manque de contrôle effectif des exigences contractuelles imposées par FORIOU à ses fournisseurs de données. De plus, les formulaires de jeux-concours ne mentionnaient pas systématiquement la société FORIOU dans la liste des partenaires susceptibles de démarcher les personnes concernées.

FORIOU avait donc la possibilité d’utiliser la base légale du consentement ou celle de l‘intérêt légitime (à justifier). Dans son cas, elle se fonde sur le consentement des personnes concernées à recevoir son démarchage, consentement recueilli par le courtier de données auprès duquel elle a obtenu les données. Ainsi, si le consentement recueilli par le courtier dans ses formulaires n’est pas valable, alors le traitement de FORIOU qui s’en suit n’est plus licite.

Cette amende, d’un montant représentant environ 1 % du chiffre d’affaires de la société, a été décidée au regard de la gravité du manquement et de la responsabilité endossée par FORIOU.

Cette décision rappelle que la responsabilité de la conformité d’un traitement aux exigences du RGPD pèse bien sur le responsable du traitement, c’était donc à la société FORIOU de s’assurer que le consentement, sur lequel elle se fonde pour démarcher ses prospects, était bien valable au-delà des mesures contractuelles intégrées au contrat avec le courtier de données.

Consultez ici l’intégralité du document : Délibération 2024-003 du 31 janvier 2024