Veille Juridique n°57 – Mars 2023.

Nutikaamerad ja biomeetria – milline on olümpiamängudega seotud seaduse mõju?

Le 23 mars dernier, l’Assemblée nationale a adopté l’article 7 de la loi sur les jeux olympiques.

Le texte de loi, voté dans une assemblée clairsemée (73 députés étaient présents sur 577), a déjà fait couler beaucoup d’encre, et suscitera encore certainement de nombreuses réactions dans les prochains mois.

Il légalise en effet l’utilisation de la surveillance algorithmique jusqu’en décembre 2024, dans un contexte qualifié d’exceptionnel mais pour des événements qui dépassent le cadre strict des jeux olympiques.

La surveillance pourra concerner les « manifestations sportives, récréatives ou culturelles » en général, « exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ».

Elle pourra ainsi être testée à l’occasion de manifestations sportives telles que la coupe du monde de rugby de cet automne.

 

Qu’est-ce que la surveillance algorithmique ? S’agit-il d’une forme de surveillance biométrique sujette aux obligations strictes du RGPD et de la future réglementation européenne de l’intelligence artificielle ?

Le projet prévoit l’utilisation de « caméras augmentées » assistées par intelligence artificielle, pilotées par drone, qui auront pour objet l’analyse automatique des images en temps réel par des algorithmes pour détecter des évènements prédéterminés, par exemple des mouvements de foules, des bagages, gestes ou comportements suspects.

Tout en soulignant les enjeux majeurs des caméras augmentées en matière de vie privée et de protection des données à caractère personnel, la CNIL dans ses observations du 8 décembre dernier ne semblait pas considérer que des traitements biométriques seraient à l’œuvre.

Elle constatait que plusieurs mesures allaient dans le sens de ses préconisations :

• Déploiement expérimental, limité dans le temps et l’espace, pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes,
• Absence de traitement de données biométriques et de rapprochement avec d’autres fichiers, et
• Décisions soumises à intervention humaine préalable.

Pour la société civile en revanche, la technologie utilisée relève bien de la biométrie.

En effet, elle « identifie, analyse, classe en permanence les corps, les attributs physiques, les gestes, les silhouettes, les démarches, qui sont incontestablement des données biométriques ».

La Quadrature du Net et une quarantaine d’organisations internationales ont développé cette perspective dans une lettre ouverte à l’Assemblée nationale coordonnée et publiée par l’ECNL (European Center for Non-Profit Law).

Le RGPD définit les données biométriques comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique » (article 4.14).

La lettre ouverte constate que les caméras capteront et analyseront forcément des traits physiologiques et des comportements de personnes présentes dans les espaces publics surveillés, et que le fait d’isoler ces personnes par rapport à leur environnement, qui s’avère indispensable en vue de remplir l’objectif du système, constitue une « identification unique ».

Selon le RGPD et l’interprétation du Comité européen de la protection des données sur ce sujet, la capacité d’isoler une personne parmi une foule ou par rapport à son environnement, que son nom ou son identité soient connus ou non, constitue une « identification unique ».

Le fait de placer des personnes dans une catégorie regroupant les comportements « à risque » sur la base de ces données constituerait ainsi une catégorisation biométrique susceptible d’être en contradiction avec les dispositions du futur règlement européen sur l’intelligence artificielle.

Notons à cet égard l’avis du 18 juin 2021 des régulateurs européens de la protection des données, qui appelle à l’interdiction générale de toute utilisation de l’IA pour la reconnaissance automatique des caractéristiques humaines dans les espaces accessibles au public.

Ces arguments figurent également dans un courrier envoyé à l’Assemblée nationale par 41 membres du Parlement européen qui soulignent que la France deviendrait avec cette loi le premier pays d’Europe légalisant la surveillance de masse de son espace public.

Le texte de loi pourrait ainsi devoir passer un test de compatibilité avec les règles de droit européen.

Notons à ce sujet que le projet de Règlement sur l’intelligence artificielle figure à l’agenda de la plénière du Parlement européen pour la fin du mois de mai.

 

Ja ka

CNIL    

 La CNIL a publié la liste de ses thématiques de contrôle prioritaires pour 2023 : elle se concentrera cette année sur :

• L’utilisation de caméras « augmentées » par les acteurs publics,
• L’utilisation du fichier des incidents de crédit aux particuliers,
• La gestion des dossiers de santé des patients et
• Les applications mobiles.

Elle a également publié fin mars son premier dossier thématique concernant l’identité numérique, présentant les grands principes clés et ses positions sur le sujet.

Le dossier est destiné au grand public comme aux organismes publics ou privés ainsi qu’aux chercheurs.

Rappelons à ce sujet que dans une publication du 22 février, la CNIL faisait le point sur l’expérimentation menée depuis 2019 sur la carte Vitale électronique (« e-carte Vitale ») qui sera proposée de manière facultative à l’ensemble des assurés sociaux avant fin 2025.

Au-delà de son utilisation courante, la « e-carte Vitale » constituera une alternative à FranceConnect pour le secteur de la santé numérique.

Le 16 mars 2023, la CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société CITYSCOOT.

La CNIL a constaté que la société géolocalisait de manière quasi permanente ses clients lors de la location d’un scooter et conservait ces données.

La Commission a également relevé que les contrats de sous-traitance ne comprenaient pas certaines clauses essentielles dont la nature des données collectées, les mesures de sécurité à mettre en place ou encore le sort des données en cas de résiliation des contrats.

La société avait en outre recours à un mécanisme de reCAPTCHA transmettant les données collectées à GOOGLE pour analyse, sans fournir aucune information à l’utilisateur et sans recueillir son consentement préalable.

 

Institutions et organismes européens

Euroopa Andmekaitsenõukogu

Le Comité européen de protection des données (EDPB) a lancé son action coordonnée d’inspection annuelle.

Au cours des prochains mois, 26 autorités nationales de protection des données de l’EEE participeront à cette action portant sur la désignation et la position des délégués à la protection des données.

Les enquêtes viseront à établir si les délégués ont une position conforme aux exigences des articles 37 à 39 du RGPD et les ressources nécessaires pour mener à bien leurs tâches.

Des questionnaires leur seront envoyés afin de cartographier leur situation et déterminer si une enquête formelle est justifiée.

DSA

Dans le cadre du Règlement sur les services numériques (DSA), l’Union européenne a fixé de nouvelles règles exigeant que les très grandes plateformes numériques (Very Large Online Platforms et Very Large Search Engines) ayant plus de 45 millions d’utilisateurs se déclarent avant le 17 février auprès de la Commission européenne.

Selon l’analyse d’un professeur de la London School of Economics and Political Science, 18 acteurs seraient concernés : AliExpress, Amazon marketplace, Apple App store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing search et Google search.

TIK TOK

Le réseau social Tik Tok a d’ailleurs annoncé mi-février sa volonté de se conformer au DSA qui entrera en vigueur mi-2023.

Tik Tok annonce également le déploiement de data centers en Europe afin de limiter les flux transfrontaliers de données.

Cette annonce intervient alors que les institutions de l’UE ainsi que les gouvernements des Pays-Bas du Canada et la Maison Blanche aux Etats-Unis ont récemment demandé à leurs employés de désinstaller l’application de leurs équipements professionnels et personnels, invoquant des problèmes de protection des données personnelles.

DMA

La Commission européenne a mis en place fin mars un groupe de haut niveau pour assurer une application cohérente du Règlement sur les marchés numériques (DMA) avec les autres règlementations européennes.

Parmi les personnes nommées figurent le Contrôleur européen de la protection des données (EDPS) et le Comité européen de la protection des données (EDPB).

La loi sur les marchés numériques s’applique spécifiquement aux grandes plateformes en ligne désignées comme « gatekeepers ».

ENISA 

L’agence européenne ENISA publie ce 29 mars une étude sur les menaces de cybersécurité à l’horizon 2030.

Cette étude vise à identifier et à collecter des informations sur les futures menaces qui pourraient affecter l’infrastructure et les services de l’Union, ainsi que sa capacité à assurer la sécurité numérique de la société et des citoyens européens.

ENISA publie également un rapport sur la cybersécurité de l’IA et la normalisation.

L’objectif du document est de fournir une vue d’ensemble des normes existantes et futures, d’évaluer leur champ d’application et d’identifier les lacunes en matière de normalisation.

Il prend en compte les spécificités de l’IA, et en particulier de l’apprentissage automatique, et adopte une vision large de la cybersécurité, englobant les exigences de confidentialité, intégrité et disponibilité, et le concept plus large de la fiabilité de l’IA.

Enfin, le rapport examine comment la normalisation peut soutenir la mise en œuvre des aspects de cybersécurité intégrés dans la proposition de règlement de l’UE sur l’IA.

COMMISSION EUROPÉENE

Le 6 mars, la Commission européenne a annoncé qu’à l’issue d’un dialogue impliquant des autorités de protection des consommateurs de l’UE, WhatsApp s’est engagé à être plus transparent sur les modifications apportées à ses conditions d’utilisation.

L’entreprise permettra aussi aux utilisateurs de rejeter plus facilement les mises à jour lorsqu’ils ne sont pas d’accord avec celles-ci, et expliquera quand un tel rejet conduit l’utilisateur à ne plus pouvoir utiliser ses services.

WhatsApp a également confirmé que les données personnelles des utilisateurs ne sont pas partagées avec des tiers ou d’autres sociétés de Meta à des fins publicitaires.

IAPP

On trouvera sur le site de l’IAPP un tableau (« EU data initiatives in context ») recensant les textes réglementaires européens en matière de protection des données ainsi que les initiatives en cours, du RGPD au DSA en passant par la stratégie de cybersécrité européenne. Le recensement a été mis à jour en mars 2023.

 

Actualités nationales

• ROYAUME-UNI : jeudi 9 mars, le gouvernement britannique a présenté au Parlement un projet de loi « assoupli » sur la protection des données et l’information numérique. Le projet de réforme devrait notamment permettre aux sociétés de collecter plus facilement des données sans le consentement de leurs utilisateurs, par exemple dans le cadre de leur politique de recherche et développement.

Les obligations de consentement sur le dépôt de cookies seront aussi allégées, et le recrutement d’un responsable interne de la protection des données ne sera plus obligatoire.

Toujours au Royaume-Uni :

• Le National Cyber Security Centre a publié un article évaluant les risques et formulant des recommandations pour l’utilisation des LLM (Large Language Models) tels que ChatGPT.

Si les données des requêtes ne sont pas utilisées aujourd’hui pour alimenter le modèle, elles pourraient l’être dans les versions futures.

L’article pointe les risques accrus en matière de cybercriminalité, tels que la production de courriels d’hameçonnage plus convaincants, ou l’apprentissage de nouvelles techniques d’attaque.

Il recommande de ne pas inclure d’informations sensibles dans les requêtes adressées aux LLM publics.

• L’autorité britannique de protection des données a de son côté mis à jour ses orientations sur l’IA et la protection des données à la demande de l’industrie.

Les lignes directrices clarifient les exigences en matière d’équité dans l’IA.

• ITALIE : les LLM occupent le devant de la scène en ce début de printemps. L’autorité italienne de protection des données a émis le 31 mars une ordonnance contre OpenAI, bloquant ChatGPT en Italie en raison du manque de transparence, de l’absence d’un motif légitime de traitement, du non-respect de l’exactitude des données traitées, de l’absence de vérification de l’âge et de la violation générale du principe de « privacy by design ».
• RÉPUBLIQUE TCHÈQUE : L’entreprise de cybersécurité et d’antivirus Avast a été condamnée à une amende de 13,7 millions d’euros par l’APD tchèque pour infraction au RGPD.

Des données des utilisateurs collectées via Google Maps, YouTube, LinkedIn et, plus largement encore, les recherches web sur Google, ont été vendues via sa filiale Jumpshot.

L’enquête de l’APD tchèque porte sur le traitement historique des données personnelles avant janvier 2020, Avast ayant fermé Jumpshot à cette date.

• NORVÈGE : L’APD norvégienne a infligé une amende de 220 000 euros à Argon Medical Devices pour avoir retardé la notification d’une violation de données en raison d’un recours systématique et important à des consultants externes.

Un tel recours à des tiers a été considéré comme ralentissant de manière excessive le processus de notification de la violation de sécurité.

Norvège encore :

• À la suite de l’une des 101 plaintes de l’ONG NOYB concernant les transferts vers les États-Unis, l’APD norvégienne a notifié à un contrôleur son intention de le réprimander pour son utilisation de Google Analytics et le transfert consécutif de données à caractère personnel vers les États-Unis, en violation de l’article 44 du RGPD.
• Toujours en Norvège, la Commission de recours en matière de protection de la vie privée a confirmé la décision de l’APD d’infliger une amende de 352 555 euros à une municipalité pour violation de l’article 5(1)(f), et des articles 24 et 32 du RGPD suite à une attaque par rançongiciel ayant entraîné la perte irrémédiable de données personnelles très sensibles et leur vente sur le dark web.
• AUTRICHE : l’APD autrichienne a décidé que l’utilisation du pixel de suivi de Facebook violait le RGPD et la décision « Schrems II » de la CJUE sur les flux de données transatlantiques.
• BELGIQUE : En Belgique, une autorité publique a été autorisée à invoquer l’article 6(1)(e) du RGPD pour géolocaliser les voitures de fonction de ses employés, car il n’existait pas d’autres solutions moins invasives et le suivi était nécessaire pour une utilisation efficace de ses ressources limitées.

Dans cette affaire, le responsable du traitement a toutefois été réprimandé pour plusieurs autres violations du règlement.

• IRLANDE : la Banque d’Irlande a été condamnée à une amende de 750 000 euros. L’APD a constaté que le responsable du traitement n’avait pas suffisamment évalué les risques liés au traitement, ni mis en œuvre les mesures de sécurité appropriées.
• ESPAGNE : L’APD espagnole a condamné Orange Espagne à une amende de 100 000 euros pour avoir violé le principe de minimisation des données en exigeant une photo du recto et du verso du document d’identité d’un client afin de livrer un téléphone acheté en ligne.
• Toujours en Espagne, un responsable du traitement qui ne répond pas à une demande d’accès en raison d’une erreur d’un employé est néanmoins responsable de la violation de l’article 15 du RGPD.

 

• USA: La Federal Trade Commission a publié le 25 mars dernier sur son blog un article intitulé « Chatbots, deepfakes, and voice clones », ou la tromperie via l’IA.

La FTC pointe une menace émergente préoccupante à laquelle les entreprises de l’écosystème numérique doivent s’attaquer.

Le bureau de la technologie de la FTC a en outre publié une analyse et des orientations sur les pixels de suivi des tiers (« tracking pixels »), basée sur ses récentes décisions concernant des fournisseurs de services de santé numérique.

• Le NIST (National Institute of Standards and Technology) met en ligne un Centre de ressources pour une intelligence artificielle digne de confiance et responsable.

L’objectif est de soutenir les acteurs de l’IA dans leur développement de ces technologies.

Il s’accompagne d’un cadre de gestion des risques et d’un Playbook et entend donner accès à un large éventail de ressources pertinentes en la matière.

• CORÉE DU SUD : La Commission de protection des informations personnelles de Corée du Sud a infligé des amendes à McDonald’s, British American Tobacco et Samsung pour atteinte à la vie privée.

McDonald’s a été condamné à une amende de 484.000 Euros pour avoir stocké des fichiers de sauvegarde concernant des utilisateurs de son service McDelivery sur un serveur qui laissait le partage activé, ce qui a permis à des pirates d’accéder aux données de 4 876 106 clients.

Dans un autre incident, ce sont les données de 766 846 acheteurs de hamburgers qui ont été dérobées, ce qui a valu à la société une première sanction de 7.000 Euros.

• ALGÉRIE : La loi n° 18-07 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel entrera en vigueur en août 2023.