Veille Juridique n°75 – septembre 2024.  

Anonymisointi vai pseudonymisointi: pätevyydet, jotka kehittyvät ajan myötä?

Le 5 septembre 2024, la CNIL a sanctionné la société Cegedim Santé d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

L’autorité de contrôle relève que ces données restaient identifiables alors qu’elles étaient présentées comme anonymes.

Cette sanction nous donne l’occasion de faire un point sur les subtilités du RGPD en matière d’anonymisation et de pseudonymisation des données.

La société Cegedim édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé.

Ces logiciels permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.

Les clients ont en outre accès à une base de données permettant la production d’études et de statistiques dans le domaine de la santé.

Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que les données traitées par la société – sans autorisation préalable – étaient des données de santé pseudonymes, donc identifiables.

Seules les données totalement anonymes échappent aux obligations du RGPD.

Le processus d’anonymisation est toutefois particulièrement exigeant.

Dans le cas d’espèce, la société Cegedim avait mis en place une procédure visant à supprimer les identifiants, et dans le cadre de précédentes constatations datant de 2012, la CNIL avait d’ailleurs considéré que les données traitées étaient bien anonymes.

La Commission est aujourd’hui revenue sur ces constats, en précisant que le contexte actuel de la doctrine et de la jurisprudence devait être pris en compte pour évaluer la possible réidentification des données.

Ainsi une donnée anonyme il y a dix ans ne le sera plus forcément aujourd’hui : « Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. »

De façon plus concrète, la CNIL – comme ses homologues européens dès 2014 – a précisé les exigences à respecter dans le cadre d’une procédure d’anonymisation.

Elle explique les techniques principales d’anonymisation :

• la randomisation (qui vise à modifier les attributs dans un jeu de données de telle sorte qu’elles soient moins précises, tout en conservant la répartition globale) et
• la généralisation (qui consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur).

La CNIL conseille :

• D’identifier les informations à conserver, selon leur pertinence.
• De supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre une réidentification aisée des personnes ;
• De distinguer les informations importantes des informations secondaires ou inutiles ;
• De définir la finesse idéale et acceptable pour chaque information conservée.

Trois critères permettent de s’assurer qu’un jeu de données est véritablement anonyme :

1. L’individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données ;
2. La corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu ;
3. L’inférence : il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.

Dans le cas de la société Cegedim, le critère de l’individualisation n’était pas respecté : le service permettait de suivre de manière constante les personnes dans la durée à l’aide d’un identifiant unique et d’accroître les données les concernant.

Ceci permettait d’isoler un individu dans un jeu de données et augmentait donc le risque de levée du pseudonymat.

Rappelons enfin que le responsable qui constitue un entrepôt de données de santé ne peut le mettre en œuvre qu’après autorisation de la CNIL ou à la condition qu’il soit conforme à un référentiel.

En cas de sous-traitance, le responsable devra prévoir dans le contrat de sous-traitance toutes les exigences requises afin d’assurer le respect du règlement, en particulier en ce qui concerne la sécurité des données.

Dans la plupart des affaires de violations de données qui font aujourd’hui l’actualité (voir ci-dessous) le maillon faible à l’origine de la violation était le sous-traitant.

 

 

La composition du nouveau gouvernement est connue depuis le 21 septembre, avec quelques nouveautés concernant les questions relatives au numérique.

La « souveraineté numérique » disparaît de l’intitulé du ministère de l’Économie et des Finances, et le numérique est rattaché au Ministre de l’Enseignement supérieur et de la Recherche.

Enfin, l’intitulé du secrétariat en charge est désormais : Intelligence artificielle et Numérique.

Pour Henri d’Agrain, délégué général du Cigref (Association représentant des entreprises et administrations dans le domaine du numérique), cet intitulé « ne rend pas compte de l’importance du continuum cloud, data, IA, que toute politique publique sérieuse en la matière se doit d’embrasser. » Celui-ci ajoute que « la mise en exergue de l’intelligence artificielle dans cet intitulé (serait) à mettre en regard des ambitions que porte l’Elysée pour le Sommet pour l’action sur l’IA, qui se tiendra à Paris en février 2025.»

À l’issue d’une consultation publique, la CNIL a publié le 24 septembre la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée.

Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

La CNIL entend clarifier et encadrer le rôle des professionnels, et s’assurer de la qualité de l’information et du consentement des utilisateurs d’applications mobiles.

Après SFR le mois dernier, c’est au tour de Free de prévenir ses clients d’une fuite de données.

Parmi les données consultées par l’attaquant se trouvent au moins le nom, le prénom, le numéro de téléphone, et l’adresse postale des clients.

Outre ces deux opérateurs, de nombreuses enseignes françaises dont Boulanger, Cultura, Truffaut et Grosbil, ont été victimes mi-septembre du piratage de leurs données liées aux livraisons, publiées et revendues sur le darkweb par le même pirate.

Les risques pour les personnes concernent de façon générale l’usurpation d’identité et d’obtention de données liées à leur adresse.

En ce qui concerne Cultura, spécialisé dans la vente de produits culturels, le contenu des paniers d’achat a également fuité, ce qui fournit des informations précises sur les habitudes de lecture des acheteurs, avec des conséquences potentiellement très intrusives.

Dans la plupart de ces attaques, le pirate avait ciblé un prestataire des sociétés concernées.

Le 25 septembre, la chambre sociale de la Cour de cassation a rendu un jugement par lequel elle invalide le licenciement d’un employé basé sur l’interception de courriers électroniques envoyés avec son adresse professionnelle.

La Cour rappelle que « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée.

Celle-ci implique en particulier le secret des correspondances.

L’employeur ne peut dès lors, sans violation de cette liberté fondamentale, utiliser le contenu des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, pour le sanctionner. »

 

Euroopan unionin toimielimet ja elimet

Le 25 septembre, la Commission a réuni les principaux acteurs du secteur de l’IA à Bruxelles pour célébrer les premières 100 signatures des engagements du Pacte sur l’IA.

Les signataires sont des multinationales et des petites et moyennes entreprises européennes de divers secteurs. Jusqu’à présent, Meta et Apple n’ont pas signé ce Pacte.

Les engagements volontaires du document invitent les entreprises participantes à s’engager à mener au moins trois actions fondamentales :

• Adopter une stratégie de gouvernance de l’IA pour favoriser l’adoption de l’IA au sein de l’organisation et travailler à la conformité future avec le règlement sur l’IA.
• Identifier et cartographier les systèmes d’IA susceptibles d’être classés à haut risque en vertu du règlement sur l’IA.
• Promouvoir la sensibilisation du personnel à l’IA.

Les entreprises sont encouragées à prendre d’autres engagements adaptés à leurs activités, notamment en assurant une surveillance humaine, en atténuant les risques et en étiquetant de manière transparente certains types de contenus générés par l’IA, tels que les « deepfakes ».

La Cour de justice de l’Union européenne (CJUE) a considéré dans un jugement du 4 octobre (C 621/22) qu’un intérêt commercial peut être un « intérêt légitime » au sens de l’article 6(1)(f) du RGPD, dans la mesure où il n’est pas contraire à la loi.

Si cette position peut sembler évidente, elle ne l’était plus aux Pays-Bas depuis quelques années : selon l’autorité de protection des données (APD) néerlandaise, l’intérêt légitime devait reposer sur une base légale.

La Cour rappelle qu’une telle exigence est excessive, et qu’il suffit que la finalité ne soit pas contraire à la loi. Notons que cette décision ne constitue pas un blanc-seing pour toutes les pratiques de marketing : une balance des intérêts et droits en jeu devra toujours être effectuée.

Le 4 octobre également, la CJUE a rendu un arrêt dans l’affaire C-446/21 dans lequel elle soutient une action en justice intentée contre Meta au sujet de son service Facebook.

Les questions concernaient la limitation de l’utilisation des données personnelles pour la publicité en ligne et la limitation de l’utilisation des données personnelles accessibles au public aux fins initialement prévues pour la publication.

Ce même jour, la CJUE a aussi validé dans l’affaire C-21/23 la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles sur le fondement de l’interdiction des pratiques commerciales déloyales afin de faire cesser une violation par ce concurrent des dispositions matérielles du RGPD.

Notons qu’une jurisprudence en ce sens existe déjà en droit français.

La CJUE a estimé le 26 septembre (affaire C 768/21) que lorsqu’une violation de données a été établie, les APDs ne sont pas tenues d’exercer un pouvoir correctif au titre de l’article 58(2) du RGPD, lorsqu’il n’est pas approprié, nécessaire ou proportionné de remédier à la lacune constatée.

Selon la Cour, après avoir analysé toutes les circonstances de l’affaire, les autorités de protection des données peuvent s’abstenir d’exercer un tel pouvoir de correction, par exemple lorsque le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir que la violation cesse et ne se reproduise pas.

La Cour a enfin considéré dans un jugement du 12 septembre (affaires jointes C 17/22 et C 18/22) que non seulement un acte législatif mais aussi la jurisprudence nationale pouvaient stipuler une obligation légale, conformément à l’article 6(1)(c) du RGPD, de divulguer à un actionnaire l’identité de tous les autres actionnaires concernés.

Suite aux initiatives en France, au Danemak, en Espagne et en Allemagne dans le domaine de la vérification de l’âge en ligne, l’ONG européenne EDRi et 63 organisations, universitaires et experts en matière de vie privée, de cryptage, de sécurité des enfants, de droits des travailleurs du sexe et de droits des consommateurs ont publié le 16 septembre une déclaration commune.

Celle-ci exhorte la Commission européenne à donner la priorité à des mesures efficaces de sécurité des enfants, tout en exprimant de sérieuses inquiétudes quant à l’adéquation, la proportionnalité et l’impact négatif sur les droits fondamentaux des propositions actuelles.

 

Uutisia Euroopan unionin jäsenmaista.

Une résolution publiée le 11 septembre dernier par la Conférence des autorités indépendantes de protection des données d’Allemagne (DSK), donne des recommandations pratiques pour l’encadrement des transferts de données personnelles dans le cadre des « Asset Deals » concernant des données personnelles détenues par les entreprises : données des clients et prospects de l’entreprise, de ses salariés, des partenaires commerciaux, etc.

En Allemagne, l’APD de Hambourg a adopté un document sujet à controverse sur les grands modèles de langage (LLM).

L’autorité a ainsi conclu que les LLM ne stockent pas de données à caractère personnel et que cette conclusion est conforme à l’avis de la CJUE.

Les données d’entrée et de sortie d’un système d’IA peuvent toutefois constituer des données personnelles, contrairement à la phase d’entraînement, avec les conséquences que cela implique : les demandes d’accès, d’effacement ou de rectification peuvent ainsi porter sur ces données.

En Belgique, la Flandre prend ses distances avec l’État fédéral en matière de protection de la vie privée.

Le journal Le Soir annonçait ainsi le 1er septembre que Jan Jambon, le ministre président flamand, avait ordonné le 20 septembre dernier à ses ministres, quelques jours avant de céder son poste, de ne plus soumettre les avant-projets d’arrêtés et de décisions à l’Autorité fédérale de Protection des Données (APD), mais à son instance régionale, la Vlaamse Toezichtcommissie (VTC).

Dans les faits, depuis 2019, le gouvernement flamand contournait déjà systématiquement l’APD en faisant passer ses décrets par la VTC, malgré un arrêt de mars 2023 de la Cour constitutionnelle rappelant que le gouvernement flamand devait obligatoirement passer par l’APD pour adopter ses textes.

Aujourd’hui le ministre président souhaite officialiser la compétence flamande : il a envoyé en ce sens un courrier à la Commission européenne demandant la reconnaissance des compétences de la VTC au regard du RGPD.

L’APD belge a sanctionné à hauteur de 100 000 euros un responsable de traitement pour n’avoir pas répondu en temps voulu à la demande d’accès d’une personne concernée.

L’APD a néanmoins rejeté la demande de la personne concernée de recevoir des informations sur les employés spécifiques qui ont accédé à ses données.

Toujours en Belgique, la Chambre des litiges de l’APD a rejeté le 6 septembre la validité du mandat de représentation présenté par Noyb dans une affaire concernant l’intégration de scripts Google Analytics dans un site web à l’époque où le Privacy Shield avait été invalidé par la CJUE.

La Chambre des litiges a estimé que le mandat constituait un abus de droit de la part de Noyb.

Dans une affaire distincte, l’APD a néanmoins fait droit à plusieurs plaintes déposées par Noyb en 2023 et ordonné à quatre grands sites d’information belges de mettre leurs bannières de cookies en conformité avec le RGPD.

L’autorité espagnole de protection des données a publié le 2 octobre un rapport sur le traitement des données personnelles et la vérification de l’âge des enfants dans l’environnement numérique.

Le document plaide pour l’élaboration de politiques de protection proactives par les services de la société de l’information.

L’APD espagnole a infligé une amende de 72 000 euros à une entreprise de fintech ayant mis en place des mesures insuffisantes de vérification de l’identité des clients, ce qui a permis à des fraudeurs de contracter un prêt au nom de la victime, à son insu.

Le 27 septembre, l’APD irlandaise a infligé à Meta une amende de 91 millions d’euros.

La décision porte sur les mesures prises par la société pour assurer un niveau de sécurité approprié aux risques associés au traitement des mots de passe et l’obligation de documenter et de notifier à l’APD les violations de données.

L’autorité rappelle que les responsables de traitement doivent évaluer les risques inhérents au stockage des mots de passe des utilisateurs et mettre en œuvre des mesures pour atténuer ces risques.

Le 12 septembre, l’APD avait également annoncé l’ouverture d’une enquête contre Google concernant l’utilisation des données personnelles des utilisateurs européens pour développer un modèle d’intelligence artificielle dans le domaine des traductions.

L’enquête concerne le modèle d’IA « Pathways Language Model 2 » (PaLM 2), lancé par Google en 2023, sans qu’une analyse d’impact en matière de protection des données ait été effectuée.

En Italie, l’APD a condamné un fournisseur d’énergie à une amende de 5 000 000 € pour avoir omis de mettre en œuvre des mesures adéquates garantissant le respect du RGPD par ses sous-traitants.

Ceux-avaient ainsi pu conclure des contrats avec les personnes concernées à leur insu.

L’APD portugaise a infligé une amende de 107 000 euros à un responsable de traitement pour l’envoi répété de communications commerciales non sollicitées.

Le responsable du traitement a été jugé responsable même si les envois avaient été effectués par un sous-traitant utilisant sa propre base de données.

 

Un rapport de la Commission Fédérale du Commerce (FTC) des Etats-Unis publié le 19 septembre révèle que les grandes sociétés de médias sociaux et de streaming vidéo se sont engagées dans une vaste surveillance des utilisateurs avec des contrôles de confidentialité laxistes et des protections inadéquates pour les enfants et les adolescents.

Le rapport recommande de limiter la conservation et le partage des données, de restreindre la publicité ciblée et de renforcer les protections pour les adolescents.

Le gouvernement chinois a publié le 30 septembre le « Règlement sur la gestion de la sécurité des données de réseau », qui entrera en vigueur le 1er janvier 2025. 

Le texte vise à réglementer les activités de traitement des données de réseau, à protéger les droits et les intérêts légitimes des individus et des organisations, et à sauvegarder la sécurité nationale et les intérêts publics.

Toujours en Chine, le comité technique de normalisation de la sécurité de l’information nationale (TC260) a publié un cadre de gouvernance de la sécurité de l’information concernant l’IA.

Le document contient une série de principes et fournit une classification utile des risques liés à l’IA et des mesures technologiques pour y faire face.

IBM a publié un rapport sur le coût des violations de données pour 2024.

Parmi les conclusions du rapport, notons que :

• Le coût total moyen d’une violation de données est de 4,88 millions de dollars et c’est aux États-Unis que les violations de données coûtent le plus cher,
• La pénurie de cybercompétences s’est aggravée,
• Près de la moitié des violations concernent des données personnelles (46 %) ou des dossiers de propriété intellectuelle (43 %),
• L’intervention des autorités chargées de l’application de la loi réduit, en moyenne, le coût des ransomwares de 1 million de dollars,
• 292 jours sont nécessaires pour identifier et contenir les violations impliquant des informations d’identification volées.

Instagram propose dorénavant des comptes pour adolescents avec des paramètres de sécurité plus stricts, permettant aux parents de restreindre l’utilisation de l’application.

Les comptes Ado sont spécialement conçus pour protéger les mineurs des contenus préjudiciables et des contacts indésirables, tout en réduisant le temps passé sur l’application.