Veille Juridique n°78 – décembre 2024. 

Kokios duomenų apsaugos perspektyvos 2025 m.?

L’année nouvelle s’inscrit dans la continuité avec une mise en œuvre progressive du « paquet numérique » de l’Union européenne, mais aussi de nouvelles législations visant à renforcer la protection des données personnelles face aux défis posés par les cybermenaces.

Alors que l’intelligence artificielle s’impose de plus en plus au sein des entreprises, on peut anticiper une évolution de l’aide à la décision vers des systèmes plus autonomes laissant moins de place à l’appréciation humaine, avec les risques qu’une telle utilisation comporte en termes de qualité et de protection des données.

Le règlement sur l’IA encadre ces nouvelles pratiques, même s’il faudra attendre août 2026 pour que l’ensemble de ses dispositions soient applicables.

On le verra dans les actualités ci-après, sa mise en œuvre fait déjà l’objet de lignes directrices, comme en témoigne le récent avis du Comité européen de la protection des données (EDPB).

Les responsables de traitement devront également compter avec le Règlement sur les services numériques (DSA), applicable depuis le 17 février dernier, qui impose de nouvelles obligations concernant notamment la transparence, la modération du contenu et la protection des utilisateurs.

Pour l’association française des délégués à la protection des données (AFCPD), ces textes introduisent des chevauchements et imposent aux DPOs de garder, non sans mal, une vue d’ensemble pour garantir une mise en conformité cohérente. L’association cite l’exemple du traitement de données RH, qui peut passer d’une catégorie non sensible à sensible en fonction des technologies utilisées, comme l’IA.

« Ces interactions soulèvent des questions fondamentales sur la gestion harmonieuse des obligations légales. »

En matière de sécurité, le règlement européen sur la cyber résilience (Cyber Resilience Act, CRA) est entré en vigueur le 10 décembre 2024, et la majorité de ses dispositions sera applicable en 2027.

L’objectif du CRA est de renforcer la protection des données des consommateurs et des entreprises contre les cybermenaces. Ce texte impose aux fabricants, développeurs et revendeurs de produits connectés des obligations d’évaluation et d’information dans le domaine de la sécurité informatique.

Dans le même contexte, le règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) sera lui applicable à partir du 17 janvier.

Il impose des exigences strictes afin d’assurer la résilience numérique des institutions financières, et de gérer les risques opérationnels liés aux technologies de l’information, en particulier les risques associés aux fournisseurs externes.

La directive européenne concernant la sécurité des réseaux et des systèmes d’information (NIS2) est en principe applicable depuis le 17 octobre dernier, date à laquelle elle aurait dû être transposée en France.

Le texte élargit son champ d’application par rapport à la directive NIS1, et vise spécifiquement les infrastructures et entités essentielles au bon fonctionnement des activités économiques et sociétales dans le marché intérieur.

Une période de trois ans est prévue pour une mise en conformité complète, mais un minimum devrait être mis en place rapidement, à savoir l’enregistrement auprès de l’ANSSI de l’entité régulée, les notifications des incidents et la démonstration d’investissements dans des solutions de sécurité.

La loi de transposition n’ayant pas encore été adoptée, des incertitudes subsistent aujourd’hui en ce qui concerne l’identification des entités régulées et les démarches concrètes à accomplir.

Un certain flou entoure également le calendrier de plusieurs projets européens: qu’en est-il du serpent de mer ePrivacy ?

Alors que la Commission avait publié son premier projet de règlement en janvier 2017, le processus est en attente de position du Parlement européen en première lecture.

Ce texte suscite des discussions animées concernant l’application du principe de consentement aux cookies et la confidentialité des communications.

Mentionnons également l’impact potentiel de la présidence Trump sur le « Data Privacy Framework » et, plus largement, sur les échanges de données entre l’Union Européenne et les États-Unis.

Enfin, le RGPD pourrait subir quelques mises à jour concernant notamment les transferts de données, les enquêtes coordonnées des autorités de protection des données (APDs), et son alignement avec le (futur) règlement ePrivacy.

Dernier point mais non des moindres, on assiste au développement de l’action collective dans l’UE : nous nous en faisions l’écho le mois dernier, l’ONG noyb peut désormais intenter des actions collectives dans n’importe quel État membre.

Il existe actuellement 43 autres entités qualifiées dans l’UE, dont le Conseil irlandais pour les libertés civiles et le médiateur finlandais pour la protection des données, qui préside actuellement l’EDPB.

Noyb a indiqué qu’elle prévoyait d’intenter les premières actions en justice en 2025.

Un risque de litiges qui devrait être pris au sérieux par les entreprises.

 

      

Dans une délibération publiée le 1ᵉʳ janvier dernier au Journal officiel, la CNIL s’inquiète du projet de mises à jour des systèmes d’information de France Travail.

La loi pour le plein emploi de décembre 2023 prévoit en effet un parcours rénové d’accompagnement des demandeurs d’emploi qui repose notamment sur l’analyse de données et leur partage avec de nombreux organismes régionaux et locaux.

La CNIL recommande des mesures de sécurité adaptées aux risques.

La CNIL prépare une certification RGPD des sous-traitants : Afin de construire un référentiel adapté, elle ouvre une consultation publique jusqu’au 28 février prochain.

La certification devrait permettre d’orienter les responsables de traitement dans le choix de leurs sous-traitants, « en assurant que les traitements réalisés par le sous-traitant ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL ».

Dans un communiqué du 12 décembre 2024, la CNIL annonçait mettre en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses.

L’autorité rappelle que les cookies ne peuvent être déposés qu’après le consentement des internautes.

De plus, refuser les cookies doit être aussi simple que les accepter.

Rappelons que plusieurs APDs, dont l’autorité belge, ont déjà pris position de façon stricte en exigeant que les deux propositions d’acceptation et de refus soient au même niveau avec le même degré de visibilité.

Le 5 décembre 2024, la CNIL a prononcé une amende de 240 000 € à l’encontre de la société Kaspr, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisi d’en limiter la visibilité.

La Commission enjoint la société de supprimer ces données ou à défaut, en cas d’impossibilité de distinguer ces données dont la visibilité a été limitée des autres données, d’informer les utilisateurs « dans un délai de 3 mois, du traitement de leurs données et de la possibilité de s’y s’opposer ».

Outre la collecte illégale des coordonnées et l’absence de transparence du traitement, la CNIL reproche également à Kaspr la conservation des données pendant cinq ans, une période jugée excessive pour des professionnels changeant fréquemment de poste.

Le 14 novembre, la CNIL a sanctionné la société de télécommunication Orange à hauteur de 50 000 000 € pour avoir inséré des publicités dans les boîtes aux lettres électroniques et installé des cookies sur les appareils des utilisateurs sans leur consentement.

La société s’est vu ordonner de mettre ses pratiques en conformité sous peine d’amendes supplémentaires.

Les 10 et 11 février prochains, la France accueillera le Sommet pour l’action sur l’intelligence artificielle (IA).

Dans cette perspective, la CNIL, l’Université Paris-Saclay et l’Université de Caen-Normandie réuniront le 23 janvier experts et chercheurs pour débattre des moyens de prévenir désinformation, fraude et atteintes à la vie privée, tout en tirant parti de l’IA.

Le 11 décembre dernier, l’Observatoire français de l’IA a également organisé, en vue du sommet sur l’IA, un séminaire sur les effets du développement de l’IA sur le travail et l’emploi.

Ont notamment été abordés les enjeux liés à l’explicabilité des décisions prises par l’IA.

Le 3 janvier, la Cour des comptes a publié un rapport sur la sécurité informatique des établissements de santé.

Elle y constate « qu’en 2023, 10 % des victimes de cyberattaques en France étaient des établissements de santé. Leur vulnérabilité est liée notamment à l’interconnexion accrue de leurs systèmes d’information avec l’extérieur et au sous-investissement chronique dans le numérique.

Ces attaques peuvent avoir de graves effets sur le fonctionnement des établissements et sur la prise en charge des patients.

Les autorités publiques ont réagi avec retard en finançant sur cinq ans un programme de prévention et de protection. Cette dynamique doit être poursuivie. »

Le ministère de la santé se dit inquiet du développement du service « Santé », une nouvelle fonctionnalité de l’application Doctolib, qui propose de centraliser les informations médicales des assurés.

Cette fonctionnalité semble copier « Mon espace santé », le carnet de santé numérique mis en place par l’Etat dans la loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Le 12 décembre, l’ONG noyb a déposé une plainte contre la plateforme française de médias sociaux BeReal en raison des « dark patterns » utilisées par l’entreprise afin d’obtenir le consentement des utilisateurs.

Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire « oui » ou « non » à l’utilisation de leurs données personnelles à des fins publicitaires : si les utilisateurs cliquent sur « accepter », ils ne verront plus jamais la bannière de consentement.

En revanche, s’ils rejettent le ciblage, la bannière apparaîtra tous les jours jusqu’à ce qu’ils acceptent.

 

Europos institucijos ir įstaigos

L’EDPB a adopté le 18 décembre un avis sur les modèles d’IA. Celui-ci analyse :

• Comment évaluer et démontrer qu’un modèle d’IA est anonyme ;
• Si l’intérêt légitime peut constituer une base juridique pour la formation ou l’utilisation de modèles d’IA ;
• Les conséquences quand un modèle d’IA est formé à partir de données à caractère personnel traitées illégalement.

Selon le Comité, la question de savoir si un modèle d’IA est anonyme doit être évaluée au cas par cas : il doit être quasiment impossible (« very unlikely ») de pouvoir (1) identifier directement ou indirectement les personnes dont les données ont été utilisées pour créer le modèle, et (2) extraire ces données personnelles du modèle par le biais de requêtes.

L’avis fournit une liste de méthodes permettant de démontrer l’anonymat.

En ce qui concerne l’intérêt légitime, l’avis fournit des orientations pour les APDs qui évaluent si cette base juridique est appropriée.

Enfin, lorsqu’un modèle d’IA a été développé à partir de données à caractère personnel traitées de manière illicite, cela pourrait avoir une incidence sur la licéité de son déploiement, à moins que le modèle n’ait été dûment anonymisé.

Le Contrôleur européen de la protection des données (EDPS) a adopté une décision constatant que la Commission européenne a illégalement ciblé des citoyens européens en leur présentant des publicités basées sur des données personnelles « sensibles » concernant leurs opinions politiques.

L’ONG noyb, à l’origine de la plainte, indique que dans le cadre des débats autour du projet de règlement sur le contrôle des discussions en ligne (« Chat control »), la Commission européenne a identifié les Pays-Bas comme étant un État membre qu’elle souhaitait influencer sur le plan politique.

A cette fin, elle a publié des messages sur Twitter/X faisant indirectement la promotion de ce règlement auprès des utilisateurs libéraux ou de gauche.

 

Actualité des pays membres de l’Union Européenne.

Le constructeur automobile allemand Volkswagen s’est trouvé à la veille du nouvel an sous enquête après une révélation du média Spiegel, l’accusant d’avoir exposé en libre accès les données de géolocalisation de plus de 800 000 véhicules en Europe.

Ces informations permettaient, pour près de 500 000 véhicules, de connaître leur position avec une précision de 10 centimètres.

En France, plus de 50 000 véhicules des marques Volkswagen, Audi, Skoda et Seat seraient concernés.

En Allemagne également, un prestataire de services basé à Hambourg a été condamné par l’APD locale à une amende de 900 000 euros pour avoir conservé des données à caractère personnel jusqu’à cinq ans après la date prévue.

Pour l’APD, « il n’est pas acceptable que les acteurs travaillant dans les secteurs numériques n’aient pas développé de procédure de suppression cohérente » (via l’AFCDP).

En Espagne, l’APD a sanctionné un garage automobile qui avait ajouté son fichier clients à un groupe WhatsApp, rendant les données de 150 clients (numéros de téléphone, noms et photos) visibles par tous les membres du groupe.

L’APD a constaté une infraction à l’article 6(1) du RGPD, qui exige une base juridique valable pour tout traitement de données à caractère personnel, et infligé à la société une amende de 3 000 euros.

L’Espagne a décidé d’interdire l’utilisation de « Google Workspace for Education » dans les écoles.

Cette décision a été prise sur la base d’un rapport de l’APD espagnole, qui considère que l’on est « en présence d’une collecte invasive d’informations personnelles ».

Ce rapport avait été élaboré à la demande du ministère de l’Éducation.

L’APD irlandaise a annoncé le 17 décembre avoir infligé une amende de 251 000 000 € à Meta pour ne pas avoir empêché une violation de données compromettant les données de millions d’utilisateurs de Facebook et pour ne pas avoir suffisamment documenté la violation.

Deux jours après la publication par l’EDPB de son avis sur l’IA, l’autorité italienne de protection des données a imposé le 20 décembre une amende de 15 000 000 € à OpenAI.

Elle estime que la société a utilisé les données personnelles des internautes pour entraîner ChatGPT « sans avoir de base juridique adéquate et a violé le principe de transparence et les obligations d’information connexes envers les utilisateurs ».

L’enquête lancée fin 2023 par l’APD révèle en outre que la firme n’a pas fourni de système adéquat de vérification de l’âge pour empêcher les utilisateurs de moins de 13 ans d’être exposés à du contenu inapproprié généré par l’IA.

Open AI devra également lancer une campagne de communication dans le pays sur différents médias afin de sensibiliser le grand public au fonctionnement de ChatGPT et de lui rappeler ses droits.

Peut-on encore utiliser le modèle d’OpenAI et l’API de ChatGPT pour fournir ses propres services d’IA générative ?

La décision italienne laisse la question ouverte en précisant qu’elle devra être tranchée par l’autorité irlandaise, en vertu du mécanisme de l’article 56 du RGPD.

L’APD italienne a également pris position le 13 novembre en ce qui concerne la publication de photos de mineurs sur Facebook, en rappelant que l’accord des deux parents était nécessaire.

Dans le cas d’espèce, le père d’un enfant de moins de 14 ans avait partagé sa photo sur Facebook afin de montrer sa ressemblance avec son demi-frère qui figurait également sur la photo.

La mère de l’enfant, divorcée du père, a demandé en vain à ce dernier de retirer la photo de Facebook, et porté plainte auprès de l’APD.

L’autorité des Pays-Bas a également mis en garde le 6 décembre les Archives nationales contre la publication en ligne des archives de guerre des Pays-Bas.

Ces documents contiennent des dossiers sur des personnes soupçonnées d’avoir collaboré avec l’occupant pendant la Seconde Guerre mondiale, dont des données sensibles telles que la religion, l’appartenance politique, la santé ou l’appartenance ethnique de personnes parfois encore en vie.

Même si elles présentent un intérêt indéniable, la manière dont les Archives nationales veulent rendre les données publiques en ligne viole selon l’APD la loi sur les archives et le RGPD.

Elle demande ainsi que les conditions d’accès aux données soient mieux contrôlées.

Le 18 décembre, l’APD a condamné Netflix à une amende pour ne pas avoir informé correctement ses clients concernant le traitement de leurs données entre 2018 et 2020.

De plus, les informations fournies par Netflix n’étaient pas claires sur certains points.

Pour cette raison, l’APD a imposé une amende de 4 750 000 € au service de streaming.

Depuis, Netflix a mis à jour sa déclaration de confidentialité et amélioré ses informations.

En Suède, l’APD a infligé une amende de 200 000 SEK (17 366 €) à un propriétaire pour avoir placé dix-huit caméras dans les parties communes d’un immeuble résidentiel et pour n’avoir pas répondu à une demande d’information.

 

Une étude “Tracking Indoor Location, Movement and Desk Occupancy in the Workplace”, publiée en novembre, analyse les technologies de surveillance et de profilage du comportement des employés à l’aide de capteurs de mouvement et de l’infrastructure WIFI à l’intérieur des locaux de l’entreprise.

Cette étude se concentre sur les implications potentielles pour les employés en Europe et étudie les solutions les plus répandues, proposées par Cisco, Juniper, Spacewell, Locatee et d’autres fournisseurs de technologie similaire.

Cisco affirme ainsi avoir jusqu’à présent traité 17 200 milliards de « points de données de localisation » collectés via plus de trois millions de points d’accès wifi installés dans 250 000 bâtiments de par le monde.

L’étude aborde brièvement la manière dont les travailleurs ont résisté à l’installation de détecteurs de mouvement par leurs employeurs (via l’AFCDP).

A l’issue d’une procédure judiciaire lancée par WhatsApp en 2019, un juge de Californie vient de déclarer fin décembre la société israélienne NSO Group, à l’origine du logiciel espion Pegasus, coupable de piratage.

Ce jugement est considéré comme “historique” par les opposants à cette industrie.

Selon Will Cathcart, directeur de WhatsApp, “NSO Group affirme servir les gouvernements de manière responsable, mais nous avons découvert que plus de cent défenseurs des droits de l’homme et journalistes ont été la cible d’une attaque en mai dernier, ces abus doivent cesser ».

Le gouvernement américain a révélé début décembre que la Chine avait piraté 8 opérateurs américains (dont AT&T, Verizon et Lumen Technologies).

L’espionnage concerne le nouveau format RCS pour envoyer des SMS entre un iPhone et un smartphone Android.

Le FBI et l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont déclaré que la campagne de piratage, baptisée Salt Typhoon par Microsoft, est l’une des plus grandes compromissions de l’histoire.

Les pirates ont eu accès à des enregistrements d’appels, à des appels téléphoniques en direct de personnes spécifiques, et même à des ordonnances judiciaires classifiées.

Les autorités conseillent d’utiliser des applications de messagerie sécurisés et chiffrées afin d’éviter que leurs communications privées ne soient exposées.