Veille Juridique n°69 – Mars 2024.

Datu drošība, kiberdraudi: pašreizējā situācija un vadlīnijas.

Plusieurs organismes publient en ce début d’année leur rapport sur l’état de la menace en matière de cybersécurité : l’occasion de faire un point sur les risques et les conseils pour protéger les données à caractère personnel.

L’Agence européenne pour la cybersécurité (ENISA) a ainsi publié son rapport concernant les menaces pour la cybersécurité à l’horizon 2030.

Le rapport identifie comme particulièrement préoccupantes les menaces liées aux dépendances logicielles et aux campagnes de désinformation ainsi que celles concernant les erreurs humaines.

Parmi les menaces à long terme, l’agence pointe la pénurie de compétences et les défaillances des fournisseurs de services, ainsi que l’augmentation des menaces liées à l’IA.

Le dispositif « action contre la cybermalveillance » partage également son analyse de l’état de la menace en France à l’occasion de la publication de son rapport d’activité annuel. 

L’hameçonnage (« phishing ») reste la menace principale: il se diversifie et se sophistique. Les principales formes d’hameçonnage se réfèrent à des infractions routières, pédopornographiques ou encore aux faux supports techniques.

Les escroqueries au faux conseiller bancaire sont par ailleurs en haute constante.

Le piratage de compte constitue une autre menace majeure, avec des conséquences pouvant mener à l’usurpation d’identité avec préjudice financier.

Enfin, les attaques par rançongiciel et les programmes malveillants (virus) constituent des causes importantes et en augmentation de demandes d’assistance des victimes.

La CNIL a publié, le 27 mars, un bilan concernant les violations de sécurité de ces cinq dernières années.

Elle relève que le secteur privé est à l’origine d’environ deux tiers des déclarations de violations à la CNIL dont 39 % de PME.

Le secteur public représente quant à lui 22 % des notifications.

En ce qui concerne la répartition par activité, les administrations publiques représentent 18 % des notifications.

Les activités spécialisées, scientifiques et techniques sont les plus représentées au sein du privé, suivies par les activités financières et d’assurance.

Les activités en lien avec la santé humaine représentent aussi 12 % des notifications.

Dans ce contexte, et pour tenir compte des nouveaux risques pour les données, la CNIL a mis à jour fin mars son guide de la sécurité des données.

Cette nouvelle version restructure le guide en cinq parties : les utilisateurs, les équipements, la maîtrise des données, la préparation aux incidents, et enfin un focus sur des questions particulièrement actuelles.

La CNIL introduit de nouvelles fiches, notamment sur l’intelligence artificielle (IA), les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API).

Le guide comporte également des fiches concernant l’analyse de risque et le chiffrement.

A la fin du document, une check-list permet de passer en revue les mesures prises par le responsable et d’évaluer son niveau de sécurité.

Parmi les mesures de protection recommandées, l’authentification multifactorielle (AMF) est souvent citée, et de plus en plus recommandée afin de protéger les bases de données de tentatives d’accès frauduleuses.

La CNIL vient d’ouvrir une consultation publique sur la mise en conformité des solutions utilisant l’AMF avec le RGPD.

Un exemple récent vient confirmer la nécessité de clarifier le contexte d’utilisation de l’AMF : en Espagne, une société a été condamnée en justice pour avoir imposé l’AMF à ses employés sur leurs téléphones privés alors que la loi l’obligeait à leur fournir des portables professionnels à cette fin.

La CNIL aborde dans sa recommandation la détermination d’une base juridique, la minimisation des données collectées, les périodes de conservation et le respect de l’exercice des droits par les personnes concernées.

Elle fournit des exemples pratiques de mise en œuvre d’une authentification multifactorielle respectueuse de la vie privée.

 

      

L’Autorité française de la concurrence a imposé le 20 mars une amende de 250 millions d’euros à Google pour ne pas avoir respecté ses engagements et avoir utilisé des articles de presse pour entraîner son système d’IA (Bard/Gemini). 

Cette décision, la 4ème rendue sur ce dossier en quatre ans, s’inscrit dans le contexte de l’adoption de la loi du 24 juillet 2019 sur les droits voisins qui a pour objectif de mettre en place les conditions d’une négociation équilibrée entre éditeurs, agences de presse et plateformes numériques.

La CNIL a publié le 8 avril des recommandations pour un usage de l’IA respectueux des données personnelles.

Elles ont pour objectif d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA.

Les points abordés dans ces premières recommandations permettent en particulier de déterminer le régime juridique applicable, la qualification juridique des acteurs, réaliser le cas échéant une analyse d’impact, et intégrer la protection des données dès la conception du système (privacy by design).

 

Eiropas iestādes un struktūras

Le 11 mars, le Contrôleur européen de la protection des données (EDPS) a constaté que la Commission européenne a enfreint plusieurs règles clés de protection des données dans son utilisation de Microsoft 365.

En particulier, « la Commission n’a pas fourni les garanties appropriées pour s’assurer que les données personnelles transférées en dehors de l’UE/EEE bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’UE/EEE.

En outre, dans son contrat avec Microsoft, la Commission n’a pas suffisamment spécifié quels types de données personnelles doivent être collectées et pour quelles finalités explicites et précises lors de l’utilisation de Microsoft 365 (…) ».

Le CEPD a imposé des mesures correctives à la Commission, y compris la suspension, à compter du 9 décembre 2024, de tous les flux de données résultant de son utilisation de Microsoft 365 vers Microsoft et vers ses affiliés et sous-traitants situés dans des pays en dehors de l’UE/EEE qui ne sont pas couverts par une décision d’adéquation.

Si cette décision concerne les institutions européennes, le raisonnement de l’EDPS a une portée bien plus large et pourrait avoir des répercussions sur l’utilisation de Microsoft 365 dans les Etats membres de l’UE.

Le 15 mars, la Médiatrice européenne a écrit à la Commission européenne pour lui demander comment elle utilise l’IA dans son processus décisionnel.

La Médiatrice a noté que « si les développements rapides de l’IA peuvent améliorer la qualité et l’efficacité du travail, ils posent des défis majeurs en matière d’exactitude, de partialité potentielle, d’explicabilité et de contrôle humain ».

Elle a également souligné que les administrations publiques doivent s’assurer que l’IA ne fait qu’assister la prise de décision humaine et ne la remplace pas.

Les questions portent sur l’utilisation de l’IA dans trois domaines particuliers : l’analyse du feedback du public, la découverte d’infractions potentielles aux règles de concurrence de l’UE et le traitement des plaintes.

Alors que le Parlement européen vient de voter le règlement sur l’IA, les règlements concernant respectivement les marchés numériques (DMA) et les services numériques (DSA) sont entrés en vigueur et la Commission a déjà entamé plusieurs procédures en vertu de ces deux textes.

Le 25 mars, elle a ouvert une procédure sur la base du DMA à l’encontre d’Alphabet, d’Apple et de Meta.

En ce qui concerne Apple et Alphabet, la Commission entend déterminer si les mesures mises en œuvre en rapport avec leurs obligations relatives aux magasins d’applications sont contraires à la loi sur les marchés publics, qui exige des gardiens qu’ils autorisent les développeurs d’applications à « orienter » gratuitement les consommateurs vers des offres ne figurant pas dans leurs magasins d’applications.

En ce qui concerne Meta, la Commission a ouvert une procédure pour déterminer si le modèle « payer ou consentir » récemment introduit pour les utilisateurs dans l’UE est conforme à la loi sur la protection des données, qui exige que les gardiens obtiennent le consentement des utilisateurs lorsqu’ils ont l’intention de combiner ou d’utiliser de manière croisée leurs données personnelles.

Cette dernière procédure vient s’ajouter à celle initiée par le Comité européen de la protection des données sur le même sujet.

La Commission a également ouvert une procédure formelle en vertu du DSA le 14 mars pour déterminer si AliExpress avait enfreint la loi sur les services numériques dans des domaines liés à la gestion et à l’atténuation des risques, à la modération du contenu et au mécanisme interne de traitement des plaintes, à la transparence de la publicité et des systèmes de recommandation, à la traçabilité des commerçants et à l’accès aux données pour les chercheurs.

A la même date, elle a aussi envoyé une demande d’information à LinkedIn sur la publicité potentiellement ciblée basée sur des données sensibles.

Le 4 mars, la Commission européenne a accueilli la toute première réunion « de haut niveau » sur les flux transfrontières de données.

La réunion a réuni le commissaire à la justice, la présidente de l’EDPB, ainsi que les ministres et les responsables des autorités de protection des données de 15 pays et territoires pour lesquels l’UE a adopté une décision d’adéquation.

L’objectif est de favoriser une coopération renforcée entre ces participants en matière de protection des données.

Dans un arrêt du 7 mars, la Cour de justice de l’Union européenne (CJUE) a confirmé que la chaîne TC (« TC string ») utilisée par les annonceurs pour coder les préférences des utilisateurs « contient des informations concernant un utilisateur identifiable et constitue donc une donnée à caractère personnel au sens du RGPD.

Lorsque les informations contenues dans une TC String sont associées à un identifiant, tel que, entre autres, l’adresse IP de l’appareil de l’utilisateur, ces informations peuvent permettre de créer un profil de cet utilisateur et de l’identifier. 

En outre, l’IAB Europe doit être considérée comme un « responsable conjoint du traitement » au sens du RGPD. (…)

L’association semble exercer une influence sur les opérations de traitement des données lorsque les préférences de consentement des utilisateurs sont enregistrées dans une chaîne TC, et déterminer, conjointement avec ses membres, à la fois les finalités de ces opérations et les moyens qui les sous-tendent. « 

La CJUE s’est prononcée le 7 mars en appel sur une décision du tribunal de l’UE, concernant la notion de donnée à caractère personnel.

 Elle a considéré que le caractère identifiable n’est pas lié au fait qu’un « lecteur moyen » puisse identifier une personne mais dépend de la détention ou non « des facteurs supplémentaires… nécessaires à l’identification… [ces facteurs] peuvent être accessibles à une personne autre que le responsable du traitement (voir C-582/14, points 39 et 41) ».

Le Tribunal a en outre commis une erreur en soutenant que les « moyens raisonnablement susceptibles » d’être utilisés pour identifier une personne concernée étaient limités.

Le tribunal aurait dû examiner les coûts et le temps nécessaires à l’identification du demandeur pour déterminer si ce dernier pouvait être identifié par des « moyens raisonnables ».

Cette décision portait sur l’application du règlement sur la protection des données applicable aux institutions européennes, dont les définitions sont identiques à celles du RGPD.

On trouvera sur le site de Kaizener une série de tableaux recensant les nombreuses initiatives réglementaires européennes dans le secteur du numérique, ainsi que leur état de mise en œuvre. 

 

Ziņas no Eiropas dalībvalstīm.

L’APD belge a publié le 15 mars une décision concernant la base juridique du traitement de données utilisées pour l’entraînement des modèles d’IA et l’utilisation ultérieure, séparée, de ces modèles à des fins commerciales. 

L’APD a estimé que le responsable ne pouvait pas revendiquer une utilisation compatible (article 6(4) du RGPD), car l’objectif de l’entraînement n’avait pas été clairement établi dès le départ.

L’’utilisation ultérieure nécessitait en outre une base juridique propre.

Le responsable du traitement doit en outre donner à ses clients le droit de s’opposer à l’utilisation des données pour l’entraînement des modèles.

L’APD belge a aussi estimé qu’un responsable du traitement avait enfreint l’article 5(1), du RGPD en ne supprimant pas à temps la boîte aux lettres électronique d’un ancien employé.

L’APD a déclaré que la boîte aux lettres devait être désactivée le dernier jour de travail et que la réponse automatique devait l’être dans un délai d’un mois ou de trois mois dans certaines exceptions.

Dans un contexte similaire, l’APD italienne a considéré que le responsable du traitement avait violé le principe de minimisation des données, car il n’a pas désactivé le compte de courrier électronique d’un ancien employé, invoquant la nécessité de rediriger les clients vers un autre compte.

Le responsable du traitement a été condamné à une amende de 15 000 euros.

L’APD italienne a sanctionné un sous-traitant à hauteur de 800.000 euros pour avoir engagé un sous-traitant secondaire sans l’autorisation préalable du responsable du traitement et pour avoir notifié tardivement une violation de données au responsable du traitement.

Elle a aussi infligé une amende à cinq entreprises qui utilisaient la reconnaissance faciale pour contrôler les présences sur le lieu de travail.

L’autorité a constaté que les mesures de protection des données n’étaient pas adéquates, que les personnes n’avaient pas reçu les informations requises et qu’un système moins intrusif aurait pu être utilisé.

L’APD italienne a également a ouvert le 8 mars une enquête à l’encontre d’OpenAI, qui a annoncé le lancement d’un nouveau modèle d’IA, appelé « Sora ».

Ce modèle serait capable de créer des scènes dynamiques, réalistes et imaginatives à partir de quelques instructions textuelles.

L’APD a demandé à OpenAi de fournir un certain nombre d’éclaircissements compte tenu des implications que « Sora » pourrait avoir sur le traitement des données personnelles des utilisateurs dans l’Union européenne et en Italie en particulier.

Le 25 mars, l’APD portugaise a décidé d’ordonner à la Worldcoin Foundation de limiter temporairement la collecte de données biométriques par « Orb » sur le territoire national afin de sauvegarder les droits des citoyens, en particulier des mineurs.

La décision impose une mesure provisoire urgente à la Worldcoin Foundation, en tant que responsable du traitement des données, jusqu’à la conclusion de son processus d’enquête.

L’Espagne a pris une décision dans un sens similaire.

L’APD finlandaise a infligé une amende de 856.000 euros à un détaillant informatique pour n’avoir pas déterminé la durée de conservation des données de ses clients.

L’APD a également considéré que le traitement des données personnelles liées à un seul achat en ligne ne nécessite pas la création d’un compte client.

En Allemagne, un tribunal berlinois a estimé que le responsable de traitement ne peut se limiter en répondant à une demande d’accès à fournir une vue d’ensemble abstraite du traitement.

Le responsable avait invoqué des efforts disproportionnés.

Ceux-ci ne peuvent selon le tribunal être invoqués que dans des cas très exceptionnels.

L’APD islandaise a infligé une amende de 10 059,92 euros (1 500 000 ISK) à Stjörnuna ehf, l’exploitant de Subway en Islande, pour avoir surveillé illégalement ses employés sans les informer de manière adéquate.

En Autriche, la Cour suprême administrative a estimé qu’un algorithme déterminant la probabilité d’embauche des candidats à un emploi constitue une prise de décision automatisée au sens de l’article 22 du RGPD, même si le résultat est utilisé exclusivement par un organisme public pour fournir aux demandeurs d’emploi des conseils ciblés en matière d’emploi

 

Le gouvernement britannique a publié en mars un guide pour l’acquisition et le déploiement de l’IA de manière responsable dans le secteur des ressources humaines et du recrutement.

Le 21 mars, l’ONU a adopté une résolution globale sur l’IA.

L’organisation reconnaît que l’IA peut contribuer à accélérer la réalisation des 17 objectifs de développement durable et souligne l’urgence de « parvenir à un consensus mondial sur des systèmes d’intelligence artificielle sûrs, sécurisés et dignes de confiance ».

La résolution encourage les États membres à adopter des réglementations et des politiques en matière d’IA sur divers sujets, y compris la protection de la vie privée.

L’Assemblée a appelé tous les États membres et les parties prenantes « à s’abstenir ou à cesser d’utiliser des systèmes d’IA qu’il est impossible de faire fonctionner dans le respect du droit international relatif aux droits de l’homme ou qui présentent des risques excessifs pour la jouissance des droits de l’homme ».

Selon un article de Techcrunch du 26 mars, un tribunal fédéral de Californie a publié plusieurs documents dans le cadre d’un recours collectif intenté par des consommateurs contre Meta.

En 2016, Facebook aurait lancé un projet secret visant à intercepter et à décrypter le trafic réseau entre les personnes utilisant l’application Snapchat et ses serveurs.

L’objectif était de comprendre le comportement des utilisateurs et d’aider Facebook à concurrencer Snapchat.

Le ministère de la justice et le FBI ont déclaré ce 25 mars que des millions de comptes en ligne d’Américains ont été pris dans un complot de piratage chinois.

Sept ressortissants chinois ont été accusés d’avoir mis en œuvre une vaste campagne de cyberattaque.

Le ministère de la justice a déclaré que les pirates informatiques avaient ciblé des critiques américaines et étrangères de la Chine, des entreprises et des hommes politiques.

Le 25 mars, le gouverneur républicain de Floride a signé un projet de loi interdisant l’accès aux médias sociaux aux enfants de moins de 14 ans.

Les mineurs âgés de 14 ou 15 ans devront quant à eux obtenir le consentement explicite de leurs parents pour créer un compte.

Lorsque les règles entreront en vigueur le 1er juillet 2024, les entreprises telles que Facebook, Instagram et TikTok seront en principe tenues de résilier les comptes existants qui ne répondent pas à ces exigences et de supprimer toutes les données personnelles correspondantes.

Cette mesure a été critiquée et devrait faire l’objet de recours en justice sur la base des droits constitutionnels à la liberté d’expression.

En parallèle, les États-Unis envisagent d’interdire TikTok à l’échelle nationale.

Le 13 mars, la Chambre des représentants a adopté la loi dite « Protecting Americans from Foreign Adversary Controlled Applications Act » (loi sur la protection des Américains contre les applications contrôlées par des adversaires étrangers).

Si elle est adoptée par le Sénat et promulguée, TikTok devra séparer la plateforme vidéo de sa société mère chinoise ByteDance ou supprimer l’accès des américains à l’application.

Le 18 mars, lors du troisième sommet pour la démocratie à Séoul, en Corée du Sud, la Finlande, l’Allemagne, l’Irlande, le Japon, la Pologne et la République de Corée ont rejoint les Etats-Unis dans une déclaration commune sur les efforts visant à lutter contre la prolifération et l’utilisation abusive des logiciels espions commerciaux.

Les pays s’engagent à travailler dans le cadre de leurs systèmes nationaux pour établir des garde-fous solides afin de contrer la prolifération et l’utilisation abusive de cette technologie de surveillance.

Au Koweit, l’autorité de régulation des technologies de la communication et de l’information (CITRA) a publié une nouvelle loi sur la protection des données à caractère personnel.