Veille Juridique n°64 – Octobre 2023.

Chiffrement et portes dérobées : des contraintes techniques aux enjeux de société.

L’actualité française fait écho au débat actuel qui agite l’Europe, celui de l’accès par les forces de l’ordre au contenu des messageries chiffrées.

Le ministre de l’Intérieur, commentant à la radio le récent attentat au lycée d’Arras, a ainsi émis le 22 octobre dernier le souhait que soit intégrée une porte dérobée aux messageries chiffrées de bout en bout, qui permettrait de passer outre le chiffrement des messages et d’accéder à leur contenu.

Cette technique constitue selon le ministre une alternative plus efficace aux solutions actuelles, qui consistent pour les services de renseignement à pirater le téléphone du suspect pour y installer par exemple un logiciel espion.

Cette pratique strictement encadrée par la loi avait échoué lors de la surveillance du terroriste auteur de l’attentat.

On parle beaucoup ces jours-ci de « client side scanning » ou « balayage côté client », technique différente de celle de l’interception des messages (« man in the middle » ou « homme du milieu » – HDM).

Un expert intervenant lors d’un séminaire organisé sur le sujet par le contrôleur européen de la protection des données le 23 octobre dernier décrivait ainsi ces techniques : le « man in the middle » intercepte les messages pendant leur transmission alors que le « client side scanning » consiste de façon imagée à lire par-dessus l’épaule de l’individu pendant qu’il écrit  – avant chiffrement – pour comparer son message au contenu d’une base de données répréhensibles.

Il s’agit d’une forme de modération de contenu, effectuée sur le terminal de l’utilisateur.

Deux initiatives visant à utiliser le balayage côté client de façon systématique font actuellement l’objet de nombreuses réactions, à Bruxelles et à Londres, en raison de leur caractère intrusif.

Au niveau européen, c’est la proposition de règlement CSAM qui concentre les critiques.

Le texte entend lutter contre la pédopornographie en ligne en détectant la dissémination de contenu illégal.

S’il y a consensus sur l’importance primordiale de cet objectif, de nombreuses parties prenantes s’interrogent sur l’efficacité, la nécessité et la proportionnalité des mesures proposées.

De vives inquiétudes ont été exprimées par les autorités de protection des données de l’UE, des experts des institutions européennes, ainsi que des organisations de protection de l’enfance, des universitaires, des experts en cybersécurité et des survivants d’abus sexuels sur des enfants.

Outre le risque d’engloutir les autorités répressives sous le nombre de faux positifs, ses détracteurs redoutent un pas de trop vers une société où chacun d’entre nous vivra dans un sentiment de constante surveillance.

Pour plus d’une centaine de chercheurs de premier plan dans ce domaine, il est enfin techniquement impossible de mettre en œuvre le balayage des contenus sans affaiblir le chiffrement de bout en bout et porter atteinte à la vie privée des utilisateurs.

De nombreux experts s’accordent à dire que les solutions technologiques de pointe actuelles ne sont pas suffisamment fiables et sont également vulnérables aux cyberattaques.

C’est aussi la conclusion de la société Apple qui a annoncé cet été renoncer à son projet d’algorithme, et celle de Meredith Whittaker, présidente de la messagerie Signal : « Si la police peut entrer, des hackers le peuvent aussi, des pays hostiles, Poutine, le gouvernement iranien, et tous ceux qui veulent nuire (…). Il est donc primordial que nous maintenions la sécurité et l’intégrité de ces systèmes. »

Le gouvernement britannique semblait à cet égard avoir mis de l’eau dans son vin concernant sa nouvelle loi, promulguée le 26 octobre, sur la sécurité en ligne (« Online safety Bill »).

Les ministres n’ont toutefois pas supprimé, mais conditionné la mise en œuvre de la clause de surveillance controversée à sa faisabilité technique.

L’autorité de régulation des technologies britannique (Ofcom) garde le pouvoir d’exiger des entreprises technologiques qu’elles développent des logiciels de balayage en fonction de l’évolution de la technologie.

Si cette technologie devient disponible, il reste à voir comment sera apprécié l’équilibre entre les objectifs répressifs des autorités et la vie privée des individus.

 

• La CNIL a infligé le 12 octobre une amende de 600 000 euros au GROUPE CANAL+.

L’amende concerne en particulier les manquements à l’obligation d’information, l’exercice des droits par les personnes concernées, les questions de sécurité concernant les mots de passe des employés de l’entreprise, la sous-traitance, et le fait que l’entreprise n’ait pas notifié à la CNIL une violation grave de données à caractère personnel survenue en 2020.

• La CNIL organise » le 28 novembre un évènement de réflexion éthique air « IA et libre-arbitre : sommes-nous des moutons numériques ?

Des chercheurs, experts et plasticiens échangeront autour des grandes questions éthiques sur l’influence de l’intelligence artificielle sur les choix des individus.

• Également sur le sujet de l’IA, La CNIL a publié le 11 octobre des fiches pratiques sur la constitution de bases de données d’apprentissage des systèmes d’IA.

Ces fiches ont pour objectif d’aider les professionnels à concilier innovation et respect des droits des personnes. Elles sont soumises à consultation publique jusqu’au 16 novembre 2023.

• L’ONG noyb a déposé trois plaintes en France le 14 septembre, contre la Fnac, l’application immobilière SeLoger et l’application de fitness MyFitnessPal.

Les applications de ces entreprises accèderaient illégalement aux données personnelles des utilisateurs et les partageraient avec des tiers à des fins d’analyse sophistiquée dès l’ouverture de l’application, sans avoir informé ou obtenu le consentement des personnes concernées.

L’ONG prévoit de déposer d’autres plaintes contre des sociétés d’applications mobiles.

 

Europese instellingen en organen

• Après avoir lancé une enquête sur la conformité de X au Règlement sur les services numériques (DSA) le 12 octobre, la Commission européenne s’intéresse également à Meta et TikTok.

Les entreprises de médias sociaux auraient reçu des demandes formelles d’informations sur leur traitement des contenus illégaux et de la désinformation depuis le début de la guerre entre Israël et le Hamas.

• Certains reprochent à la Commission européenne de ne pas respecter elle-même ses propres règles en matière de micro-ciblage sur les réseaux sociaux.

Elle est aujourd’hui accusée par la presse, des ONGs et parlementaires européens d’avoir ciblé certains profils d’internautes dans sa communication à l’intention d’audiences situées dans des pays sceptiques quant à sa proposition de règlement relative à la pédopornographie (CSAM).

• La Commission européenne a publié en septembre 2023 deux modèles de clauses contractuelles en matière d’IA pouvant être utilisées sur base volontaire dans les marchés publics d’IA, pour les traitements avec ou sans risques élevés.

Les clauses s’adressent aux organismes publics souhaitant acquérir un système d’IA développé par un fournisseur externe.

• Le Contrôleur européen de la protection des données (EDPS) a publié le 23 octobre des recommandations à l’intention des colégislateurs de l’UE pour les trilogues concernant le règlement sur l’IA.

Il soutient notamment l’inclusion dans le règlement du droit des personnes affectées par l’utilisation de systèmes d’IA de déposer une plainte auprès d’une autorité compétente et de bénéficier d’un recours juridictionnel effectif contre ses décisions.

Il réitère en outre son appel en faveur de la désignation des autorités de protection des données comme autorités nationales de contrôle.

Il soutient enfin la nécessité d’une approche européenne, en particulier dans les cas transfrontaliers ayant un impact significatif, et la proposition d’établir un « bureau européen de l’IA » proposée par le Parlement européen.

• L’EDPS a également émis un avis le 11 octobre sur deux propositions de directives relatives aux règles de responsabilité en matière d’IA.
• Le Comité européen de la protection des données (EDPB) et l’EDPS ont adopté le 19 septembre un avis conjoint sur la proposition de règlement relative à des règles de procédure supplémentaires pour l’application du RGPD.

Cette proposition vise à garantir la mise en œuvre de mesures correctives rapides pour les personnes dans les affaires transfrontalières.

L’EDPB et l’EDPS appellent à une harmonisation exhaustive des conditions de recevabilité, suggèrent d’améliorer la recherche de consensus via une plus grande implication des autorités de contrôle concernées et invitent les colégislateurs à maintenir l’approche actuelle du droit des parties à être entendues dans le cadre de la procédure de résolution des litiges.

• L’EDPB et l’EDPS ont émis le 17 octobre un avis conjoint sur la proposition de règlement relatif à l’euro numérique.

Les régulateurs approuvent en particulier le maintien d’un choix laissé aux utilisateurs de payer en euros numériques ou en espèces.

Elles émettent néanmoins plusieurs observations, afin de garantir que seules les données personnelles nécessaires soient traitées, en particulier dans le cadre de la lutte contre la fraude, et pour éviter une centralisation excessive des données personnelles par la Banque centrale européenne ou les banques centrales nationales.

• Lors de sa séance plénière d’octobre, l’EDPB a choisi le thème de sa troisième action coordonnée de mise en application du RGPD : la manière dont les entreprises mettent en œuvre le droit d’accès des individus.

Cette action est prévue pour 2024 et fera l’objet d’un suivi ciblé aux niveaux national et européen.

• Le 31 octobre, l’APD norvégienne a publié un communiqué selon lequel sa décision à l’encontre de Meta serait étendue à l’UE/EEE.

Le communiqué précise que l’EDPB vient d’approuver l’extension, de façon permanente, de l’interdiction norvégienne du marketing comportemental sur Facebook et Instagram à toute l’Europe.

• Après les révélations et l’enquête du Parlement européen concernant le spyware Pegasus, un rapport d’Amnesty International et de l’European Investigative Collaborations (EIC) se penche sur le dossier Predator et souligne l’incapacité de l’UE à réglementer l’abus de logiciels espions sur son propre territoire.

Le rapport se concentre sur un groupe appelé Intellexa Alliance, basé en Europe, et qui a « développé, exploité et commercialisé » une « suite de produits de surveillance » entre 2007 et 2022. 

Ces produits permettent d’envoyer des tentatives d’infection silencieuses aux utilisateurs des fournisseurs de services internet coopérants, ou à travers tout un pays si l’opérateur du logiciel espion a un accès direct au trafic internet.

• Le 6 septembre dernier, les représentants européens de l’industrie pharmaceutique (EPFIA) se sont opposés à l’introduction d’un mécanisme d’opt-out à la collecte de données de santé pour une utilisation secondaire dans la proposition de règlement sur le futur espace européen des données de santé (EHDS).

La position du groupe reflète les préoccupations des chercheurs et des concepteurs de technologies, qui redoutent que l’introduction de l’opt-out dans le système ne compromette l’utilisation des données pour la recherche et l’innovation.

• Dans un communiqué du 5 septembre 2023, TikTok annonce renforcer la protection des données de ses utilisateurs européens.

L’entreprise prévoirait deux nouveaux centres de données en Europe en plus de celui de Dublin.

TikTok a également engagé une société tierce de sécurité européenne, pour effectuer un audit indépendant de ses traitements de données.

 

Nieuws uit de lidstaten van Europa.

• L’APD belge a publié le 20 octobre une checklist pour aider les organisations à s’assurer que leurs pratiques en matière de cookies et autres mécanismes de traçage sont conformes aux réglementations en vigueur.

Le document permet de parcourir étape par étape les bonnes et mauvaises pratiques.

L’APD y rappelle que seuls les cookies strictement nécessaires sont exemptés d’un consentement, et que toutes les autres catégories de cookies ne peuvent être placées et lues qu’à condition que l’utilisateur y ait consenti préalablement et de manière libre, spécifique, informée, univoque et active.

• Le tribunal de district d’Amsterdam a adopté le 18 octobre une décision importante dans le cadre d’une procédure en référé concernant l’AdTech et les cookies de suivi.

La société française Criteo ne peut se contenter d’invoquer l’obligation contractuelle à charge de ses clients (les éditeurs de sites web) d’obtenir le consentement des internautes : elle est en effet aussi responsable de l’obtention d’un consentement valide pour le placement de cookies, faute de quoi (et en l’absence de consentement obtenu par l’éditeur) le placement de cookies est illégal.

La décision se base sur la Convention de Rome II (compétence de la Cour), la Directive « ePrivacy » et le RGPD.

Le tribunal reconnaît la décision de la CNIL et rejette la défense de Criteo selon laquelle le plaignant n’avait pas configuré son navigateur pour rejeter les cookies.

Il rejette également l’argument selon lequel les demandes du plaignant porteraient atteinte à son modèle commercial, considérant que les intérêts du plaignant en matière de protection de la vie privée l’emportent.

Le tribunal applique en outre l’arrêt de la Cour de justice dans l’affaire Österreichische Post (C-154/21) en jugeant que Criteo doit fournir une vue d’ensemble complète des tiers avec lesquels les données ont été partagées.

• L’APD grecque a infligé une amende de 50 000 euros à l’Organisation des transports urbains d’Athènes (OASA) pour avoir enfreint l’article 5(1)(e) du RGPD car son système de billetterie électronique ne respectait pas le principe de limitation du stockage.

Elle a en outre réprimandé l’OASA pour avoir enfreint l’article 35(1) du RGPD, car son analyse d’impact sur la protection des données pour son système de billetterie électronique était insuffisante.

• L’APD suédoise a infligé une amende de 800 000 couronnes suédoises (environ 68 324 euros) au Conseil de l’éducation de la ville de Stockholm pour avoir utilisé des caméras de surveillance dans une école en violation de l’article 5(1)(a), (c), de l’article 6 (1) et de l’article 13 du RGPD.
• L’APD italienne a infligé une amende de 20 000 euros à un barreau italien pour avoir publié sur son site web des informations sur deux plaignants sans base légale légitime, conformément aux dispositions combinées de l’article 10 du RGPD et de l’article 2octies du code italien de la protection de la vie privée.
• L’APD croate a imposé son amende administrative la plus élevée, d’un montant de 5 470 000 euros, à EOS Matrix d.o.o., une agence de recouvrement de créances, pour de multiples violations du RGPD.
• Au Royaume-Uni, Clearview AI a gagné en appel contre l’amende de l’APD britannique (ICO) devant le First Tier Tribunal (FTT).

Le tribunal a considéré que le « UK GDPR » ne s’appliquait pas, arguant de ce que les activités de traitement de Clearview concernaient l’exécution d’un service pour le compte d’organismes compétents en matière répressive situés dans un pays tiers, en dehors du champ d’application du RGPD et du « UK GDPR ».

Le tribunal considère en outre Clearview et ses clients comme co-responsables de traitement pour cette finalité répressive.

Le raisonnement du tribunal suscite bon nombre de discussions parmi les experts en protection des données quant à la qualification de co-responsables de traitement et la non application du droit européen et/ou britannique au cas d’espèce.

• Début octobre, Le chatbot d’IA de Snap a attiré l’attention de l’ICO.

L’APD a annoncé qu’elle avait émis un avis d’exécution préliminaire à l’encontre de Snap pour ce qu’il décrit comme « un manquement potentiel à l’obligation d’évaluer correctement les risques pour la vie privée posés par son chatbot « My AI » ».

Un nombre croissant d’autorités de protection des données endosse à l’instar du Royaume-Uni ou encore de l’Italie les compétences de régulateurs de l’IA.

 

• L’Assemblée mondiale de la protection de la vie privée (GPA), a tenu sa conférence annuelle mi-octobre aux Bermudes.

Les autorités ont débattu de l’application de la réglementation en matière de protection de la vie privée à l’IA, et adopté le 20 octobre une résolution concernant l’IA générative.

La résolution intervient alors que les dirigeants du G7 ont adopté le 30 octobre des principes directeurs internationaux sur l’intelligence artificielle (IA) et un code de conduite volontaire pour les développeurs d’IA dans le cadre du processus d’Hiroshima sur l’IA.

• Les Etats-Unis publient également ce 30 octobre un décret sur l’IA ainsi qu’un manuel de gestion des risques liés à l’IA, alors que le Royaume-Uni organise le 2 novembre un sommet sur la sécurité de l’IA.
• Le bureau du commissaire à la protection de la vie privée de Nouvelle-Zélande a publié un guide sur le développement et l’utilisation des systèmes d’intelligence artificielle dans le respect des principes de protection de la vie privée (IPP).
• Le Canada a également publié en septembre un code de conduite à destination des développeurs et gestionnaires de systèmes d’IA générative avancée.

Le code identifie des mesures à mettre en œuvre pour atténuer les risques liés à ces systèmes, axées sur six principes fondamentaux : responsabilité, sécurité, justice/équité, transparence, supervision humaine, validité/robustesse des systèmes.

• Etats-Unis : Les procureurs généraux de 41 États américains ont uni leurs forces pour intenter une action en justice contre Meta, affirmant que ses plateformes de médias sociaux Instagram et Facebook créent une dépendance et sont nocives pour les enfants.

L’action en justice reproche notamment à Meta d’avoir collecté de manière répétée et systématique des informations sur des enfants de moins de 13 ans et de ne pas avoir informé ni obtenu le consentement des parents quant à l’utilisation qui en serait faite.

• La Californie a publié le 12 octobre 2023 un projet de loi règlementant les courtiers en données qui modifie la loi existante de 2018 (CCPA).

Le texte prévoit que les courtiers en données s’enregistrent auprès de l’agence de protection de la vie privée et lui fournissent des informations plus détaillées en ce qui concerne les demandes des individus, la collecte de certaines informations et l’audit obligatoire de leur conformité à la loi.

Le projet crée également un mécanisme permettant aux individus de demander à tous les courtiers en données de supprimer les informations personnelles les concernant.

• Le service de tests génétiques 23andMe a été victime d’une fuite de données.

Un pirate informatique a publié les informations génétiques de quatre millions d’utilisateurs sur le forum de cybercriminalité BreachForums.

Cet incident fait suite à une autre fuite survenue au début du mois d’octobre.

• Aux Émirats Arabes Unis, le Ministère de l’intelligence artificielle, de l’économie numérique et des applications de télétravail publie un livre blanc intitulé « Cadre d’auto-gouvernance d’un métavers responsable ».