Veille juridique

API v centre zdieľania osobných údajov

Veille Juridique n°61 – Juillet 2023.

Les APIs au cœur du partage des données à caractère personnel.

Les interfaces de programmation applicatives, communément appelées « API » en référence à leur nom anglais « application programming interface », sont fréquemment utilisées afin de faciliter le partage d’informations entre organismes publics ou privés.

Ce partage de données est soutenu par le législateur, comme le confirme la stratégie européenne de souveraineté numérique : celle-ci vise à développer un marché unique de la donnée « en soutenant l’accès, le partage et la réutilisation responsables, dans le respect des valeurs de l’Union européenne et notamment la protection des données personnelles. »

Elle complète la stratégie européenne en matière d’intelligence artificielle.

Les APIs, si elles intègrent la protection des données dès la conception du système de partage, peuvent fournir un cadre technique favorable, dans le respect du RGPD.

La CNIL encourage ainsi leur utilisation dans une recommandation adoptée le 7 juillet dernier.

Elle souligne en particulier l’importance d’un niveau de sécurité en adéquation avec les risques de réutilisation, et d’un partage des données limité au minimum nécessaire.

Trois types d’acteurs sont visés par la recommandation : les détenteurs de données, les gestionnaires d’APIs et les ré utilisateurs de données.

Le détenteur de données est caractérisé́ par le fait qu’il contrôle les données de manière technique ou organisationnelle.

Un gestionnaire d’API est l’organisme en charge d’une partie ou de la totalité́ des composantes techniques sur lesquelles repose le partage de données.

Enfin, le re utilisateur de données est tout organisme envisageant d’accéder ou recevant des données par voie d’API en vue de les exploiter pour son propre compte.

La CNIL souligne que plusieurs rôles peuvent être tenus par le même organisme, comme par exemple lorsque le détenteur de données développe lui-même une API : il est alors également gestionnaire d’API et devra suivre les recommandations relatives à ces deux rôles. Identifier à quel titre l’on intervient dans le cadre de l’utilisation d’une API est ainsi essentiel.

Chaque catégorie est orientée vers les mesures lui permettant d’atteindre le niveau de sécurité recherché et de se mettre en conformité avec les principes de la protection des données.

Les acteurs sont invités à coopérer pour mettre en pratique ces recommandations.                              

  • Les détenteurs de données devront porter une attention particulière à l’information des ré utilisateurs, l’exactitude et l’intégrité des données, et la sécurité des données (cloisonnement et disponibilité, authentification, journalisation).
  • Les gestionnaires d’API se concentreront sur la documentation, la minimisation des données, l’exercice des droits concernant le partage des données, et la sécurité (communications, sécurité des systèmes d’information, journalisation)
  • Les ré utilisateurs ont des obligations particulières en matière d’information des personnes concernées, de minimisation des données et également de sécurité (gestion des risques, sécurisation des clés, journalisation).

La recommandation aborde des cas particuliers de partage de données, par exemple entre réseaux sociaux et chercheurs, ou l’ouverture des données de l’administration.

La qualification des différents acteurs ne préjuge pas de leur qualité de responsable de traitement ou de sous-traitant au sens du RGPD.

Toutefois des orientations peuvent être dessinées : le détenteur de données sera généralement responsable du traitement de partage, dans la mesure où il aura librement décidé́ des finalités et des moyens du traitement ou lorsqu’il aura été́ contraint légalement de le mettre en œuvre.

Le re utilisateur sera souvent « destinataire » au sens du RGPD.

De son côté́, le gestionnaire de l’API agira en tant que sous-traitant, c’est-à-dire pour le compte et sous les instructions du détenteur de données et/ou du réutilisateur.

Les recommandations de la CNIL devraient être complétées prochainement par la publication, bienvenue, de cas pratiques sur le site web de la Commission.

 

A tiež

  • Le 27 juillet, la CNIL a publié un appel à contribution concernant ses travaux sur l’IA.

Elle fait à cette occasion un premier point sur l’avancement de ses travaux à la suite de la publication de son plan d’action, le 16 mai dernier, sur l’intelligence artificielle, et lance un appel à contribution afin d’alimenter sa réflexion, en amont des premières publications envisagées à l’automne.

  • La CNIL propose également un nouveau « bac à sable » afin d’accompagner trois projets utilisant l’intelligence artificielle (IA) au bénéfice des services publics.

L’appel à projets est ouvert jusqu’au 30 septembre 2023.

  • Dans le cadre de son plan d’action sur les applications mobiles, la CNIL publie et soumet à consultation publique un projet de recommandation, destiné à clarifier les obligations des différents acteurs de cet écosystème, de faciliter leur mise en conformité et de promouvoir la mise en place de bonnes pratiques.
  • Plus de soixante ONGs européennes ont écrit le 26 juillet au Commissaire européen Thierry Breton pour lui demander des éclaircissements concernant ses récents commentaires suggérant que le blocage de plateformes en ligne pourrait être une mesure applicable et justifiée en vertu du règlement sur les services numériques (DSA).

Ces commentaires faisaient suite aux remarques du Président de la République évoquant la possibilité de bloquer l’accès aux plateformes de médias sociaux dans le contexte des troubles à l’ordre public.

Les ONGs considèrent que ces commentaires pourraient encourager le blocage arbitraire des plateformes en ligne par les gouvernements du monde entier.

Elles demandent à la Commission européenne de veiller à ce que la mise en œuvre et l’application du DSA par les États membres ne conduisent pas à une interprétation trop large de ces mesures, qui irait à l’encontre de ses objectifs réglementaires et violerait la Charte des droits fondamentaux de l’UE.

  • Le Conseil d’Etat a estimé le 26 juin que le droit de rectification peut être utilisé pour rectifier des données après un changement d’identité, mais pas rétroactivement pour rectifier des documents antérieurs au changement d’identité : ces données antérieures ne peuvent en effet être considérées comme inexactes.
  • L’Assemblée nationale a adopté le 28 juin à l’unanimité le « projet de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne.

Le projet a également été adopté à l’unanimité par le Sénat le 29 juin 2023.

Le texte instaure une majorité numérique à 15 ans, âge à partir duquel un mineur n’aura plus besoin de l’accord parental pour s’inscrire à un réseau social.

 

Európske inštitúcie a orgány

  • La Commission européenne a adopté le 10 juillet sa décision d’adéquation pour le « cadre UE-États-Unis de protection des données », concluant que la protection garantie par les États-Unis aux données transférées est comparable à celle offerte dans l’UE.

Le nouveau cadre est entré en vigueur le 11 juillet.

Les engagements américains introduisent selon la Commission « de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice européenne, notamment en limitant l’accès des services de renseignement américains aux données de l’UE à ce qui est nécessaire et proportionné et en établissant une Cour de contrôle de la protection des données ».

Sans surprise, Max Schrems a considéré que le nouveau cadre transatlantique de protection des données personnelles est en grande partie une copie du « Privacy shield » et qu’il contestera la décision en justice.

De son côté le Comité européen de la protection des données (EDPB) a publié une note d’information afin d’orienter les entreprises et individus concernés.

  • La Commission européenne a publié le 4 juillet sa « Proposition de règlement établissant des règles de procédure supplémentaires relatives à l’application du RGPD » destinée à assurer une application cohérente du règlement dans les cas transfrontaliers.

Dans un message sur Twitter, l’EDPB s’est félicité de la réponse rapide de la Commission à ses demandes de clarification.

La proposition de règlement est cependant critiquée par certaines ONGs qui soulignent qu’elle risque de limiter la participation des citoyens aux plaintes qu’ils déposent auprès des APDs en cas d’utilisation abusive de leurs données.

  • Les appareils connectés, tels que les caméras de surveillance, les réfrigérateurs et les téléviseurs intelligents, pourraient bientôt offrir une meilleure protection contre les cyberattaques.

Les États membres de l’UE se sont récemment mis d’accord sur une position commune concernant les exigences de sécurité pour les produits numériques mentionnés.

La proposition de loi sur la cyber-résilience introduirait des exigences obligatoires pour la conception, le développement et la production des appareils.

  • Dans un arrêt du 4 juillet 2023, la Cour de justice de l’Union européenne a pris position dans un litige opposant Meta à une autorité de la concurrence allemande.

La CJUE a estimé qu’une autorité de la concurrence peut constater une violation du RGPD et, sans se substituer à l’autorité de protection des données, reste libre de tirer ses propres conclusions sous l’angle de l’application du droit de la concurrence.

La CJUE constate aussi que Facebook est susceptible de traiter des données « sensibles » issues de l’activité de l’utilisateur sans que l’utilisateur ait nécessairement souhaité les rendre publiques, ce qui exclut l’exemption de consentement.

La Cour a également exclu le recours de Meta à la nécessité d’exécuter un contrat et à l’intérêt légitime pour justifier la personnalisation des contenus.

Elle observe enfin que la position dominante de Facebook sur le marché des réseaux sociaux soulève des réserves sur la validité du consentement, et qu’il incombe à l’opérateur de prouver que le consentement est effectivement donné librement.

La société Meta a justement déclaré ce premier août qu’elle entendait modifier la base légale utilisée pour sa publicité ciblée en Europe: la société demandera le consentement des utilisateurs.

Ce changement est la conséquence directe des décisions de l’EDPB et des autorités judiciaires nationales et européennes.

  • Dans le contexte des discussions sur le projet de règlement européen sur la liberté des médias, 80 organisations de la société civile, des médias, des éditeurs et des diffuseurs, ainsi que des syndicats, demandent au Parlement européen d’interdire le déploiement de logiciels espions contre les journalistes, sans exception.
  • Le 3 juillet, des groupes de la société civile et des experts de l’Internet ont également écrit aux commissaires Jourova et Reynders pour leur faire part de leur profonde inquiétude concernant le projet de loi du gouvernement britannique sur la protection des données et l’information numérique (DPDI), qui transformerait le Royaume-Uni en une « vanne qui fuit » et porterait atteinte aux droits des citoyens européens en matière de protection des données.

 

Actualité des pays membres d’Europe.

  • L’APD belge a considéré qu’une association de pharmaciens, en conservant indéfiniment des données relatives à des sanctions disciplinaires prononcées en vertu d’un ancien règlement, viole entre autres les principes de légalité, de limitation de la finalité, de minimisation des données, d’exactitude et de limitation de la conservation.

L’association s’est vu infliger une amende de 30 000 euros.

  • Selon l’APD belge, un responsable de traitement basé aux Etats-Unis dont l’activité comprend l’organisation de conférences en Europe est soumis au RGPD et doit, entre autres obligations, désigner un représentant en Belgique.
  • L’APD lettone a estimé que l’utilisation d’un identifiant personnel unique était insuffisante pour identifier clairement une personne concernée et empêcher la divulgation illicite de catégories particulières de données par le prestataire national de services de santé.

L’utilisation de critères supplémentaires, tels que le nom de la personne concernée, était nécessaire.

  • L’APD espagnole a infligé une amende de 10 000 euros à un agent de sécurité pour avoir capturé des images du système de vidéosurveillance d’un établissement pénitentiaire et les avoir diffusées via WhatsApp, en violation de l’article 6 du RGPD.
  • Dans une décision du 22 juin dernier, l’APD italienne a infligé une amende d’un million d’euros à la société des autoroutes d’Italie qui n’avait pas identifié son rôle de responsable de traitement dans le contexte de l’utilisation de services de cashback.
  • L’APD islandaise a infligé une amende d’environ 82 000 euros à l’Office of the National Medical Examiner pour de multiples violations du RGPD après une faille de sécurité sur son site web Heilsuvera proposant un système de soins de santé en ligne et un portail de prescription.
  • Après avoir a audité quatre entreprises qui utilisaient Google Analytics sur leurs sites web, l’APD suédoise a sommé ces sociétés de ne plus utiliser l’outil.

Deux des entreprises ont été condamnées à des amendes administratives, tandis qu’une autre a arrêté volontairement d’utiliser l’outil.

Les audits ont été réalisés suite aux plaintes de l’organisation noyb, accusant les entreprises de transférer illégalement des données personnelles aux États-Unis en violation de la législation européenne.

  • À la suite de l’arrêt de la CJUE mentionné supra, l’autorité norvégienne de protection des données a déclaré illégale la publicité comportementale sur Facebook et Instagram.

Pour les trois prochains mois ou jusqu’à ce qu’elle puisse prouver sa conformité avec la loi norvégienne, l’entreprise de médias sociaux n’est plus autorisée à utiliser cette approche.

 

  • La Maison Blanche a présenté mi-juillet des mesures provisoires sous la forme d’engagements volontaires pour « un développement et une utilisation sûrs, sécurisés et transparents de l’IA ».

Amazon, Anthropic, Google, Inflection, Meta, Microsoft et OpenAI ont accepté de donner la priorité à la recherche sur les risques sociétaux posés par les systèmes d’IA et d’encourager la découverte et les signalements de problèmes et de vulnérabilités.

Selon certains experts universitaires, ces accords sont toutefois loin d’être suffisants.

« Les États-Unis continuent de proposer des mesures volontaires, alors que l’Union européenne va adopter la législation sur l’IA la plus complète que nous ayons vue à ce jour », a ainsi déclaré Brandie Nonnecke, directeur fondateur du Citris Policy Lab de l’université de Berkeley.

  • Pendant ce temps, la Federal Trade Commission (FTC) enquête auprès d’OpenAI sur le fonctionnement de ChatGPT, avec des questions détaillées portant sur ses revenus financiers, la façon dont les modèles sont entrainés et les données traitées, les risques et procédures de sécurité, la génération de contenu concernant des individus, les attaques externes visant à manipuler le LLM (« prompt injections ») et la protection des données personnelles.
  • OpenAI a abandonné son outil permettant de distinguer les textes générés par les humains de ceux générés par l’IA : « À compter du 20 juillet 2023, le classificateur d’IA n’est plus disponible en raison de son faible taux de précision. » La société poursuit néanmoins ses recherches afin de proposer un outil plus performant.
  • Amazon a accepté de verser plus de 30 millions de dollars pour régler deux poursuites judiciaires de la part de FTC pour violation de la vie privée d’utilisateurs, y compris celle d’enfants, via son assistant vocal Alexa et ses caméras de sonnette Ring.

Amazon était accusé d’avoir conservé les enregistrements vidéo de Ring et les enregistrements vocaux d’Alexa, ainsi que des données de géolocalisation associées, pendant plusieurs années sans consentement et malgré les demandes des consommateurs de supprimer ces données.

  • L’Infocomm Media Development Authority de Singapour a annoncé un partenariat avec Google pour soutenir une initiative de « bac à sable technologique ».

Cette initiative aidera les entreprises à « protéger la vie privée des utilisateurs et à disposer d’outils leur permettant de continuer à accéder aux données sans cookies tiers ».

Le partenariat IMDA-Google est ouvert à toutes les entreprises basées à Singapour.

  • Le régulateur sud-africain de l’information a adressé le 3 juillet un avis d’infraction et une amende administrative de 5 millions de rands (environ 240 000 euros) au ministère de la Justice et du Développement constitutionnel pour non-respect de la loi sur la protection des informations personnelles (POPIA).

Le régulateur avait émis une injonction en mai, demandant au ministère de renouveler certaines licences de sécurité informatique (anti-virus, anti-intrusion, SIEM) et d’engager des procédures disciplinaires à l’encontre des responsables concernés.

  • Au Vietnam, un décret sur la protection des données personnelles est entré en vigueur le 1er juillet.

Il prévoit notamment la réalisation d’évaluations d’impact des transferts de données et la désignation d’un chargé de la protection des données pour le traitement de données sensibles.

  • Les filiales de Meta, Onavo et Facebook Israel, ont été condamnées le 26 juillet en Australie à une amende de 20 millions de dollars australiens pour ne pas avoir suffisamment averti les utilisateurs de VPN que leurs données seraient collectées à des fins commerciales.

La sanction de l’ACCC australienne (autorité de régulation de la consommation et de la concurrence) est la plus importante jamais infligée en Australie en matière de protection de la vie privée.

sk_SKSK
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sl_SISL sk_SKSK