Brèves du 13 au 19 mars 2023

Bonjour à tous,

Les brèves du 13 au 19 mars 2023 sont désormais disponibles.

En vous souhaitant une bonne lecture et une bonne semaine,

Le Collectif

La CNIL et ses priorités pour 2023

Le 15 mars dernier, la CNIL (Commission nationale de l’informatique et des libertés) a annoncé ses thématiques prioritaires pour l’année 2023, afin de mieux orienter sa politique de contrôle sur des sujets importants pour le public. Cette année plusieurs thématiques ont été retenues.

Tout d’abord, la CNIL souhaite s’intéresser davantage à l’utilisation de caméras “augmentées” par les acteurs publics. Des questions concernant ce sujet sont régulièrement posées à la CNIL. La mise en place de ces caméras est notamment prévue pour des manifestations sportives telles que la Coupe du monde de rugby (2023) et les Jeux olympiques (2024).

Ensuite, l’utilisation et le contrôle du fichier des incidents de remboursement de crédit aux particuliers est également un point important sur lequel souhaite se concentrer la CNIL. Au sein du fichier des incidents de crédit aux particuliers (FICP) de la Banque de France sont recensées toutes les informations de paiement en liant aux découverts et aux crédits accordés pour des besoins non professionnels. Mais pas seulement ! Nous pouvons y retrouver des informations relatives aux situations de surendettement. Avant tout octroi de crédit, les banques ont l’obligation de consulter ce fichier. Ces données, étant extrêmement importantes, doivent donc être exactes, tout comme “leurs durées de conservation ainsi que le respect des conditions de gestion de ce fichier” qui “sont donc cruciaux” comme le précise la CNIL.

Les contrôles porteront principalement “les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jouraprès la régularisation des paiements.

Puis, dans les thématiques de contrôle 2023 de la CNIL, nous retrouvons un sujet concernant l’accès au dossier patient informatisé au sein des établissements de santé. La sécurité des données de santé est une thématique annuelle qui est régulièrement retenue par la CNIL. Cette dernière explique que “des vérifications ont déjà été engagées sur l’accès au dossier patient informatisé (DPI) en 2022” et qu’elles se “poursuivront en 2023”. Mais qu’est ce que le dossier patient informatisé ?

Selon le CISMeF (Catalogue et Index des Sites médicaux de langue Française), le DPI regroupe “l’ensemble des informations concernant la santé du patient détenues par le professionnel, qui sont formalisées et ont contribué à l’élaboration et au suivi du diagnostic et du traitement ou d’une action de prévention, ou ont fait l’objet d’échanges écrits entre professionnels de santé.”

Cette décision de procéder à des vérifications a été prise par la CNIL suite à la réception de nombreuses plaintes qui dénoncent des accès par des tiers non autorisés à des DPI au sein d’établissements de santé.

Enfin, selon le site de la CNIL, cette dernière souhaite s’intéresser au traçage des utilisateurs par les applications mobiles. Elle cible principalement ce qu’elle appelle “l’usage systématique des identifiants” qui sont mis à disposition des éditeurs d’application par les fabricants de téléphones. Cette pratique est présentée comme un équivalent “mobile” de l’utilisation massive des cookies sur les sites web et s’effectue le plus souvent sans l’information ou le consentement des utilisateurs. La CNIL, fin novembre 2022, a annoncé vouloir rappeler à l’ordre le secteur et informer les utilisateurs des dangers qui peuvent exister.

Lili POURHASHEMI

Sources :

https://www.lemondeinformatique.fr/actualites/lire-la-cnil-vigilante-en-2023-sur-les-cameras-ia-l-e-dossier-patient-et-les-apps-mobiles-89844.html

https://www.cismef.org/cismef/wp/wp-content/uploads/2015/08/coursdm_03_07_web_1256193137157.pdf

https://www.cnil.fr/fr/thematiques-prioritaires-de-controle-2023-cameras-augmentees-applications-mobiles-fichiers-bancaires

https://www.zdnet.fr/actualites/cameras-donnees-de-sante-et-mobile-la-cnil-annonce-la-couleur-39955568.htm

 

Royaume-Uni : L’application TikTok interdite sur les appareils gouvernementaux

Jeudi 16 mars, le gouvernement britannique a annoncé bannir l’application TikTok des appareils gouvernementaux.

Suite à une expertise sur la protection des données gouvernementales, il a déclaré renforcer sa politique relative à la gestion des applications tierces et introduire une interdiction préventive de l’application TikTok.

Bannir l’application est, d’après l’autorité britannique, « une mesure prudente et proportionnée ».

Prudente puisque l’utilisation de l’application chinoise nécessite de lui conférer un accès à certaines données de l’appareil, telles que les contacts ou la géolocalisation, et que le gouvernement est inquiet de l’usage qui pourrait en être fait.

Proportionnée car, au regret de certains, l’interdiction ne concerne que les appareils professionnels des agents du gouvernement, et non leurs appareils personnels. De plus, des dérogations pourront être accordées au cas par cas, notamment pour des raisons répressives ou de lutte contre la haine en ligne.

Ce bannissement de TikTok s’inscrit dans la lignée de mesures similaires prises aux quatre coins du monde. Ces mesures répondent aux inquiétudes relatives au lien de TikTok avec le gouvernement chinois, notamment eu égard à des potentielles activités d’espionnage. Cette même semaine, la Maison Blanche a, par ailleurs, posé un ultimatum au groupe chinois propriétaire de l’application, ByteDance, en lui indiquant que, s’il ne cède pas l’application, elle sera interdite aux Etats-Unis.

Ayant toujours nié toute accusation, l’application a exprimé regretter la décision du gouvernement britannique :

« Nous sommes déçus par cette décision, nous pensons que ces interdictions reposent sur des idées fausses et sont motivées par des considérations géopolitiques plus larges, dans lesquelles TikTok et ses millions d’utilisateurs au Royaume-Uni n’ont aucun rôle à jouer. »

Esther PELOSSE

Sources :

https://www.gov.uk/government/news/tiktok-banned-on-uk-government-devices-as-part-of-wider-app-review#:~:text=Social%20media%20app%20TikTok%20has,Cabinet%20Office%20has%20announced%20today.&text=The%20ban%20comes%20after%20Cabinet%20Office%20Ministers%20ordered%20a%20security%20review.

https://edition.cnn.com/2023/03/16/tech/uk-tiktok-government-device-ban/index.html

https://www.euronews.com/next/2023/03/16/uk-becomes-the-latest-country-to-ban-tiktok-from-government-devices

https://www.theguardian.com/technology/2023/mar/16/uk-bans-tiktok-from-government-mobile-phones

https://www.theguardian.com/technology/2023/mar/15/us-joe-biden-tiktok-ban-chinese-owners-divest

https://www.lepoint.fr/monde/etats-unis-le-gouvernement-americain-a-demande-a-bytedance-de-vendre-tiktok-16-03-2023-2512348_24.php

 

Le robot-avocat DoNotPay poursuivi en justice pour pratique non autorisée du droit aux États-Unis

  

Lancée en 2015, la société américaine DoNotPay est à l’origine du « premier robot avocat au monde ». En effet, grâce à l’intelligence artificielle, cette dernière a créé un chatbot de services juridiques, dont le but est de fournir des conseils et une assistance juridique aux consommateurs, sans que ceux-ci aient besoin d’avoir recours à un avocat et en plus, à moindre prix. Après avoir élargi ses domaines de compétences, les services proposés sur l’application mobile sont divers, bien qu’ils restent assez rudimentaires : remboursement de billet, demandes d’asile, contestation de tickets de stationnement… 

Alors que ce robot-avocat devait pour la toute première fois défendre une personne accusée d’excès de vitesse, des menaces émanant de procureurs du barreau de l’État ont conduit le PDG de la société, Joshua Browder, à reporter le procès. 

C’est alors qu’un revirement de situation s’est opéré. À la suite d’un recours collectif devant la Cour supérieure du comté de San Francisco, déposé par le cabinet d’avocats Edelson, c’est la société qui va finalement devoir se défendre elle-même devant le tribunal. Celle-ci est accusée de pratiquer du droit sans autorisation, du fait que l’intelligence artificielle manque de diplôme en droit anéantissant ainsi sa légitimité dans le conseil juridique.  

En effet, après avoir relevé des lacunes dans les services proposés de la société, notamment dans la rédaction de documents juridiques, les avocats Edelson ont affirmé dans la mise en demeure de la société que celle-ci : « n’est en fait ni un robot, ni un avocat, ni un cabinet d’avocats. DoNotPay n’a pas de diplôme en droit, n’est interdit dans aucune juridiction et n’est supervisé par aucun avocat ». 

De son côté, Joshua Browder a rétorqué sur Twitter qu’il se hâtait de procéder à sa défense et a ajouté qu’il pourrait même faire l’usage du robot-avocat à ces fins. 

Dans un contexte où l’avènement de l’intelligence artificielle pose de sérieuses menaces à la profession d’avocat, cette plainte viserait à protéger cette dernière. 

Affaire à suivre…. 

 Louise FOUQUET-CRISTOFINI

 Sources :

https://www.lesnumeriques.com/societe-numerique/ia-le-robot-avocat-donotpay-poursuivi-en-justice-pour-son-absence-de-diplome-n207958.html

https://leclaireur.fnac.com/article/227894-aux-etats-unis-une-ia-va-prochainement-jouer-les-avocats-lors-dun-proces/

https://www.bfmtv.com/tech/intelligence-artificielle/etats-unis-un-robot-avocat-poursuivi-en-justice-car-il-n-a-pas-de-diplome_AV-202303130309.html

 

        

RGPD : La CNIL autrichienne condamne le tracker de Meta

La CNIL autrichienne, la Datenschutzbehörde (DSB), estime que son pixel de pistage publicitaire (« tracking ») ne respecte pas les règles du Règlement général sur la protection des données (RGPD), en raison d’un transfert de données vers les Etats-Unis.

« C’est une décision historique », annonce Max Schrems, président de l’association Noyb, qui avait déposé 101 plaintes contre des sites Internet qui ont recours aux outils Google Analytics et Facebook Tracking. Pour le réseau social, cette décision n’aura « aucun impact sur la manière dont les entreprises peuvent utiliser nos produits ».

La décision de la DSB concerne le tracker Meta Pixel permettant de « mesurer l’efficacité des publicités en suivant les actions entreprises par les internautes sur un site web », selon Meta. Ce tracker est cependant massivement utilisé par (quasiment) tous les sites européens.

En janvier 2023, la DSB avait déjà jugé que Google Analytics violait le RGPD. En mars 2023, la DSB estime que son utilisation est illicite puisqu’elle est suivie d’un transfert de données vers les Etats-Unis. Depuis l’annulation de l’accord Privacy Shield, ces flux ne sont plus possibles. A ce titre, la Cour de justice de l’Union européenne (CJUE) avait considéré qu’il ne présentait pas un niveau de protection satisfaisant. Cet accord ne peut donc plus être utilisé comme fondement à un transfert de données entre l’Union européenne et les Etats-Unis. Depuis, Meta se repose sur des clauses contractuelles afin de maintenir ces flux de données transatlantiques. Alors que la CNIL irlandaise, la Data Protection Commission (DPC) avait condamné la pratique des clauses contractuelles, la CJUE les avait admises à condition qu’elles garantissent un certain niveau de garanties.

Toutefois, aucune sanction n’a été administrée à Meta ou à Google… Pourtant, le RGPD prévoit une sanction allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ninon VANDEKERCKHOVE

 

Sources :

https://www.usine-digitale.fr/article/la-cnil-autrichienne-juge-illegaux-les-outils-de-pistage-publicitaire-de-meta.N2112371

https://www.nextinpact.com/lebrief/71262/les-pixels-et-outils-tracking-meta-viole-rgpd-estime-cnil-autrichienne

https://noyb.eu/en/austrian-dsb-meta-tracking-tools-illegal

MasterIPIT

Un commentaire

Les commentaires sont fermés.