Bonjour à tous,
Les brèves du 2 au 8 janvier 2023 sont désormais disponibles.
Nous remercions Lynn MBONGO étudiante de la promotion, pour sa contribution.
Bonne lecture !
Le Collectif
IA et économie numérique : le Parlement européen souhaite adresser la question du numérique en 2023
Le Parlement européen a décidé de porter à l’ordre du jour les interrogations entourant certains aspects majeurs de la transformation numérique. Respectivement en janvier, puis en février, les députés européens pourront adopter des positions afférentes à l’intelligence artificielle, aux cryptomonnaies, ainsi qu’au règlement sur les données.
L’intelligence artificielle
En avril 2021, la Commission européenne avait d’ores et déjà proposé une définition des systèmes d’intelligence artificielle et une classification dépendant de leur niveau de risque. On peut notamment lire que la Commission considère comme de risque inacceptable les IA qui « contreviennent aux valeurs européennes ».
Le Conseil de l’Union européenne a adopté une position sur cette question le 16 décembre 2022 en restreignant plus encore la définition proposée par la Commission en s’appuyant sur les différentes fonctions que peut revêtir l’IA.
Le Parlement européen se prononcera quant à lui sur la question du cadre juridique des IA dans le courant du mois de janvier afin de proposer une « base réglementaire et juridique commune pour l’IA ». L’accent sera mis plus particulièrement sur les applications et les risques que peuvent présenter cette technologie émergente.
Les cryptomonnaies
Le Parlement européen travaille également à la question de la protection des consommateurs dans l’utilisation des nouvelles monnaies numériques.
Le 4 octobre 2022, le Parlement avait adopté une résolution non-contraignante relative aux taxes du marché des cryptomonnaies.
Les députés ont désormais pour projet de s’intéresser à l’établissement de garanties afin d’éviter les éventuelles tentatives de manipulation du marché financier, mais également de se questionner sur les réponses à apporter quant à la criminalité financière.
Le règlement sur les données
Le 23 février 2022, la Commission a proposé des mesures relatives à la création d’une économie de données équitable et innovante. Ces nouvelles règles ont pour but premier d’assurer une certaine « équité dans l’environnement numérique ».
La problématique du règlement sur les données a donc été portée à l’ordre du jour du Parlement européen dans les premiers mois de l’année 2023, afin de permettre une réglementation toujours plus effective du partage de données et notamment de faciliter le passage d’un fournisseur de service de traitement de données à d’autres. Il est également nécessaire de s’armer contre le transfert illégal de données par les acteurs du cloud computing à une échelle internationale.
Lynn MBONGO
Sources :
https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_1113
Apple : La CNIL inflige une amende de 8 millions d’euros au géant américain
Mercredi 4 janvier 2023, la CNIL a annoncé infliger une amende de 8 millions d’euros à une des entités européennes du géant américain Apple pour écriture et / ou lecture non consentie des données personnelles des utilisateurs à des fins publicitaires.
La CNIL a délibéré en formation restreinte le 29 décembre 2022 à la suite d’une plainte introduite par France Digitale en mars 2021 dénonçant l’activation par défaut du ciblage publicitaire dans l’App Store.
Après avoir enquêté, la commission a constaté que, sous l’ancienne version IOS 14.6, des identifiants de l’utilisateur étaient automatiquement lus sans recueil préalable de son consentement. Ces identifiants servaient notamment à personnaliser les annonces publicitaires diffusées sur l’App Store.
Manquement à la Loi Informatique et Libertés
Ceci constitue un manquement à l’article 82 de la Loi informatique et Libertés, portant sur le consentement des utilisateurs au traitement de leurs données.
En effet, cet article permet de contourner l’obligation de recueil du consentement d’un utilisateur uniquement lorsque l’accès ou l’inscription de ses données « (1) soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; (2) soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »
Les identifiants en question n’entrant dans aucune de ces catégories, Apple aurait dû préalablement recueillir le consentement des utilisateurs avant de les lire et/ou déposer. Or, ce n’était pas le cas : les paramètres de ciblage des publicités étaient pré-cochés par défaut. En outre, pour les décocher, l’utilisateur devait aller de lui-même chercher au sein de ses réglages.
Une amende de 8 millions d’euros
Du fait de ce manquement, la formation restreinte a infligé une amende de 8 millions d’euros à Apple Distribution International.
Ce montant paraît modique pour un groupe dont le chiffre d’affaires annuel s’élève à plusieurs centaines de milliards de dollars, surtout quand le même jour Meta se voit condamné par la DPC (Commission irlandaise de protection des données) à une amende de 390 millions d’euros pour violation de ses obligations en matière de transparence du traitement des données personnelles à des fins de publicité ciblée.
Cette modicité est, d’après la CNIL, justifiée par « la portée du traitement limitée à l’App Store, par le nombre de personnes concernées en France et les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants et par le fait que la société s’est depuis mise en conformité. »
Toutefois, la réputation du géant américain, considéré pour beaucoup comme « le bon élève » en matière de traitement des données personnelles, reste heurtée et il compte faire appel.
Esther PELOSSE
Sources :
https://siecledigital.fr/2023/01/05/amende-apple-8-millions/
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077
https://twitter.com/PatrickMcGee_/status/1610691371836510209
Jeux olympiques et paralympiques 2024 : l’utilisation des caméras augmentées, un « tournant » selon la CNIL
Le 26 juillet 2024 à Paris, la cérémonie d’ouverture se déroulera en plein air sur la Seine. Au total, 600 000 spectateurs pourront y assister. Pour faire face à ce défi sécuritaire, les 40 000 policiers et gendarmes mobilisés pourront utiliser, à titre expérimental, des caméras dites « augmentées » ou « intelligentes ».
Dans un avis n° 2022-118 du 8 décembre 2022 mais rendu public le 4 janvier 2023, la CNIL prend position sur le projet de loi relatif aux Jeux olympiques et paralympiques de 2024 contenant des dispositions en matière de protection des données personnelles et de respect à la vie privée ; en particulier, le recours à des caméras et drones équipés d’algorithmes d’intelligence artificielle. Concrètement, le Gouvernement veut placer des caméras dans les lieux publics stratégiques afin de localiser les comportements suspects en temps réel lors d’événements « sportifs, festifs ou culturels exposés à des risques d’atteintes graves à la sécurité des personnes, notamment de nature terroriste. »
Or, ces outils peuvent conduire à une collecte massive de données à caractère personnel. La CNIL appelle donc à une certaine prudence :
« Le déploiement, même expérimental, de ces dispositifs constitue un tournant qui va contribuer à définir le rôle général qui sera attribué à ces technologies, et plus généralement à l’intelligence artificielle ».
Le projet de loi indique par ailleurs que les dispositifs « ne mettent en œuvre aucune technique de reconnaissance faciale ».
En juillet 2022, la CNIL avait appelé à fixer un cadre juridique pour ce type de dispositifs. En réponse à ces préconisations, le texte délivre certaines garanties :
- « Un déploiement expérimental ;
- Limité dans le temps et l’espace ;
- Pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes ;
- L’absence de traitement de données biométriques ;
- L’absence de rapprochement avec d’autres fichiers ;
- L’absence de décision automatique ».
Elle déplore néanmoins l’empressement avec lequel elle a été contrainte de rendre son avis, et attend que certaines modalités soient prises par décret.
La Commission a annoncé son intention de travailler pour l’élaboration d’une doctrine générale en matière d’intelligence artificielle « qui se traduira notamment par la publication de recommandations dans le courant de l’année 2023 ».
Ninon VANDEKERCKHOVE
Sources :
Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024
Deezer : fuite massive de données de 250 millions d’utilisateurs
L’application Deezer, l’acteur majeur du streaming musical, a été victime d’une fuite de données de ses utilisateurs, par un piratage datant de 2019. Le constat est sans appel : 250 millions d’utilisateurs dans le monde auraient été touchés par ce piratage massif, selon Restoreprivacy, un site américain spécialisé dans les fuites de données ; notamment 46,2 millions d’utilisateurs en France, 37,1 millions d’utilisateurs au Brésil et 15,3 millions d’utilisateurs en Allemagne ont été impactés.
Mais quels sont les types de données qui ont été fuitées ?
Dans sa déclaration officielle, Deezer précise que « les données exposées comprennent des informations de base, mais elles ne comprennent pas d’informations sensibles comme les mots de passe ou les données de paiement. »
Parmi les informations de base, on retrouve les adresses électroniques, les noms d’utilisateur, les dates de naissance et même les adresses IP.
A premier égard, le piratage ne semble pas concerner des données très pertinentes, mais l’enjeu est majeur puisque ces données peuvent être utilisées à des fins frauduleuses telles que des tentatives de vols de compte ou des attaques par hameçonnage.
Un travail collaboratif avec la CNIL
Deezer a informé de cette fuite de données à l’organisme de surveillance, la CNIL. Il a notamment été conseillé aux utilisateurs de faire preuve de vigilance, en changeant leur mot de passe, et en les sensibilisant aux risques liés à la protection des données personnelles.
Louise FOUQUET-CRISTOFINI
Sources :
https://restoreprivacy.com/music-service-deezer-data-breach/
https://siecledigital.fr/2023/01/04/deezer-les-donnees-de-250-millions-dutilisateurs-ont-fuite/