FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
IA & Data : L’EDPB publie un avis relatif aux traitements de données personnelles dans le cadre de la conception et du déploiement de systèmes d’IA (SIA)
S’agissant de la mise en œuvre d’un processus d’anonymisation des données, le comité estime qu’un SIA pourra être considéré comme anonyme si la probabilité d’extraire des données personnelles ou d’en obtenir à partir de requêtes est insignifiante.
En ce qui concerne le recours à l’intérêt légitime comme base légale, l’EDPB rappelle que les responsables de traitement sont tenus de vérifier si le recours à cette base remplit l’ensemble des critères d’identification, de nécessité et répond au test de mise en balance.
Sur le traitement illicite de données lors de la phase de développement et ses conséquences sur le déploiement d’un modèle d’IA, l’EDPB tient compte du rôle du responsable du traitement lors des différentes phases de développement et de déploiement.
Les responsables de traitement qui ont recours à un modèle d’IA qu’ils n’ont pas eux-mêmes développé sont tenus de mener des analyses précises pour déterminer si le modèle a été développé en conformité avec le RGPD.
Avec le développement et le déploiement des SIA, le principe d’accountability revient au cœur du processus de conformité et les responsables de traitement sont invités à documenter l’ensemble de leurs actions, de la mise en place d’un processus d’anonymisation, au choix de la base légale en passant par le recours à des SIA développés par des tiers.
Lire l’avis n°28/2024 de l’EDPB du 17 décembre 2024
La CNIL irlandaise inflige une amende de 251 millions d’euros à Meta ayant impacté 29 millions d’utilisateurs en 2018
La DPC a relevé que Meta avait manqué à ses obligations de notification de la faille de sécurité et à la mise en œuvre d’une démarche de privacy by design et by default :
- La notification de la violation par Meta était incomplète et sa documentation insuffisante.
- Meta n’avait pas mis en œuvre de mesures techniques et organisationnelles suffisantes pour intégrer la conformité au RGPD dans une démarche de « Privacy by Design« .
Lire le communiqué de presse de la DPC du 17 décembre 2024
Extraction de données personnelles : la CNIL sanctionne un éditeur de logiciel à hauteur de 240 000 euros
La société commercialisait un outil de prospection permettant à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes cibles ayant fait le choix de limiter ou de masquer la visibilité de leurs coordonnées sur le réseau social LinkedIn.
La CNIL a considéré que le traitement ne pouvait être fondé sur l’intérêt légitime de l’éditeur dans la mesure où les personnes cibles avaient choisi de restreindre l’accès à leurs données.
La CNIL a également considéré que le renouvellement dynamique et automatique du point de départ de la durée de conservation fixée à cinq ans n’était pas conforme au RGPD puisqu’il pouvait conduire à une conservation illimitée dans le temps.
L’autorité a relevé un manquement à l’obligation d’information des personnes concernées. Ces dernières n’avaient été informées qu’à partir de 2022, et uniquement dans un courriel en anglais.
Enfin, la CNIL a relevé un manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès, par manque de précision des informations communiquées aux personnes souhaitant exercer ledit droit.
Outre le prononcé d’une amende, la CNIL a ordonné à la société de mettre en œuvre les mesures lui permettant de se mettre en conformité avec le RGPD, sous astreinte de 10 000 euros par jour de retard à l’issue d’un délai de 6 mois suivant la notification de la délibération.
Lire la délibération SAN-2024-020 de la CNIL du 5 décembre 2024
La CNIL dévoile son plan stratégique 2025-2028
Dans le cadre de son nouveau plan stratégique, la CNIL orientera son action autour de 4 axes clés :
Intelligence artificielle : Pressentie pour être l’autorité nationale de surveillance du marché, la CNIL entend promouvoir une IA éthique et respectueuse des droits, en assurant un contrôle de la conformité des systèmes d’IA et en mettant en œuvre une régulation équilibrée et effective.
Mineurs et numérique : L’objectif affiché est de protéger les mineurs et leurs données dans l’environnement numérique, notamment via le contrôle des fournisseurs de services en ligne destinés aux mineurs.
Cybersécurité : La CNIL souhaite renforcer la sécurité des données en accompagnant les individus et les organisations face aux violations de données et en renforçant le respect des règles de sécurité grâce à des contrôles et des sanctions.
Usages numériques du quotidien : L’autorité annonce poursuivre son plan d’action relatif aux applications mobiles et veillera au développement et au déploiement de systèmes d’identité numérique respectueux de la vie privée.
Lire le Plan stratégique 2025-2028 de la CNIL du 16 janvier 2025
IA Act : Première entrée en application du règlement et calendrier des prochaines étapes
Le premier volet de l’IA Act, relatif aux systèmes d’IA présentant des risques inacceptables, est entré en application le 2 février 2025. Concrètement, certaines utilisations de l’IA, jugées incompatibles avec les valeurs de l’Union européenne, sont désormais interdites telles que les systèmes de notation sociale, de police prédictive individuelle ou de reconnaissance des émotions.
Prochaines dates d’entrée en application :
- 2 août 2025 : application des règles relatives aux modèles d’IA à usage général (GPIA) et nomination des autorités compétentes des États membres.
- 2 août 2026 : mise en œuvre des obligations relatives aux systèmes d’IA à haut risque énumérés à l’annexe III (biométrie, infrastructures critiques, éducation, emploi…), des règles relatives aux sanctions et mise en place d’au moins un bac à sable réglementaire par les autorités des États membres.
- 2 août 2027 : mise en conformité des systèmes d’IA à haut risque de l’annexe I (jouets, dispositifs médicaux, équipement radio…).
Lire le Règlement (UE) 2024/1689 du 13 juin 2024
