Panorama rapide de l’actualité « Technologies de l’information » des semaines des 21 et 28 octobre 2024

Sélection de l’actualité « Technologies de l’information » marquante des semaines des 21 et 28 octobre.

Données personnelles

La conservation des données de connexion à nouveau prolongée

  • Par un décret paru le 7 octobre 2024, le Premier ministre a ordonné aux opérateurs de communications électroniques, aux fournisseurs d’un service d’accès à Internet et aux fournisseurs de services d’hébergement, la conservation de certaines données de trafic et de localisation pour une durée d’un an, « aux fins de la sauvegarde de la sécurité nationale »
    S’agissant des opérateurs de communications électroniques, cette injonction concerne :
    - Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
    - Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
    - Les données techniques permettant d’identifier le ou les destinataires de la communication ;
    - Pour les opérations effectuées à l’aide de téléphones mobiles, les données permettant d’identifier la localisation de la communication.
    Concernant les fournisseurs d’un service d’accès à Internet, cette injonction s’applique :
    - Aux dates et heures de début et de fin de la connexion
    - Aux caractéristiques de la ligne de l’abonné ;
    Enfin, s’agissant des fournisseurs de services d’hébergement, cette injonction concerne :
    - L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
    - La nature de l’opération ;
    - Les date et heure de l’opération.
    Ce décret s’inscrit dans la continuité de trois précédents décrets (n° 2021-1363, n° 2022-1327 et n° 2023-933) ayant ordonné la conservation de certaines catégories de données de connexion pour une durée d’un an. (Décr. n° 2024-901 du 7 oct. 2024, portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion)

Le responsable de traitement est responsable de ses sous-traitants : éclairage du Comité européen de la protection

  • Le 7 octobre 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur le recours à des sous-traitants à la demande de l’autorité de contrôle danoise. Une telle intervention du CEPD permet d’aboutir à une interprétation harmonisée du règlement général sur la protection des données (RGPD).
    Cet avis aborde huit questions relatives à l’application de l’article 28 du RGPD sur le sous-traitant. Ces questions sont relatives à l’interprétation de certaines obligations auxquelles sont soumis les responsables du traitement, c’est-à-dire les personnes physiques ou morales déterminant les finalités et les moyens d’un traitement, lorsqu’ils font appel à plusieurs sous-traitants et sous-traitants ultérieurs. Elles se rapportent également à des précisions sur la formulation des contrats de sous-traitance.
    D’une part, conformément à l’article 28, § 1er, du RGPD, le responsable de traitement doit veiller à disposer des informations nécessaires sur ses sous-traitants. Il est également tenu d’engager des sous-traitants qui présentent des « garanties de sécurité suffisantes » pour mettre en œuvre des mesures « appropriées » afin que le traitement réponde effectivement aux exigences du RGPD et assure la protection des droits des personnes concernées. Cette obligation doit être remplie indépendamment du niveau de risque estimé de l’opération.
    D’autre part, s’agissant de la formulation des contrats entre le responsable du traitement et le sous-traitant, ce dernier est tenu de traiter les données à caractère personnel uniquement sur instruction documentée du responsable du traitement, sauf si la loi de l’Union européenne ou d’un autre État membre n’en décide autrement. Dans ce cas, il faudra le préciser dans le contrat par la mention « sauf si la législation de l’Union ou d’un État membre à laquelle le sous-traitant est soumis l’exige ». Toutefois, lorsque des données à caractère personnel sont transférées en dehors de l’Espace Économique Européen (EEE), cette mention ne garantit pas automatiquement une conformité avec le RGPD. Il faudra alors établir une distinction entre les lois des pays tiers qui compromettraient le niveau de protection garanti par le RGPD et celles qui ne le compromettraient pas. (EPC, Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s))

Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF

  • Le code de conduite européen établi par la Fédération EUCROP (European Clinical Research Organisations Federations), approuvé par la CNIL, définit les obligations de mise en conformité auxquelles sont tenus les prestataires de services en recherche clinique, les Clinical Research Organisations (CROs). Ces derniers fournissent, sur une base contractuelle et en qualité de sous-traitant des promoteurs au sens de l’article 28 du RGPD, des services dans le domaine de la recherche en santé. À la suite de l’approbation de la CNIL, le code est désormais opérationnel.
    Les CROs participent aux traitements de données personnelles à chaque stade de la recherche, de la conception à l’archivage. Parmi leurs services figurent : la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.
    Le code de conduite est donc un outil primordial pour assurer la conformité de ces traitements de données au RGPD. Il a été pensé comme un outil opérationnel pour les prestataires de services en recherche clinique. Il convient de souligner qu’il ne s’applique pas aux transferts de données en dehors de l’Union européenne.
    Le code de conduite est composé de deux parties. La première précise les mesures juridiques, organisationnelles et techniques permettant aux CROs d’être en conformité avec le RGPD dans leur activité de traitement des données. Sont notamment décrites les mesures concrètes à mettre en œuvre par les CROs et les mécanismes de gouvernance pour assurer l’effectivité du code de conduite. La seconde partie propose une grille pour aider les CROs à identifier leurs obligations en fonction des services fournis au promoteur. La bonne application du code de conduite et son effectivité sont assurées par un organisme de contrôle : le comité de supervision interne de la Fédération EUCROF.
    Le code de conduite doit permettre de favoriser la sécurité juridique et créer ainsi un climat de confiance envers les prestataires de services en recherche clinique. (CNIL, Délib.  2024-064 du 12 sept. 2024; CNIL, communiqué, 24 oct. 2024).

Référentiel de la vérification de l’âge

  • En application de la loi du 21 mai 2024 (dite « SREN »), le 9 octobre 2024, l’ARCOM a publié un référentiel qui détermine les exigences techniques minimales de vérification d’âge mis en place pour contrôler l’accès des mineurs aux contenus pornographiques sur Internet. La CNIL a rendu un avis favorable sur le référentiel de l’ARCOM.
    L’idée sous-jacente est de trouver des solutions de vérification d’âge qui concilient protection des données personnelles et respect de la vie privée. À ce titre, la CNIL rappelle que le RGPD n’est pas incompatible avec un contrôle de l’âge pour l’accès aux sites pornographiques, qui est prévu par la loi. En cas de non-respect des exigences fixées par ce référentiel, l’ARCOM pourra, après avis de la CNIL, mettre en demeure l’éditeur de s’y conformer et prononcer des sanctions pécuniaires.
    La CNIL précise toutefois que de tels dispositifs doivent être réservés pour certains contextes et combinés à d’autres dispositifs moins attentatoires à la vie privée tels que le contrôle parental et plus généralement l’éducation des mineurs au numérique.
    Le référentiel vient renforcer et encadrer les dispositifs de vérification d’âge mis en place auparavant. Il établit un ensemble d’exigences techniques que doivent mettre en place les éditeurs de service de communication en ligne quant à la vérification de l’âge et empêcher l’accès des mineurs à des contenus pornographiques. Parmi les dispositifs de vérification de l’âge respectant la vie privée et les données personnelles, le référentiel propose notamment le recours à un tiers vérificateur indépendant ou la solution du « double anonymat ».
    Il convient de préciser qu’aucune mesure n’est imposée : les services visés par ce référentiel sont libres de choisir les solutions de protection des mineurs de leur choix, dès lors qu’elles respectent les exigences techniques développées par le référentiel. (ARCOM, Délib. n° 2024-20 du 9 oct. 2024 et CNIL, Délib. n° 2024-067 du 26 sept. 2024).

Article 5 (3) de la directive eprivacy : lignes directrices du Comité européen de la protection des données, adoptées le 7 octobre 2024

  • Le 7 octobre 2024, le Comité européen de la protection des données (CEPD) a adopté la version finale de ses lignes directrices portant sur le champ d’application technique de l’article 5 (3) de la directive vie privée et communications électroniques, dite « ePrivacy », après une consultation publique de six semaines ayant débuté le 14 novembre 2023.
    L’article 5 (3) de la directive ePrivacy, adoptée le 12 juillet 2002 et modifiée le 25 novembre 2009, encadre des techniques de traçage, y compris les cookies, et garantit aux utilisateurs et abonnés la protection de leurs terminaux (notamment les smartphones et les ordinateurs) contre tout accès ou stockage d’information non désiré. Il conditionne ainsi ces opérations à leur consentement, sauf cas d’usage bien précis.
    Le CEPD a souhaité clarifier l’application de la directive aux d’autres méthodes de ciblage publicitaire que les cookies. Ces lignes directrices établissent donc une analyse technique du champ d’application dudit article, et clarifient ses différents critères.
    Ces lignes directrices précisent ainsi les contours des quatre critères d’application de l’article 5 (3) de la directive ePrivacy, tels que les notions d’« information », d’« équipement terminal d’un abonné ou d’un utilisateur », de « réseau de communications électroniques » et de « stockage d’informations, ou […] obtention de l’accès à des informations déjà stockées ». Dès lors que ces critères sont remplis, le traçage rentrera dans le champ d’application de la directive, et nécessitera le consentement de l’utilisateur ou de l’abonné pour tout utilisation ou stockage de ses informations.
    Les lignes directrices identifient également, de manière non exhaustive, un ensemble de cas d’usage représentatifs des pratiques de l’écosystème publicitaire, et en particulier pour les pratiques de suivi des URL, des pixels, des adresses IP, d’identifiants uniques et le traitement local de données. (Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive Version 2.0)

Intelligence artificielle

Les autorités de protection des données du G7 affirment leur rôle dans la gouvernance de l’IA : réunion du 7 au 11 octobre 2024

  • Rassemblées à Rome du 7 au 11 octobre 2024, les autorités de protection des données du G7, dont la CNIL, ont adopté une position commune sur leur rôle dans la promotion d’une intelligence artificielle (IA) digne de confiance et sur la nécessité de protéger les mineurs.
    Elles soulignent tout d’abord que, pour la majorité des technologies d’IA traitant des données personnelles, le droit de la protection des données personnelles s’applique, et ce même en présence de législations spécifiques en vigueur. Elles insistent également sur la nécessité de protéger les droits fondamentaux des mineurs dans le contexte de l’IA, compte tenu de leur vulnérabilité. Face aux risques liés aux décisions basées sur l’IA, à la désinformation et à l’utilisation de données de mineurs pour former des modèles, les autorités considèrent que la protection de leurs données doit être intégrée dès la conception du modèle. Ces dernières encouragent également la sensibilisation des mineurs à ces enjeux. À cette occasion, trois groupes de travail du G7 ont établi des documents plus techniques :
    - Le « groupe de travail sur la libre circulation des données dans un cadre de confiance » a comparé les mécanismes de certification du RGPD et du Global CBPR System (système international de certification de la conformité d’organismes pour le transfert transfrontalier), et a noté des différences entre ces derniers tels que l’existence de droits opposables et voies de droits effectives pour les personnes concernées, l’exigence d’une supervision indépendante et l’encadrement de l’accès des gouvernements aux données.
    - Le « groupe de travail sur les technologies émergentes » a travaillé sur les définitions données par les juridictions du G7 de « dé-identification », « pseudonymisation » et « anonymisation » afin d’arriver à une compréhension harmonisée au sein du G7.
    - Le « groupe de travail sur la coopération en matière d’application de la loi » a dressé la liste des priorités communes des autorités du G7 dans la mise en œuvre de leur pouvoir de contrôle.
    Un communiqué et un plan d’action ont également été établis par ces dernières afin de résumer leurs positions communes et leurs projets, en prévision de la prochaine rencontre qui se tiendra en 2025 au Canada.

Entraînement des modèles d’intelligence artificielle à l’aide de données personnelles: déclaration conjointe des CNIL

  • Cette déclaration est une nouvelle version de première déclaration adoptée en août 2023 à la suite des échanges avec l’industrie.
    Le principe est rappelé : les règles de protection des données personnelles s’appliquent à toutes les collectes indiscriminées de données (le « scraping »). Pour autant, il n’existe pas de solutions « miracles » contre les risques de collectes illégales. C’est la raison pour laquelle les CNIL insistent sur l’engagement des entreprises de respecter se cadre légal relatif aux données personnelles comme celui spécifique à l’IA. (Déclaration conjointe des CNIL sur l’entraînement des modèles d’intelligence artificielle à l’aide de données personnelles, le 28 oct. 2024)

Plateformes

Le blocage des sites pornographiques et le principe dit « du pays d’origine »

  • Par une décision du 17 octobre 2024, la Cour d’appel de Paris s’est prononcée sur le blocage de plusieurs sites pornographiques accessibles à des mineurs sur le territoire français.
    Des associations de la protection de l’enfance ont assigné plusieurs fournisseurs d’accès à internet afin qu’il leur soit enjoint, sur le fondement de l’article 6-I.8 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), de bloquer des sites pornographiques qui ne mettent pas en œuvre de dispositif de contrôle de la majorité autre que purement déclaratif contrairement à ce que prévoit l’article 227-24 du code pénal.
    Le 18 octobre 2023, la Cour de cassation a partiellement annulé la décision de la Cour d’appel de Paris qui avait déclaré irrecevables les demandes des associations fondées sur la LCEN, et a renvoyé les parties devant la cour d’appel de Paris autrement composée.
    Des sociétés chypriotes et tchèques qui éditent des contenus mis en ligne sur certains des sites litigieux sont alors intervenues volontairement à l’instance en soutenant que, par application du principe du pays d’origine résultant de la Directive sur le commerce électronique, elles ne sauraient être tenues par une réglementation française. Elles considèrent que le blocage des sites concernés sur le territoire français constituerait une mesure de restriction au principe de libre circulation des services de l’information applicable au sein de l’Union européenne.
    À ce titre, il convient de rappeler que le Conseil d’État a saisi la Cour de justice de l’Union européenne (CJUE) de trois questions préjudicielles sur ce point, à la suite d’un recours en annulation du Décret du 7 octobre 2021 relatif aux modalités de mise en œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique (v. Panorama rapide de l’actualité « Technologies de l’information » du 8 mars 2024).
    La cour d’appel a retenu qu’il était conforme à l’intérêt d’une bonne administration de la justice de surseoir à statuer dans l’attente de l’arrêt de la CJUE.
    En revanche, elle a enjoint aux fournisseurs établis en France de bloquer sous quinze jours les sites mettant à disposition des contenus pornographiques accessibles aux mineurs sur le territoire français. (Paris, 17 oct. 2024, n° 23/17972)

La modération de YouTube condamnée par le parquet russe le mardi 29 octobre 2024

  • La société YouTube a bloqué par le site d’hébergement de vidéos de nombreuses chaînes nationalistes de télévision russes dont RIA FAN et Tsargrad. Elle a été condamnée initialement à rétablir l’accès de ces médias russes sur YouTube. Cette injonction était assortie d’une amende de 100 000 roubles dont le montant a doublé chaque semaine en l’absence d’exécution de la décision. Dans le prolongement, le parquet russe a donc prononcé une peine inexécutable par la société du fait de son montant astronomique de deux « undécillion » de roubles soit 20 milliards de millions de milliards de dollars.

 

© Lefebvre Dalloz