- Le blog et les actualités de Witik
- La revue des actualités RGPD – Novembre 2023
La revue des actualités RGPD – Novembre 2023
En novembre, le secteur juridique a été animé par des développements significatifs dans la cybersécurité et la protection des données. Au cœur de l'actualité, la Quadrature du Net a dénoncé l'usage d'algorithmes discriminatoires par la CAF, et l'ANSSI a étendu son influence avec un nouveau site à Rennes. Parallèlement, un accord international sur la sécurité de l'IA a été signé, tandis que l'initiative internationale contre les ransomwares a pris de l'ampleur. Ces événements soulignent l'importance croissante de la cybersécurité et de la protection des données dans le monde contemporain.
Découvrez toutes les actualités juridiques de ces dernières semaines !
La Quadrature du Net dénonce la discrimination algorithmique de la CAF
La Quadrature du Net a révélé que la Caisse d’Allocations Familiales (CAF) a utilisé des algorithmes discriminatoires pour détecter la fraude sociale entre 2010 et 2018. L'association a analysé le code source de ces algorithmes, qui calculaient un "score de suspicion" basé sur près de 40 critères incluant la situation financière, familiale, professionnelle, le lieu de résidence, et les interactions avec les services de la CAF. Ces critères ciblaient de manière disproportionnée les individus précaires, y compris ceux bénéficiant de l’Allocation Adulte Handicapé (AAH) et ayant un emploi. En tout, environ 32 millions de personnes, y compris 13 millions d'enfants, auraient été affectées par ces algorithmes. La CAF a refusé de divulguer le code source de son dernier algorithme, affirmant sa neutralité malgré les critiques. Par ailleurs, la Quadrature du Net a aussi souligné une fuite de données personnelles de 10 000 allocataires de la CAF de Gironde, causée par un prestataire.
L’ANSSI étend son réseau avec un nouveau site à Rennes
L'ANSSI a inauguré un site à Rennes, marquant son expansion hors de Paris. Le site, baptisé ArteFact, renforce la cybersécurité et la cyberdéfense en France. Rennes, un centre important de cybersécurité, a été choisie pour son rôle stratégique et son écosystème dynamique. Cinquante agents y travaillent déjà, avec un objectif de 200 d'ici 2025. Cette expansion répond à la montée des cybermenaces, accentuée par la situation géopolitique actuelle.
Accord international sur la sécurité de l'IA : Une avancée non contraignante
Dix-huit pays, dont la France, les États-Unis, et le Royaume-Uni, ont signé un accord non contraignant sur la sécurité de l'intelligence artificielle, avec l'absence notable de la Chine. Ce document comprend 17 recommandations pour encourager les entreprises à développer des systèmes d'IA sécurisés. Bien que l'accord symbolise une collaboration internationale, il manque de mesures concrètes et obligatoires, reflétant une réticence à réglementer fortement le secteur de l'IA.
Initiative internationale de lutte contre les ransomwares : Mesures et coopérations renforcées
L'International Counter Ransomware Initiative (CRI), regroupant une cinquantaine de pays, l'UE, Interpol et Europol, a dévoilé des mesures clés pour lutter contre les rançongiciels lors d'un sommet à Washington. Face à l'augmentation des attaques, y compris contre des États, comme le Costa Rica en 2022, la CRI a adopté une approche coordonnée. Les États membres s'engagent à ne pas payer les rançons et à partager des informations pour contrer les cybercriminels. Le Département du Trésor américain va créer une liste noire des portefeuilles de cryptomonnaies liés aux ransomwares, un secteur où plus de 450 millions de dollars en transactions ont été repérés au premier semestre 2023. La coopération inclut aussi l'assistance en cas d'attaques, comme le soutien de l'ANSSI au Monténégro. L'initiative promeut l'utilisation de l'intelligence artificielle et des programmes de mentorat pour améliorer la détection des menaces et renforcer les capacités de réponse.
La complexité de la coopération internationale dans la cybersécurité
L'article met en lumière les défis de la coopération internationale face à l'escalade des cybermenaces. La cybercriminalité, dont les coûts s'élèvent à des trillions, nécessite une stratégie commune entre les États. Cependant, la coopération est freinée par des intérêts nationaux divergents et une réticence au partage d'informations. Cette situation complexifie le travail des RSSI, qui peinent à échanger des données essentielles pour la sécurité. L’auteur souligne l'importance d'une collaboration plus étroite et d'un cadre légal international pour une lutte efficace contre les cybermenaces.
Microsoft investit 3,2 milliards en Australie pour la cybersécurité
Microsoft s'engage à investir 3,2 milliards de dollars en Australie pour renforcer la cybersécurité et le cloud computing. Cet investissement comprend l'ajout de 9 nouveaux datacenters aux 20 existants, en collaboration avec l'agence de cyberespionnage australienne. Cette initiative vise à protéger le pays contre les cybermenaces, suite à des attaques majeures en 2022, et à positionner l'Australie comme un leader de l'économie numérique.
LockBit pirate Boeing et divulgue des données sensibles
Le groupe de hackers LockBit a publié 50 Go de données volées à Boeing, suite à une attaque de ransomware en octobre. Ces données incluent des e-mails et des sauvegardes de systèmes informatiques. LockBit menace de divulguer plus de données, affirmant détenir environ 500 Go, si Boeing ne coopère pas. Boeing assure que cette attaque n'affecte pas la sécurité des vols et enquête avec les autorités, sans confirmer la nature des données compromises. LockBit propose également un service de ransomware-as-a-service, étant responsable d'un tiers des attaques de ransomware détectées en 2022.
La CNIL prononce dix nouvelles sanctions dans le cadre de sa procédure simplifiée
Géolocalisation des véhicules et vidéosurveillance des salariés, minimisation des données, droit d’opposition : en réponse aux nombreuses plaintes reçues sur ces sujets, la CNIL a rendu dix nouvelles décisions dans le cadre de sa procédure de sanction simplifiée. Pour rappel, lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté, une procédure de sanction simplifiée peut être engagée à l’encontre d’un organisme si l'affaire ne présente pas de difficulté particulière. Cela peut être le cas au regard de l’existence d'une jurisprudence établie, des décisions précédemment rendues par la formation restreinte, et/ou de la simplicité des questions de fait et de droit qu'elle présente à trancher.
La CNIL publie des fiches thématiques pour les professionnels du sport
Afin d’accompagner l’ensemble des acteurs de l’écosystème du sport dans leur mise en conformité, la CNIL publie deux premières fiches de sensibilisation RGPD. Ces travaux ont été menés en étroite collaboration avec le ministère des sports et des Jeux olympiques et paralympiques, le Comité national olympique et sportif français (CNOSF), et l’équipe en charge du Sport Data Hub (SDH). La CNIL a également bénéficié de l’appui du Comité Paralympique et Sportif Français (CPSF), du service interministériel des Archives de France et d’autres acteurs du secteur sportif.
45e Assemblée mondiale pour la protection de la vie privée (GPA)
L’Assemblée mondiale pour la protection de la vie privée (ou Global Privacy Assembly), qui rassemble les autorités de protection des données de plus de 80 pays, a adopté sept résolutions dont deux sur l’intelligence artificielle lors de sa réunion annuelle d’octobre 2023. Créée en 1979, l’Assemblée mondiale pour la protection de la vie privée (Global Privacy Assembly ou GPA en anglais) rassemble les autorités de protection des données de plus de 80 pays afin d’échanger sur des sujets à fort enjeu pour la protection des données personnelles et de la vie privée.
Pour consulter une synthèse de cette assemblée.
Sanction de la CNIL contre deux ministères pour mauvais usage de données
La CNIL a réprimandé les ministères de la Transformation et de la Fonction publiques et de l’Économie pour avoir utilisé abusivement les données personnelles des agents publics afin de promouvoir la réforme des retraites. En envoyant une vidéo via le fichier ENSAP, normalement destiné à la communication administrative, les ministères ont enfreint les règles du décret régissant l'usage de ce fichier, détournant ainsi son objectif initial pour un message de nature politique.
Pour consulter le communiqué de la CNIL.
Durées de conservation dans le secteur social et médico-social : la CNIL publie un référentiel et une fiche pratique
La CNIL publie un référentiel « durées de conservation » pour les traitements les plus fréquents dans les secteurs social et médico-social et une fiche pratique proposant une méthodologie aux professionnels concernés. Ce référentiel a pour objectif de guider, de manière opérationnelle, les acteurs des secteurs social et médico-social dans l’identification et la détermination des durées de conservation pertinentes pour les traitements qu’ils mettent en œuvre.
Pour consulter le nouveau référentiel.
L'EDPB clarifie les techniques de traçage couvertes par la directive "vie privée et communications électroniques".
L'EDPB a adopté des lignes directrices sur le champ d'application technique de l'article 5, paragraphe 3, de la directive "vie privée et communications électroniques". Ces lignes directrices visent à préciser quelles opérations techniques, en particulier les techniques de traçage nouvelles et émergentes, sont couvertes par la directive, et à offrir une plus grande sécurité juridique aux responsables du traitement des données et aux particuliers.
Découvrir les nouvelles lignes directrices.
« Bac à sable » intelligence artificielle et services publics : la CNIL accompagne 8 projets innovants
La CNIL a sélectionné quatre projets d’intelligence artificielle (IA) visant à améliorer les services publics. Ces lauréats du « bac à sable » vont bénéficier d’un accompagnement personnalisé sur plusieurs mois. La CNIL conseillera aussi quatre autres projets présentant, eux aussi, un intérêt pour la protection des données.
CNIL et l'usage sécurisé des API pour le partage de données
La CNIL recommande l'utilisation des API pour le partage de données, tout en insistant sur l'importance de suivre des pratiques sécurisées. La recommandation, applicable à tous les types d'organismes et de partages de données, souligne la nécessité d'une méthodologie rigoureuse et d'une analyse de risque, prenant en compte différents facteurs comme le type d'accès aux données et la sécurité des techniques d'authentification. La CNIL propose également des outils et des exemples pratiques pour aider à la mise en œuvre de ces recommandations, en vue de garantir la sécurité et la conformité des données partagées.