< Jeux Olympiques 2024 : la protection spéciale des « propriétés olympiques »
30.07.2024 11:44 Age: 115 days
Category: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
Numérique : la stratégie du choc règlementaire
AI ACT, cloud computing, conformité RGPD, cybersécurité, NIS 2 : Notre équipe IT/DATA revient sur les développements et les évolutions règlementaires qui ont marqué la première partie de l'année.
- Intelligence artificielle / machine learning :
- Publication officielle le 12 juillet 2024 du nouveau règlement européen sur l’intelligence artificielle (AI Act) dont l’entrée en application se fera progressivement à partir du 2 février 2025. Application à toute personne qui fabrique, utilise, importe ou distribue des systèmes d’IA (SIA) dans l’UE, avec une classification des systèmes IA en fonction de leur niveau de risque (interdiction de SIA à risque inacceptable, exigences renforcées d’analyse d’impact et de gestion de risques pour les SIA à haut risque, obligations de transparence pour des SIA à risque spécifique, dispense pour les systèmes considérés comme présentant un « risque minimal » ...)
- Publication le 8 avril 2024 des recommandations de la CNIL sur le développement de systèmes d’IA. Il s’agit d’une série de recommandations sur la conformité des SIA en matière de protection des données à caractère personnel et notamment sur les bases légales pouvant justifier les traitements de données personnelles par des SIA, la réutilisation de données pour entrainer les modèles et la réalisation d’analyses d’impact en amont de l’utilisation de ces systèmes.
- Publication le 18 juillet 2024 des premières précisions de la CNIL en matière d’IA générative.
- A retenir : Si vous comptez déployer des systèmes d’IA au sein de votre organisme, vous devez dès maintenant prendre en compte les recommandations de la CNIL si ces systèmes traitent des données à caractère personnel et d’anticiper les impacts de l’IA Act en amont de sa rentrée en application (à partir du 2 février 2025), en mettant en place une évaluation systématique du niveau de risque de vos SIA.
- Cloud computing / transferts de données :
- Promulgation le 21 mai 2024 de la nouvelle « Loi SREN » (loi visant à sécuriser et à réguler l'espace numérique) et son article 31 imposant des restrictions sur l’utilisation de solutions Cloud détenus par les actionnaires non-européens, pour l’hébergement de données d’une « sensibilité particulière », dont la violation serait « susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».
- Recommandation de la CNIL du 19 juillet 2024 d’adopter de restrictions similaires dans le projet de Norme européenne « EUCS » (European Cybersecurity Certification Scheme for Cloud Services)
- Publication par l’ANSSI le 9 juillet 2024 de ses recommandations pour l’hébergement des systèmes d’information sensibles dans le cloud. L’ANSSI recommande notamment de mener une étude d’impact et analyse des risques avant de migrer ses systèmes d’informations vers des solutions cloud, d’être vigilant sur la configuration des options de sécurité, de prévoir une clause de réversibilité afin de limiter sa dépendance à une seule offre et de former ses équipes techniques et de projet à l’usage des technologies en question.
- Publication par la CNIL le 8 janvier 2024 de son projet de guide pour conduire des analyses d’impact des transferts des données (AITD) / Transfer impact assessments (TIA) sur les transferts de données en dehors de l'Espace économique européen (EEE), en lien notamment avec les services cloud.
- A retenir :Malgré l’adoption en juillet 2023 de la décision d’adéquation concernant les Etats-Unis dans le cadre du « Data Privacy Framework », certaines administrations publiques, ainsi que leurs fournisseurs, sont potentiellement concernées par les exigences de la nouvelle loi SREN. Dès lors, il convient de réfléchir sur votre stratégie d’informatique en nuage (Cloud) si vous manipulez des données (à caractère personnel ou non) relevant d’une sensibilité particulière (ex. propriété intellectuelle et/ou industrielle, recherche, santé …). Il convient par ailleurs de prendre en compte les nouvelles recommandations de l’ANSSI et de réaliser des TIA en amont si votre solution cloud implique un traitement de données hors UE.
- Marketing / consentement :
- Sanction de la CNIL du 9 avril 2024 de la société HUBSIDE.STORE d’une amende de 525 000 euros, notamment pour avoir utilisé des données fournies par des courtiers en données / data brokers, sans s’assurer que les personnes concernées avaient donnée un consentement valable. Le courtiers en question avaient utilisé des formulaires jugés trompeurs pour collecter des consentements marketing via des jeux en ligne. La CNIL a considéré qu’il appartenait à la société qui achetait les fichiers de s’assurer de la validité des consentements et qu’en l’occurrence, « aucun contrôle effectif de ces exigences n’était opéré en aval ».
- Arrêt de la CJUE du 7 mars 2024 dans l’affaire IAB Europe. La Cour de justice de l’Union européenne (CJUE) a considéré que la « TC String » (Transparency and Consent String), contenant les préférences publicitaires d’un utilisateur, constituait des données à caractère personnel et qu’une organisation sectorielle qui proposait à ses membres l’utilisation de ce dispositif pourrait être considérée comme responsable de traitement conjointe dans ce contexte. L’arrêt de la CJUE suivait la décision de l’autorité é de protection des données Belge de sanctionner l’IAB à hauteur de 250.000 € pour absence de base légale valable justifiant le traitement des données personnelles dans le cadre de la mise en place de la TC String (consentement non-éclairé).
- Etude de la CNIL du 4 juillet 2024 sur la « fin de cookies tiers » et les solutions pouvant les remplacer, notamment leretail media(soit, le fait de placer des publicités sur un parcours d’achat en ligne). D’après la CNIL, le principal point d’attention retenu de l’étude est « un phénomène d’ouverture et de réutilisation des données d’achat» sur lequel la CNIL « sera particulièrement vigilante ».
- Annonce de Google de 22 juillet du maintien des cookies tiers sur Chrome
- A retenir : Il faut continuer à être très vigilant sur la qualité des consentements collectés à des fins de prospection, que ce soit par message électronique (mail ou SMS) ou en ligne (cookies publicitaires / campagnes web, search et/ou display). En cas d’utilisation de courtiers en données, il convient de mettre en place un processus pour contrôler la qualité des consentements collectés.
- Cybersécurité :
- Publication par l’ANSSI le 16 janvier 2024 d’un corpus de guides dédiés à la remédiation d’incidents cyber, avec des volets stratégique (« Les clés de décision »), opérationnel (« piloter la remédiation ») et technique (« la réédition du Tier 0 Active Directory).
- Publication par la CNIL le 26 mars 2024 d’une nouvelle édition de son guide de sécurité des données personnelles. Cette nouvelle version continent de nouvelle fiches sur l’IA, le cloud, les applications mobiles et les API.
- FAQ de l’ANSSI du 1mai 2024 sur Loi du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030. Dans le cadre de la consultation publique concernant le projet de décret de mise en œuvre de ladite loi, l’ANSSI a publié des FAQ concernant notamment l’obligation de signalement de vulnérabilités et incidents par les éditeurs de logiciels.
A retenir : Compte tenu de l’obligation générale de sécurité des données à caractère personnel en vertu de l’article 32 du RGPD et de l’approche par les risques requise dans ce contexte, il convent de vérifier ses pratiques en la matière et de les actualiser, le cas échéant, pour prendre en compte les recommandations de l’ANSSI et de la CNIL. Si vous êtes éditeur de logiciel, il convient de prendre en compte, dans vos procédures de gestion des incidents, l’obligation de signalement à l’ANSSI. Pour certains acteurs, il convient d’anticiper les exigences de la Directive NIS2 en train de transposition en droit français (acteurs importants et essentiels) et du Règlement DORA (secteur financier).
Notre équipe DATA se tient à votre disposition pour discuter de ces problématiques et vous aider sur la conformité de votre projets.
Inscrivez-vous à nos prochaines formations IA et RGPD