Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Les news qui font l’actu
Dans le cadre du partenariat entre l’IDfrights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Revue de presse
Semaine du 14 février au 20 février 2022
Par les étudiants de M2 de droit des affaires et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse, Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Focus de la semaine
Clearview AI et la surveillance des baby sitters et femmes de ménage
Après avoir eu accès à un document financier de la société Clearview AI destinée à ses investisseurs en vue d’une nouvelle levée de fonds, le Washington Post a révélé que l’entreprise envisageait d’enrichir sa base de données et qu’elle est en bonne voie pour atteindre les « 100 milliards » de photographies de visages dans sa base de données d’ici un an.
Pourquoi ce focus :
La start-up new-yorkaise Clearview AI de reconnaissance faciale continue son inquiétante expansion. Elle est connue pour « aspirer » les photographies et les vidéos, de personnes majeures comme mineures, accessibles sur les réseaux sociaux comme Youtube, des blogs et autres sites comportant des photos, même apparemment des sites professionnels d’entreprises avec des photos de salariés.
Clearview AI s’est présentée à l’origine comme un fournisseur d’une technologie de reconnaissance faciale biométrique destinée à des organismes publics de maintien de l’ordre afin de leur permettre de retrouver plus facilement des suspects à partir notamment d’enregistrements de vidéosurveillances.
Récemment, plusieurs membres du Congrès et des sénateurs américains ont exhorté le Département de la sécurité intérieure (DHS), le ministère de la Justice (DOJ), le ministère de la Défense (DOD), le ministère de l’Intérieur (DOI) et le ministère de la Santé et des Services sociaux (HHS), de mettre fin à leur utilisation de la technologie de reconnaissance faciale de Clearview AI. Les parlementaires ont exprimé de nombreuses inquiétudes quant au risque de perte d’anonymat dans l’espace public et la menace que représente cette technologie en particulier pour les communautés de couleur et immigrante.
Dans le document mis en lumière par le Washington Post, Cleaview AI se targue que son « index de visages » soit passé de 3 à plus de 10 milliards d’images depuis début 2020. L’entreprise qui a déjà levé 30 milliards de dollars récemment espère en lever 50 autres prochainement pour continuer sa progression et vise une clientèle plus étendue et notamment celle des employeurs désireux de surveiller leurs salariés mais aussi…leurs baby-sitters ou leurs femmes de ménage !
Mais la start-up ne s’arrête pas là car elle met en avant également de nouvelles technologies au-delà de la reconnaissance faciale. Elle envisage d’utiliser aussi la reconnaissance des plaques d’immatriculation et du suivi des mouvements ou de reconnaissance de marche, la localisation des personnes en fonction de l’arrière-plan des photos, la détection des armes à feu et de l’usage de drogues ou encore la reconnaissance d’empreintes digitales sans contact. Elle se vente aussi d’avoir aussi des outils plus performants que ceux des systèmes chinois, ce qui n’est guère rassurant, dans la mesure où en Chine, c’est un instrument de répression des opposants et des journalistes, violant gravement la vie privée et la liberté d’expression.
Certes des actions en justice sont en cours contre la start-up aux États-Unis en en Californie, en Illinois, à New York, au Vermont et en Virginie, ainsi qu’au Canada où un recours collectif devant le tribunal fédéral canadien a été formé.
Les pouvoirs publics de certains pays ont interdit d’utiliser Clearview AI comme cela a été le cas de certains États américains ou en Suède.
En Europe, l’ONG Privacy international a déposé plainte en mai 2021 dans 5 pays d’Europe devant les autorités de protection des données personnelles dont la CNIL qui en décembre a mis en demeure l’entreprise de cesser son « traitement illicite », et lui ordonne de « supprimer les données dans un délai de 2 mois ». Mais rien n’y fait, Clearview AI continue son expansion, ses levées de fond massives et son activité prédatrice, sans être plus inquiétée ou arrêtée. Encore une preuve qu’il n’y pas de communauté de valeurs sur la personne humaine de part et d’autre de l’Atlantique.
Le point de vue étudiant
La traduction en français des lignes directrices 07/2020 du CEPD est arrivée !
Par Axelle Richeux, étudiante de Master 2 de droit des affaires, avec la collaboration de Isabelle Bufflier et Frédéric Munier, professeurs SKEMA BS
À la lumière de la récente traduction française des lignes directrices 07/2020 par le Comité Européen de la Protection des Données (CEPD), chargé d’une application harmonisée du RGPD au sein de l’UE, l’occasion est toute trouvée pour effectuer un rappel de ce texte adopté en juillet 2021, véritable guide pour les acteurs du traitement de données à caractère personnel. Le CEPD répond à différentes problématiques soulevées après la rédaction du RGPD, entré en application le 25 mai 2018. L’Union Européenne s’est attelée, on le sait, à ériger un cadre réglementaire relativement uniforme, autour du traitement des données à caractère personnel, un domaine sans frontière tangible et en constante évolution, et perfectionner ce cadre au fil de son utilisation était inévitable au regard de sa complexité et des 27 États membres concernés.
L’objectif des lignes directrices 07/2020 est de définir avec précision le rôle de chaque acteur du traitement des données. En effet, il est apparu difficile dans plusieurs structures de désigner clairement la personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de réaliser la collecte des données, leur enregistrement, la façon de les organiser, de les structurer et de les conserver, mais aussi de les modifier, de les transmettre et de les utiliser sans oublier leur effacement puis leur destruction. Toutes ces étapes étant parfois supervisées par différentes personnes ou organismes, il devient plus difficile de désigner l’acteur qui sera responsable d’assurer et de démontrer que les principes du RGPD ont été respectés durant tout le processus. Ainsi le CEPD donne-t-il des précisions quant à la façon de désigner le responsable de traitement et dans certains cas de souligner l’existence d’une coresponsabilité entre acteurs déterminant conjointement les finalités et moyens du traitement : ce qui en l’espèce est fréquent aux vues de la complexité de cette activité.
Il convient de rappeler que le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement, dès lors que les données personnelles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’Union Européenne. Ainsi, les sous-traitants du responsable de traitement se voient imposés à leur tour des obligations spécifiques et doivent constamment aider les responsables de traitement dans leurs mission d’accountability. Le CEPD par ce texte vient donc guider ces différents acteurs et trace les frontières des notions de responsable de traitement, de responsable conjoint et de sous-traitant pour déterminer ensuite les obligations et responsabilités de chacun. Cette démarche de répartition des rôles ne se dérobe pas aux textes antérieurs européens, elle apporte des précisions mais doit être appréhendée à la lumière du RGPD et des arrêts de la CJUE en matière de protection des données à caractère personnel.
La première difficulté de répartition des rôles est due aux prises de décisions dans la mise en place du traitement. Si la prise de décision quant à la finalité et aux moyens choisis pour traiter les données revient le plus souvent au responsable de traitement, il arrive que des sous-traitants soient amenés à prendre des décisions sur des étapes du processus qui leur sont déléguées. Comment différencier les sous-traitants et le responsable de traitement ? Lorsque se référer au contrat ou à la loi, qui dans certains cas précise qui est le responsable de traitement, ne suffit pas, le CEPD propose de faire une distinction entre les moyens essentiels étroitement liés à la finalité du traitement et les moyens non essentiels sur des aspects pratiques. Les prises de décisions liées aux moyens essentiels permettront de qualifier le responsable de traitement. Sont compris comme des moyens essentiels, le choix du type de données traitées, la durée du traitement, les catégories de destinataires et de personnes concernées mais également les questions de licéité, nécessité et proportion du traitement.
Après la détermination du responsable de traitement, par déduction, le sous-traitant est une entité distincte de celui-ci qui agit pour son compte et suit ses instructions. Dès que le sous-traitant va au-delà des instructions du responsable et traite les données pour sa propre finalité, il devient un responsable de traitement. Par ailleurs pour identifier le responsable conjoint, c’est le critère de la participation conjointe des entités à la détermination de la finalité et des moyens de traitement que vont venir clarifier les lignes directrices. Cette participation peut prendre la forme d’une décision commune ou bien de décisions convergentes établies par différents acteurs qui se complètent et qui sont impérativement nécessaires à la réalisation du traitement et à sa finalité. Ainsi, si le traitement est impossible sans l’un des acteurs, ce dernier devient un responsable conjoint. Le critère de l’absence d’accès aux données n’est pas opérant, de même que l’utilisation d’un système ou d’une infrastructure commune ne suffit pas à définir une responsabilité conjointe. Une fois ces notions fonctionnelles définies, le CEPD revient sur les obligations de chacun.
S’agissant de la relation entre le responsable de traitement et ses sous-traitants, une précision est apportée sur les critères que doit utiliser le responsable pour choisir les personnes à qui il délègue certaines tâches et avec lesquelles il devra obligatoirement être lié par un contrat écrit. Ces garanties suffisantes s’évaluent au regard de l’expertise du sous-traitant, de sa fiabilité, de ses ressources, de sa réputation sur le marché et de son adhésion à un code de conduite ou à un mécanisme de certification. Enfin, les lignes directrices disposent que les responsables conjoints devront, quant à eux, signer un contrat s’apparentant à un contrat d’entreprise contraignant dans lequel le rôle de chaque responsable sera clairement défini permettant aux personnes concernées par le traitement de leurs données de savoir envers qui elle devront faire jouer leurs droits en cas de non-respect des principes du RGPD. Le contrat devra également rappeler toutes les mentions obligatoires déjà prévues par ce règlement. Enfin un rappel est fait concernant l’importance pour chaque responsable de traiter les données à caractère personnel sur le fondement d’une base licite et de veiller à ce qu’elles ne soient pas traitées ultérieurement d’une manière incompatible.
Si ce texte était très attendu pour mettre un terme à certains questionnements quant à la répartition des rôles de chaque acteur dans le traitement des données à caractère personnel au regard du RGPD, des situations complexes subsistent dans un entre-deux flou. Flou qui ne pourra disparaître que par une analyse au cas par cas inévitable, mais très utile pour l’amélioration de ce cadre européen réglementaire qui s’érige au fil des problématiques rencontrées par les protagonistes de cette utilisation révolutionnaire de la data.
Contactez-nous
Adresse
179, boulevard Haussmann,
75008 Paris
ADRESSE
179, boulevard Haussmann,
75008 Paris
Restez informés
Recevez régulièrement les actualités de