Le 16 novembre 2021, la ville de Vienne a été félicitée pour sa mise en œuvre responsable et durable de l’intelligence artificielle. La capitale autrichienne obtient ainsi la certification éthique IEEE CertifiAIEd AI Ethics (AIE). Quatre critères sont pris en compte dans ce label : la transparence, la responsabilité, la prévention contre les biais algorithmiques et enfin la confidentialité. Avec ce label, Vienne entend renforcer la confiance dans ses entreprises publiques et privées.

Pourquoi cette actu ? Vienne se montre précurseur en complétant les réglementations déjà existantes sur l’IA par une action gouvernementale. Elle montre l’exemple et encourage ainsi d’autres villes et États à suivre sa voie pour converger vers un humanisme numérique et donner confiance dans l’IA à ses usagers. S’il nous semble difficile d’évaluer les retombées concrètes d’une telle démarche, il nous apparaît en tout cas intéressant de souligner que la course à l’IA est aussi une question de soft power.

Quel est le rôle du délégué à la protection des données ? Comment le désigner ? Quels moyens lui donner pour accomplir ses missions ? Le 16 novembre 2021, la CNIL a publié un guide pour répondre à toutes les questions concernant le rôle, la désignation, l’exercice et l’accompagnement du DPO (Data Protection Officer). Il est rappelé que la fonction principale du délégué à la protection des données est d’informer et de conseiller le responsable de traitement, de contrôler le respect des obligations légales de l’organisme et d’agir comme point de contact avec la CNIL.

Pourquoi cette actu ? cette actualité nous paraît notable pour trois raisons. Tout d’abord, comme le rappelle la CNIL dans son introduction, “le métier de délégué à la protection des données (DPD, ou DPO) est devenu essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. Désormais, le traitement de données personnelles est une composante fondamentale de la plupart des secteurs d’activité.” Ensuite, récemment, nous avons pu constater une forte augmentation des notifications ou condamnations pour violation des données personnelles et DPO peut être un allié de poids pour prévenir ces violations. Enfin, il nous semble que la fonction de DPO emblématise une des tendances importantes de notre temps : la consilience ou « convergence des savoirs ». Pour exercer cette fonction, il faut en effet avoir des compétences larges associant l’informatique et le droit. L’avenir est certainement à l’hybridation des savoirs et savoir-faire.

Le 17 novembre 2021, Les Eurodéputés des principaux ont trouvé un accord sur le contenu du futur Digital Markets Act. Ils ont notamment décidé de placer à 80 milliards de dollars de capitalisation boursière (plutôt qu’à 65 comme proposé par la Commission) le seuil à partir duquel une entreprise est considérée comme un « gatekeeper » – un contrôleur d’accès – est susceptible d’être assujetti à davantage d’obligations et de sanctions. Entreront dans cette catégorie les grands groupes jouant un rôle d’intermédiaire dans l’accès à l’information tels Google, Amazon, Meta, Microsoft mais aussi Alibaba et Booking. Ils ont par ailleurs opté pour de ne pas interdire totalement la publicité ciblée mais de lui imposer un cadre plus strict.

Pourquoi cette actu ? Il s’agit d’une avancée majeure au sein d’une révolution qui se prépare avec le Digital Markets Act, cette nouvelle réglementation qui a pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l’UE. C’est un travail colossal qui touche tous les secteurs de l’économie numérique européenne, allant des réseaux sociaux aux marketplaces, et permet enfin de réagir au niveau européen à la position plus que dominante des « gatekeepers » ciblés dans le DMA. Une affaire à suivre de près avec très certainement une réaction des acteurs les plus importants du marché, satisfaits sans doute que le plafond de régulation ait été remonté à un niveau plus élevé. On le voit ici, le texte en préparation rebat les cartes et vient mettre à mal l’idée selon laquelle les pouvoirs publics seraient impuissants face aux GAFAM.

Une importante enquête menée par le magazine américain « Wired » montre que de nombreux employés d’Amazon ont eu accès à des documents établissant que les coordonnées ou encore l’historique d’achats des consommateurs ont été insuffisamment protégés par l’entreprise de commerce en ligne. Sont cités notamment des exemples d’employés consultant l’historique des commandes de célébrités ou de conjoints, violant ainsi les règles de l’entreprise. L’enquête de Wired révèle également qu’Amazon n’a pas toujours pris les précautions nécessaires pour protéger les données personnelles de ses clients d’entreprises tierces, notamment d’entreprises de marketing proposant leurs services aux vendeurs inscrits sur sa plate-forme. Dans un communiqué, Amazon « rejette avec force l’idée que ces abus soient courants ».

Pourquoi cette actu ? Les Big techs sont en ce moment sur la sellette en matière de non-respect des données personnelles de leurs clients. En Europe, le RGDP est la norme prégnante et de nombreuses poursuites et condamnations ont lieu, mais aux États-Unis, les citoyens américains ne semblent pas aussi bien protégés. L’affaire Cambridge Analytica ou encore l’invalidation du Safe Arboret du Privacy Schieldpar la CJUE avec les arrêts Schrems I et II ont amplement démontré que le niveau de protection des citoyens n’était pas équivalent aux États-Unis et en Europe. Les journalistes qui mènent des enquêtes comme le magazine the Wired constituent ainsi un rempart essentiel contre l’utilisation des données personnelles des citoyens américains contre leur gré. N’oublions pas non plus que le RGPD peut également trouver à s’appliquer aux États-Unis en vertu de son champ d’application extraterritorial.

Le 17 novembre 2021, la CNIL a publié un référentiel concernant la création des entrepôts de données de santé, à la suite de la consultation publique lancée en mars 2021. Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel qu’elle a publié en tenant compte des éléments pertinents récoltés.

Ce nouveau document permettra aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme pourra déclarer sa conformité. Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public.

Pourquoi cette actu ? Il est essentiel que le traitement des données de santé, données dites sensibles, qui ont fait l’objet d’un traitement accru depuis le début de la pandémie, notamment au travers du passe sanitaire, soit très encadré. Ce référentiel est donc particulièrement bienvenu, après que certains dysfonctionnements ont été signalésdans une émission télévisuelle. Ce référentiel, censé faciliter la tâche des professionnels, rappelle aussi aux responsables de traitement des données de santé de ces entrepôts que le consentement des personnes physiques concernées doit être au préalable obtenu, conformément aux règles essentielles posées par le RGPD.Ces personnesdoivent également pouvoir exercer leur droit d’accès, de rectification, d’effacement, de limitation de traitement et d’opposition.

Le 17 novembre 2021, les députés ont décidé d’adopter unanimement (52 voix pour et 0 contre) les deux propositions de loi visant d’une part à renforcer la protection des lanceurs d’alerte et d’autre part le rôle du Défenseur des droits en matière de signalement d’alerte. Ces textes doivent encore être discutés par le Sénat. Il faut noter que depuis décembre 2016 et la loi « Sapin II », la France est déjà régie par un cadre général d’alerte, jugé encore insuffisant et qui doit être amélioré par l’adoption de ces nouveaux textes. Au niveau européen, la directive du 23 novembre 2019 vient protéger les personnes qui signalent des violations du droit de l’Union. Ces propositions de loi viennent donc transposer les dispositions européennes dans le droit français qui doivent l’être avant le 17 décembre 2021.

Pourquoi cette actu ? Les lanceurs d’alerte se heurtent souvent à des intérêts puissants et vivent parfois des « drames humains ». Ils peuvent être discriminés, licenciés, voire poursuivis en justice en raison de leur action. Ils sont particulièrement exposés à des risques de représailles car ils remettent en cause souvent les dirigeants ou les entreprises auxquels ils appartiennent en mettant sur le devant de la scène médiatique des pratiques qu’ils jugent « illicites ». C’est pourquoi il nous semble très important de défendre leurs intérêts et de les protéger. Sans les lanceurs d’alerte, certains scandales n’auraient jamais pu émerger. On pense à Irène Frachon dans le dossier du Médiator ou encore à Edward Snowden dans l’affaire des écoutes de la NSA ou, dernièrement, à Frances Haugen à propos des Facebook files. Les textes en discussion sont également intéressants car ils définissent plus clairement la notion de lanceur d’alerte et le champ des informations pouvant être qualifiés d’alertes.

Les autorités de protection des données française, lituanienne et polonaise ont lancé une enquête contre Vinted.com, un site internet développé par une société lituanienne de vente de vêtements et d’objets de seconde main. A l’origine de l’affaire : des vendeurs de la plateforme se sont plaints d’avoir dû envoyer une copie de leur pièce d’identité afin de recevoir leur argent. Il s’agit alors de “contrôler la conformité du site au RGPD”. L’organisme lituanien est désigné comme autorité chef de file.

Pourquoi cette actu ? Vinted est un site internet très populaire, dont les ventes se sont considérablement développées pendant la pandémie et les périodes de confinement. En considération de son modèle économique, fondé sur la revente de vêtements de seconde main entre particuliers, il est tentant de penser que ce projet a de l’avenir tant pour des raisons économiques qu’environnementales, en ce qu’il permet de lutter contre la surproduction de textile. Toutefois, il est important que les consommateurs qui y font appel soient protégés tant au regard de leurs données personnelles que des pratiques commerciales développées. En effet, ce n’est pas la première fois que Vinted se trouve sous le feu des projecteurs. C’est ainsi qu’en mai dernier, l’association de consommateurs UFC-Quechoisir poursuivait Vinted pour pratiques commerciales trompeuses.