CNIL-LINC - Privacy Research Day - Synthèse des panels

 Le Laboratoire d’Innovation Numérique de la Commission nationale Informatique et Libertés (CNIL) publie la synthèse des panels de la 2e édition du Privacy Research Day de juin dernier.

Ces panels portaient sur :

• Les effets du Règlement général sur la protection des données (RGPD) 5 ans après son entrée en vigueur;
• Les attaques par inférence et (ré)identification;
• - Le point de vue des utilisateurs quant à la réglementation du RGPD au quotidien;
• - Peut-on faire confiance aux technologies améliorant la confidentialité (TAC ou PETS, pour Privacy Enhancing Technologies);
• - L’intelligence artificielle en pratique.

Applications mobiles - Consultation de la CNIL sur son projet de recommandation

 La Commission nationale de l'informatique et des libertés (CNIL) lance une consultation publique sur son projet de recommandation au sujet des applications mobiles. Cette consultation se termine le 8 octobre 2023.

Le projet de recommandation vise principalement à:  

• clarifier et encadrer le rôle de chacun des acteurs intervenants dans cet écosystème à savoir: les éditeurs, les développeurs, les fournisseurs de kits de développement logiciel, les fournisseurs de systèmes d’exploitation et les fournisseur de magasins d’application; 
• assurer une information et un recueil du consentement respectueux des utilisateurs; et
• favoriser les bonnes pratiques au bénéfice des utilisateurs.

Cette consultation s’inscrit dans le cadre du plan d’action de la CNIL à ce sujet présenté en novembre 2022.

Un appel à contributions a eu lieu en janvier 2023 afin de mieux appréhender l’écosystème en termes de modèles d’affaires et d’incitations économiques.

La synthèse des contributions est publiée dans le document « Collecte des données dans les applications mobiles: les enjeux économiques ».

API, Protection des données et de l’environnement, Applications mobiles, Menaces informatiques

Parmi les lectures de ces derniers jours:

1. Recommandation de la CNIL sur l’utilisation des interfaces de programmation applicatives (API)

Observant « une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés » et « l’intérêt croissant dans la réutilisation des données pour diverses finalités », la CNIL publie une recommandation qui « vise à identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en oeuvre et leur utilisation ».

Ainsi en plus de mettre l’accent sur le rôle du détenteur des données, du gestionnaire d’API et du réutilsateur, la CNIL mentionne « qu’une analyse au cas par cas est indispensable pour définir la qualification juridique des acteurs, et ainsi déterminer sur quel(s) acteur(s), à quel titre et dans quelle mesure, pèse la responsabilité de tenir compte des recommandations [générales et spécifiques exposées].

Elle précise aussi que

• « le partage par le biais d’une API permet une meilleur supervision du partage des données, d’une part en contrôlant les accès, le degré de précision des données transmises et, le cas échéant, les finalités d’utilisation des données et, d’autre part, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisation, en permettant la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits et notamment du droit à la portabilité, etc.) »;
• « les objectifs suivants devraient être considérés comme prioritaires lors de la mise en oeuvre de mesures visant à réduire les risques: la minimisation des données échangées; l’exactitude des données sources; la traçabilité des accès; le gouvernance et le respect des droits; [et] la sécurité. [Ces objectifs] sont à considérer dans le contexte du partage de données, selon la vraisemblance et la gravité des risques associés »;
• « les organismes impliqués dans le partage de données devraient se coordonner pour fournir une information claire et complète aux personnes concernant le traitement de mise à disposition de leurs données à caractère personnel » et ce, en insistant notamment sur les mesures de traçabilité, la journalisation des accès et des actions, description détaillée des données partagées, fréquence d’échantillonage ou encore les opérations réalisées en amont (i.e pseudonymisation, anonymisation);
• « lorsqu’une personne concernée par le partage retire son consentement, exerce sont droit d’opposition ou à la limitation, l’API devrait intégrer un dispositif technique permettant d’exclure automatiquement du champ du partage les données concernées », et « l’API devrait également intégrer un dispositif spécifique permettant au détenteur de données d’informer chaque réutilisateur auquel les données ont été communiquées, de toute rectification, effacement de données ou limitation de traitement faisant suite à l’exercice des droits par les personnes concernées […] ». 

Pour plus de détails: Commission nationale de l’informatique et des libertés, « La CNIL publie une recommandation technique relative au partage de données par API », Actualité, 7 juillet 2023 (https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-technique-relative-au-partage-de-donnees-par-api)

2. 9e Cahier Innovation & Prospective du Laboratoire d’innovation numérique de la CNIL: « Données, empreinte et libertés » 

Après avoir fait un état des lieux entre autres en ce qui concerne l’empreinte numérique, les centres de données (data centers), l’intelligence artificielle, les chaines de bloc (blockchain), la réalité virtuelle et augmentée, la publicité ciblée, le chiffrement ou encore le reconditionnement, la CNIL donne des pistes pour rapprocher la protection des données et de l’environnement: 

• Promouvoir une informatique sobre et frugale;
• Renforcer, documenter et rendre interopérables les bonnes pratiques sectorielles;
• Engager un débat sur les libertés et la transparence;
• Fournir les moyen d’un partage vertueux des données environnementales;
• Poursuivre l’engagement de la CNIL dans sa transition environnementale

Pour plus de détails: Commission nationale de l’informatique et des libertés, « Données, empreinte et libertés : la CNIL présente son nouveau cahier Innovation & Prospective », Actualité, 4 juillet 2023 (https://www.cnil.fr/fr/donnees-empreinte-et-libertes-la-cnil-presente-son-nouveau-cahier-innovation-prospective)

3. Blogue du Commissariat à la protection de la vie privée du Canada afin de promouvoir les pratiques exemplaires relatives aux applications mobiles … Pour plus de détails: https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230629/

4. Agence nationale de la sécurité des systèmes d’information, État de la menace informatique contre les cabinets d’avocats, 27 juin 2023, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf