Les actualités
Cet été 2024 a été riche en actualités ! Entre nouvelles règlementations, sanctions, recommandations, violations de données, plongez dans les dernières actualités de la conformité et de la protection des données personnelles.
I. Les évolutions règlementaires marquantes de l’été
A. Entrée en vigueur de l’AI Act : Un cadre juridique inédit pour l’IA en Europe
Le 1er août 2024, l’AI Act de l’Union Européenne (UE) est officiellement entré en vigueur, marquant une avancée majeure dans la régulation de l’intelligence artificielle (IA).
Cette règlementation vise à encadrer l’utilisation de l’IA, selon une approche par les risques pour la sécurité et les droits fondamentaux des citoyens. Elle vise également à promouvoir une utilisation responsable et innovante de l’IA au sein de l’UE.
Selon l’AI Act, les risques associés aux Systèmes d’Intelligence Artificielle (SIA) se déclinent en plusieurs catégories :
- Risque minimal : les systèmes d’IA tels que les filtres anti-spam n’ont pas d’obligations spécifiques, cependant les organismes peuvent élaborer des codes de conduite ;
- Risque faible : les organismes ayant recours à des systèmes comme les chatbots ont l’obligation d’informer clairement les utilisateurs qu’ils interagissent avec un SIA ;
- Risque élevé : les systèmes d’IA utilisés dans des domaines critiques comme les logiciels médicaux ou de recrutement doivent respecter des exigences incluant des procédures pour identifier, évaluer, minimiser les risques et une surveillance humaine ;
- Risque inacceptable : l’AI Act interdit les systèmes d’IA permettant le scoring social ou manipulant les décisions des utilisateurs.
L’effervescence européenne autour de la régulation de l’IA se reflète également au niveau national. Le 12 juillet, la CNIL a publié une série de questions-réponses en lien avec la publication de l’AI Act au Journal Officiel de l’Union Européenne, afin d’informer les organismes utilisant des systèmes d’IA.
B. NIS 2 : L’arrivée imminente de la nouvelle directive européenne de cybersécurité
La directive NIS 2, qui fait suite à la directive NIS (Network and Information Security) adoptée en 2016, entrera en vigueur le 18 octobre 2024.
Elle élargit le champ d’application de la première directive, initialement circonscrite aux Opérateurs de Service Essentiels et impose des règles strictes aux organismes opérant dans les secteurs critiques et hautement critiques indispensables au fonctionnement de la Nation.
NIS 2 concerne environ 15000 entités en France et leurs sous-traitants, opérant dans les domaines suivants :
- Énergie
- Transports
- Secteur bancaire
- Infrastructures de marchés financiers
- Santé
- Eau potable et eaux usées
- Infrastructures numériques
- Services TIC (Technologies de l’Information et de la Communication)
- Administration publique
- Espace
- Services postaux et d’expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production transformation et distribution de denrées alimentaires
- Fournisseurs numériques
- Recherche
- Fabrication de dispositifs médicaux, produits informatiques, électroniques et optiques, équipements électriques, machines, véhicules automobiles, remorques et semi-remorques, matériel de transport.
Les entreprises et administrations assujetties, qualifiées d’Entités Essentielles ou Entités Importantes selon leur taille, leur chiffre d’affaires et la criticité des services fournis, devront mettre en place des mesures pour gérer les risques de sécurité, signaler les incidents majeurs à l’ANSSI, et assurer une gouvernance de la cybersécurité.
En cas de non-conformité, des sanctions planchers s’appliquent :
- Au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les Entités Importantes,
- Au moins 10 millions d’euros ou 2% pour les Entités Essentielles.
II. Google renonce à la suppression des cookies tiers
En juillet 2024, Google a surpris l’industrie en annonçant renoncer à la suppression des cookies tiers.
Cette décision marque un revirement significatif par rapport aux plans initiaux de Google, qui prévoyaient la suppression des cookies tiers dans Chrome d’ici fin 2024, puis repoussée à 2025.
Google a choisi de poursuivre le développement de solutions qui équilibrent les besoins publicitaires et la protection de la vie privée des utilisateurs. Anthony Chavez, vice-président de Google chargé de la solution Privacy Sandbox, a déclaré : « au lieu de supprimer les cookies tiers, nous mettrons en place une nouvelle expérience dans Chrome permettant aux utilisateurs de faire des choix éclairés pour l’ensemble de leur navigation sur le Web, avec la possibilité d’ajuster ces choix à tout moment ».
III. Les sanctions marquantes de l’été 2024
A. Une municipalité sanctionnée par la CNIL
Les communes aussi ont l’obligation de désigner un DPO. C’est ce qu’a rappelé la CNIL en condamnant la ville de Kourou, en Guyane, au paiement de 6900 euros. Cette sanction fait suite à une précédente amende de 5000 euros en 2023, restée sans effet.
Depuis cette date, n’ayant ni désigné un DPO ni répondu aux demandes de la CNIL, la ville de Kourou a reçu une notification de liquidation d’astreinte partielle couvrant la période du 19 février au 4 avril 2024, s’élevant à 6 900 €. La ville s’expose à de nouvelles sanctions tant qu’elle n’aura pas désigné un DPO.
Cette sanction met en lumière l’importance de respecter l’obligation de désignation d’un DPO pour les organisations concernées.
B. L’alliance des régulateurs : La CNIL et ses homologues européens unissent leurs forces
Cet été, la CNIL et ses homologues européens ont intensifié la pression sur les sociétés avec deux sanctions majeures.
D’un côté, Uber a été condamné à une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.
De l’autre côté, Vinted a également été sanctionné d’une amende de 2,3 millions d’euros. Il a notamment été reproché à l’application de vente de seconde main ses manquements au droit d’accès des utilisateurs ainsi qu’à la gestion transparente et loyale de leurs données.
Ces décisions démontrent que la CNIL, en coopération avec ses homologues européens, est déterminée à imposer des standards élevés pour la sécurité des données. Cette coalition soulève l’importance de mettre en place des mesures robustes pour se conformer aux exigences légales, sous peine de sanctions sévères.
IV. Bilan de l’audit du Global Privacy Enforcement Network (GPEN)
Cet été 2024, 26 autorités de protection des données dans le monde dont la CNIL, ont mené un audit pour évaluer l’application du RGPD à travers l’Europe. Cet audit a porté principalement sur l’analyse de 1010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep et avait pour objectif, d’identifier les défis et les bonnes pratiques au sein des différents États membres.
Le rapport souligne que les organismes avaient recours à des mécanismes de conception trompeuse aussi appelés dark pattern (ex : faux bouton de désabonnement, case de choix pré-coché…), pour influencer les choix des utilisateurs.
Au regard des préoccupations soulevées, des travaux de sensibilisation seront mis en place et chaque membre du GPEN déterminera de façon indépendante s’il est nécessaire de prendre des mesures d’application supplémentaires. Le GPEN encourage également les organismes à concevoir leurs sites de façon à aider les utilisateurs à prendre les décisions éclairées.
V. La CNIL et les DPO : Un observatoire pour 2024
La CNIL a récemment publié son observatoire DPO pour 2024, mettant en lumière les défis et les réussites des DPO en France. Bien que leur rôle soit jugé essentiel dans la gestion de la protection des données, des améliorations sont nécessaires, notamment en termes de formation continue et d’autonomie et de leur intégration dans les structures organisationnelles.
La CNIL insiste sur la nécessité de veiller à ce que les DPO disposent des moyens nécessaires pour accomplir leurs missions, tels que le temps disponible, la taille et le nombre d’organismes dans leur périmètre, l’information lors de la conception des projets, et les formations continues.
Face à ce défi, LOB-Line Of Business met toute son expertise des enjeux de protection et valorisation des données à la disposition de votre organisation et vous accompagne de A à Z dans la mise en œuvre de vos démarches RGPD et cybersécurité. LOB-Line Of Business peut également assurer la fonction de DPO externe.
VI. Les incidents de cybersécurité majeurs
A. Le Grand Palais et 40 musées français, victimes de ransomware
En juillet 2024, une cyberattaque majeure a frappé le Grand Palais à Paris ainsi que 40 autres musées français. Cette attaque a perturbé les systèmes informatiques des institutions touchées, entraînant des problèmes d’accès aux données et mettant en péril la confidentialité des informations sensibles.
L’ANSSI a été alertée de l’incident et a précisé que l’incident n’affectait pas les systèmes d’information impliqués dans le déroulement des Jeux olympiques et paralympiques.
Une enquête a été ouverte notamment pour atteinte à un système de traitement automatisé des données et extorsion en bande organisée et confiée à la Brigade de lutte contre la cybercriminalité de la police judiciaire parisienne.
B. Cencore, victime d’une violation de données personnelles
En juillet 2024, Cencora, un géant pharmaceutique a révélé une fuite de données personnelles affectant plus d’un million de personnes. L’incident a été causé par une cyberattaque, qui a compromis des informations sensibles stockées dans les systèmes de l’entreprise.
Les informations compromises incluent les données des patients :
- Les noms et dates de naissance
- Les adresses postales
- Les numéros de téléphone
- Les informations médicales : diagnostic de santé, médicaments et ordonnances.