CONTACT

Conformité RGPD – Lettre d’actualité numéro 23

17 juin 2020 | Derriennic Associés |

Télécharger

Madame, Monsieur,

Le déconfinement a inspiré, ces derniers jours, plusieurs publications de la CNIL, ainsi qu’une décision du Conseil d’Etat sur l’utilisation de drones.

Nous vous proposons ainsi, en ce mois de juin 2020, de découvrir ces actualités :

  • Déconfinement : l’utilisation de drones de surveillance remise en cause ;
  • L’avis de la CNIL sur les conditions de mise en œuvre de l’application « StopCovid » ;
  • Le contrôle des dispositifs de lutte contre le COVID-19 par la CNIL ;
  • La CNIL et le Défenseur des droits alertent sur les risques de discrimination pouvant découlant de l’usage exponentiel des algorithmes.

Nous vous en souhaitons une bonne lecture.

Déconfinement : L’utilisation de drones de surveillance remise en cause

Par une ordonnance du 18 mai 2020, le Conseil d’Etat a enjoint l’Etat de cesser, sans délai, d’utiliser des drones pour surveiller le respect des règles de sécurité sanitaire applicables à la période de déconfinement.

Un préfet de police a pris la décision, le 18 mars 2020, d’instituer un dispositif visant à capturer des images par drones et à les exploiter afin de faire respecter les mesures de confinement.

Estimant que l’institution de ce dispositif constituait une atteinte grave et manifestement illégale au droit à la vie privée et au droit à la protection des données personnelles, les associations la Quadrature du Net et la Ligue des droits de l’homme ont saisi le juge des référés du Tribunal administratif de Paris afin de suspendre la décision du préfet de police et l’enjoindre de cesser immédiatement de capter des images par drones, de les enregistrer, de les transmettre ou de les exploiter.

Les requérantes avançaient, au soutien de cette demande, que :

  • la conservation des données n’était limitée par aucune norme juridique ;
  • aucun acte administratif n’encadrait le dispositif mis en œuvre ;
  • aucune information n’était fournie aux personnes dont l’image était capturée par les drones ;
  • aucune norme spécifique ne définissait les catégories de personnes habilitées à accéder aux images capturées ;
  • il n’était pas justifié que la mesure était proportionnée au regard des finalités poursuivies ;
  • le préfet n’était pas habilité par le législateur pour autoriser le déploiement d’un système de vidéosurveillance par drone.

Le préfet de police faisait, pour sa part, valoir que les images captées étaient prises en utilisant un grand angle et ne permettaient donc pas l’identification d’un individu, sauf lorsque les drones étaient utilisés dans un cadre judiciaire, que ce soit en flagrance, en préliminaire ou au titre d’une instruction.

Le juge des référés du Tribunal administratif, ayant estimé qu’il n’était pas établi ni soutenu que les drones auraient été utilisés dans un cadre judiciaire depuis le début du confinement, a considéré que la préfecture de police ne pouvait être regardée comme ayant procédé à un traitement de données à caractère personnel. En conséquence, la préfecture n’aurait pas porté une atteinte illégale au droit à la vie privée, ni au droit à la protection des données personnelles. La requête des deux associations a donc été rejetée.

Les deux associations ont, suite à cette décision, demandé au juge des référés du Conseil d’Etat d’annuler l’ordonnance du Tribunal administratif.

Le Conseil d’Etat a, pour sa part, estimé que les appareils en cause, dotés d’un zoom optique, étaient susceptibles de collecter des données identifiantes et ne comportaient aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportaient, identifiables. Le dispositif litigieux constituait donc bien, pour le Conseil d’Etat, un traitement de données à caractère personnel.

Compte tenu des risques d’un usage contraires aux règles de protection des données personnelles qu’elle impliquait, la mise en œuvre de ce traitement, sans l’intervention d’un texte règlementaire en autorisant la création et en fixant les modalités d’utilisation devant obligatoirement être respectées, ainsi que les garanties dont il doit être entouré, caractérisait, pour le Conseil d’Etat, une atteinte grave et manifestement illégale au droit au respect à la vie privée.

Le Conseil d’Etat a, en conséquence, annulé l’ordonnance du juge des référés du Tribunal administratif de Paris du 5 mai 2020 et enjoint l’Etat de cesser, sans délai, de procéder aux mesures de surveillance, par drone, du respect des règles de sécurité sanitaire applicables à la période de déconfinement.

Lien vers la décision du Tribunal administratif de Paris : Ici

Lien vers la décision du Conseil d’Etat : Ici

L’avis de la CNIL sur les conditions de mise en œuvre de l’application « StopCovid »

La CNIL a rendu public, le 26 mai dernier, son avis sur un projet de décret relatif à l’application mobile « StopCovid », qui a pour objet d’alerter ses utilisateurs sur les risques de contamination.

Dans le contexte de sa stratégie de déconfinement, le Gouvernement envisage de mettre en œuvre une application pour smartphones appelée « StopCovid », visant à informer ses utilisateurs lorsqu’ils se sont trouvés à proximité d’autres utilisateurs diagnostiqués positifs au COVID-19.

Après avoir rendu un premier avis, le 24 avril 2020, portant sur le principe même du déploiement d’une telle application, la CNIL a publié, le 26 mai 2020, sa délibération portant avis sur le projet de décret relatif à cette application.

Compte tenu du contexte exceptionnel de gestion de la crise sanitaire, la CNIL considère possible la mise en œuvre de l’application, et ce dès lors que ses précédentes recommandations (l’utilisation de données pseudonymisées sans recours à la géolocalisation et l’absence de création de fichiers de personnes contaminées) ont été prises en compte.

L’autorité de contrôle précise toutefois que si ce dispositif temporaire, basé sur le volontariat, peut être mis en œuvre, c’est sous réserve qu’il présente une « utilité réelle » à la stratégie de déconfinement (ce qui devra être confirmé après son lancement) et qu’il soit conçu de façon à protéger la vie privée des utilisateurs.

Ainsi, la CNIL recommande notamment :

  • une amélioration de l’information fournie aux utilisateurs de l’application ;
  • la confirmation d’un droit d’opposition et d’un droit à l’effacement des données pseudonymisées enregistrées.

Lien vers la délibération de la CNIL : Ici

Lien vers la publication de la CNIL : Ici

Le contrôle des dispositifs de lutte contre le COVID-19 par la CNIL

Après s’être prononcée sur les projets de décrets relatifs aux fichiers SI-DEP et Contact Covid, ainsi qu’à l’application mobile StopCovid, la CNIL est sur le point de lancer une série de contrôles visant à s’assurer de la conformité des traitements de données à caractère personnel réalisés au moyen de ces dispositifs.

La CNIL s’est prononcée, le 24 avril et le 8 mai 2020, sur le projet de décret encadrant les conditions de mise en œuvre des fichiers « SI-DEP » et « Contact Covid », visant à identifier les personnes contaminées et à assurer leur prise en charge sanitaire, ainsi que sur le projet de décret encadrant « StopCovid », une application mobile destinée à informer les personnes utilisatrices lorsqu’elles ont été à proximité d’une personne diagnostiquée positive au COVID-19.

Après avoir relevé, dans ses différents avis, que ces projets comportaient suffisamment de garanties, la CNIL entend désormais procéder à une série de contrôles, afin de vérifier, « sur le terrain », le « bon fonctionnement » de ces dispositifs. Les points de vérification porteront notamment sur :

  • Les modalités de recueil de consentement et d’information des personnes ;
  • La sécurité des systèmes d’information ;
  • Les flux de données et les destinataires ;
  • Le respect des droits d’accès ou d’opposition des personnes.

La CNIL indique que les investigations se dérouleront sur place, notamment dans les locaux de la Caisse nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé, en ligne (pour l’application StopCovid) et par le biais de questionnaires et de demandes de documents.

Les constations de la CNIL pourront conduire à l’adoption de mesures correctrices, dans l’éventualité où des manquements graves ou répétés seraient identifiés.

Lien vers la publication de la CNIL : Ici

La CNIL et le Défenseur des droits alertent sur les risques de discrimination pouvant découler de l’usage exponentiel des algorithmes

Constatant un usage accru des outils numériques reposants sur des algorithmes dans le cadre de la crise sanitaire et ce, dans de nombreux secteurs privés comme publics, la CNIL et le Défenseur des droits, institution indépendante pour la défense des droits des citoyens, ont souhaité rappeler l’impact de certains systèmes algorithmiques sur les droits fondamentaux.

Pour rappel, l’entrée en application du RGPD a Dans cette perspective, le Défenseur des droits a publié, en partenariat avec la CNIL, ses premières recommandations « Algorithmes : prévenir l’automatisation des discriminations »https://www.defenseurdesdroits.fr/sites/default/files/atoms/files/synth-algos-num2-29.05.20.pdf

L’objectif affiché est de « mettre en lumière les risques considérables de discrimination que peuvent faire peser sur chacun et chacune d’entre nous l’usage exponentiel des algorithmes dans toutes les sphères de notre vie. », sachant que ce sujet est resté depuis trop longtemps un angle mort du débat public.

Deux constats s’imposent :

  • Les algorithmes peuvent être discriminatoires car « conçus par des humains et à partir de données reflétant des pratiques humaines », favorisant ainsi l’existence de biais à toutes les étapes de l’élaboration et du déploiement des systèmes.

Des biais peuvent survenir du fait de l’utilisation de données biaisées intégrées aux systèmes algorithmiques ou mobilisées pour entraîner un système d’apprentissage automatique mais aussi en raison de la combinaison de plusieurs critères, en apparence neutres, peut avoir des effets discriminatoires.

  • Les discriminations sont invisibles et potentiellement massives. Les effets discriminatoires de l’algorithme ne sont pas forcément mesurables à l’échelle individuelle et pourtant, une fois un biais discriminatoire intégré par un algorithme apprenant, celui-ci s’applique de manière automatique et risque de systématiser les discriminations.

Pour garantir le droit à la non-discrimination, la CNIL et le Défenseur des droits recommandent de :

  • Former les professionnels, que ce soient ceux des métiers de l’informatique et de l’analyse des données ou encore ceux qui achètent et utilisent de tels procédés au sein des organisations, pour « garder la main » et un regard critique sur les algorithmes.
  • Soutenir la recherche pour développer les études de mesure et les méthodologies de prévention des biais.
  • Renforcer les obligations en matière d’information, de transparence et d’explicabilité des algorithmes en allant plus loin que les exigences légales posées par le RGPD, à savoir :
    • en ne limitant pas cette obligation aux seuls algorithmes décisionnaires et à ceux opérant des traitements de données personnelles ;
    • en visant à la fois les algorithmes du secteur privé et du secteur public ;
    • en s’assurant d’une réelle intervention humaine dans les traitements algorithmiques ;
    • en renforçant les obligations de transparence sur les critères utilisés par l’algorithme à l’égard des tiers ;
    • en fournissant une information dans un langage accessible et intelligible au public et usagers ;
    • en développant la compréhension et la vigilance des professionnels intervenant dans des processus algorithmiques.
  • Réaliser des études d’impact pour anticiper les effets discriminatoires des algorithmes et ainsi évaluer les effets des systèmes dès la phase d’élaboration des algorithmes ou dans le cadre de leur apprentissage.
  • Réaliser un contrôle régulier des effets des algorithmes après leur déploiement afin de pouvoir être corrigés, ce qui implique notamment une plus grande transparence des systèmes.

De nombreuses questions demeurent, aussi la CNIL et le Défenseur des droits entendent continuer leurs réflexions sur ce sujet et contribueront à celles des décideurs publics.