Bienvenue dans le premier numéro des Perspectives sur la vie privée. Il s'agit d'un nouvel espace destiné à approfondir les articles du Mensuel de la protection de la vie privée et à présenter d'autres articles qui n'ont pas leur place dans le Mensuel de la protection de la vie privée. Chaque article est accompagné d'un lien direct vers la source, d'un commentaire contextuel et parfois d'un point de vue personnel.
- L'EDPB n'est pas tendre avec l'IA
- Youtube laisse tomber les publicités politiques
- Comment les applications protègent-elles les données relatives à la santé des femmes ?
- La note de synthèse sur le suivi des voitures et les courtiers en prêts hypothécaires
- Les SDK et la FTC
- Comment le GPS a modifié les données de localisation
L'EDPB n'est pas tendre avec l'IA
La loi sur l'IA vole la vedette aux médias, et pour cause : il s'agit de la première loi de ce type et elle devrait donner le ton au discours politique sur l'IA dans le monde entier, un peu comme le GDPR l'a fait pour le droit de la vie privée. Mais les défenseurs de la vie privée discutent également d'autres nouvelles liées à l'IA qui sont passées inaperçues dans les médias généraux : le Comité européen de la protection des données (CEPD) a publié son rapport sur les travaux de la task-force ChatGPT.
Voici le contexte : en 2023, l'organisme italien de surveillance de la vie privée a interdit ChatGPT pendant environ un mois pour des raisons de protection de la vie privée. Cela a incité l'EDPB (c'est-à-dire le comité où siègent tous les régulateurs de la vie privée) à lancer une enquête plus large par l'intermédiaire de la "taskforce ChatGPT". Le résultat est un rapport qui expose le terrain d'entente trouvé par les régulateurs européens.
Ce rapport est très important car les problèmes du ChatGPT sont largement communs à tous les modèles de base: par exemple, ils ont des hallucinations, on ne peut pas leur faire oublier des données et ils sont principalement formés sur des données récupérées de manière non consensuelle. Il s'agit là de problèmes sérieux auxquels les régulateurs devront s'attaquer dans un avenir proche, et leur approche aura un impact considérable sur les modèles fondamentaux sur le marché de l'UE.
Le rapport ne tourne pas autour du pot et indique clairement que les régulateurs attendent des fournisseurs d'IA qu'ils se conforment pleinement à la réglementation et que l'impossibilité technique n'est pas une excuse pour ne pas s'y conformer. En d'autres termes, l'EDPB n'est pas disposé à laisser tomber OpenAI (et d'autres acteurs) sous prétexte qu'il est techniquement impossible de se conformer au GDPR.
Le rapport souligne que la mise en œuvre de mesures de protection peut contribuer à la conformité. Mais il faut être réaliste : de nombreuses mesures de protection courantes dans d'autres secteurs ne fonctionnent tout simplement pas pour l'IA, du moins dans l'état actuel de la technique. Si vos données d'entraînement sont issues de l'ensemble du Web ouvert, il n'est tout simplement pas possible de procéder à des opérations telles que l'anonymisation et l'assainissement des données sensibles, ni de travailler sérieusement à l'amélioration de la qualité des données.
Les régulateurs individuels peuvent très bien s'écarter de la position de l'EDPB car le rapport n'est pas contraignant par nature. Et bien sûr, rien ne permet de dire quelle sera la position de la Cour de justice lorsqu'elle traitera enfin de l'IA et du GDPR.
Néanmoins, si la position du rapport devait prévaloir, les modèles de base pourraient être en difficulté sur le marché européen.
Youtube laisse tomber les publicités politiques
Une enquête menée par Access Now et Global Witness montre que YouTube ne fait rien ou presque pour lutter contre la désinformation électorale en Inde.
Les deux groupes ont téléchargé 48 publicités vidéo contenant des informations électorales grossièrement fausses dans trois langues, dont l'anglais - qui devrait être la langue la plus facile à traiter pour Google. Toutes ont passé l'examen de YouTube. La seule raison pour laquelle elles n'ont pas été diffusées est qu'Access Now les a retirées à l'avance.
Peut-être que les licenciements massifs de l'équipe "confiance et sécurité" de Google n'étaient pas une si bonne idée après tout ?
Comment les applications protègent-elles les données relatives à la santé des femmes ?
Dans The Pulse, Matt Fisher présente et résume une étude récente sur la protection de la vie privée dans les applications de santé mobile destinées aux femmes sur le marché américain. Alerte au scandale : les pratiques en matière de protection de la vie privée sont déplorables dans l'ensemble du secteur. Cela s'explique en grande partie par le fait que de nombreuses applications de santé mobile ne sont pas couvertes par la HIPAA, une loi américaine sur le secteur des soins de santé qui protège les informations sur la santé.
Comme Matt le souligne à juste titre, l 'HIPAA peut être source de confusion pour les non-juristes. La question de savoir si les données relèvent de la loi HIPAA dépend non seulement de leur nature, mais aussi du contexte dans lequel elles ont été collectées. Pour simplifier à l'extrême, les données relatives à la santé collectées en dehors du système de soins de santé ne relèvent pas de la loi HIPAA, quelle que soit leur sensibilité.
Ainsi, "le cycle menstruel d'Alice s'est arrêté" est une information de santé protégée lorsqu'Alice en parle à son médecin, mais pas lorsqu'elle la saisit dans son application mhealh. Cette situation est contre-intuitive et, par conséquent, déroutante pour Alice. Elle peut penser à tort que ces informations sont toujours couvertes par l'HIPAA et croire que ses données sont plus sûres qu'elles ne le sont en réalité.
Il convient de noter que la confidentialité des données de santé revêt une importance considérable depuis l'arrêt Dobbs v. Jackson. Depuis cet arrêt, les résidents de certains États risquent d'être poursuivis et emprisonnés pour avoir demandé des soins de santé, et les applications de santé mobile constituent un trésor de preuves potentiellement incriminantes. La FTC fait de son mieux pour limiter les dégâts, mais il n'y aura pas de véritable solution tant que les États-Unis ne protégeront pas les données de santé par une loi fédérale sur la protection de la vie privée.
La note de synthèse sur le suivi des voitures et les courtiers en prêts hypothécaires
Lorsque l'on évoque les méfaits de la surveillance, on pense généralement à des dystopies futures et à des scénarios d'espionnage. La réalité est souvent plus banale - pensez moins à "1984" qu'à "un ex dangereux qui vous harcèle".
Un excellent article co-publié par The Markup et CalMatters explique comment le suivi des voitures permet de lutter contre les violences domestiques en permettant à l'agresseur de localiser le conducteur. Comme l'auteur le fait remarquer à juste titre, les voitures sont souvent une bouée de sauvetage pour les victimes d'abus, ce qui rend le harcèlement par voiture d'autant plus problématique. Parfois, même une ordonnance restrictive ne suffit pas à mettre fin à la traque.
Le Markup a également enquêté sur l'utilisation du pixel Meta par les courtiers en hypothèques américains et a constaté que nombre d'entre eux - y compris certains poids lourds - partagent les données financières des utilisateurs avec Facebook sans leur consentement ou même sans qu'ils le sachent.
Meta interdit aux entreprises d'envoyer des informations sensibles par l'intermédiaire de son pixel et affirme utiliser des outils automatisés pour bloquer l'envoi d'informations sensibles. Cela dit, les résultats de l'enquête de The Markup suggèrent que Meta n'applique probablement pas ses politiques de manière trop stricte.
Les SDK et la FTC
Andrew Folks examine en profondeur certains aspects juridiques des kits de développement logiciel (SDK) et donne un aperçu des mesures prises récemment par la FTC pour lutter contre le suivi illégal des SDK.
Les kits de développement logiciel (SDK) sont un ensemble d'outils de construction de logiciels. En règle générale, les propriétaires d'un SDK intègrent une technologie de suivi dans le code et le mettent à la disposition des développeurs tiers. Ainsi, les développeurs peuvent utiliser le SDK gratuitement et les propriétaires du SDK peuvent collecter des données auprès de l'utilisateur final.
Les SDK sont la catastrophe en matière de protection de la vie privée dont presque personne ne parle. Presque tout le monde a ce logiciel espion sur son téléphone. Cela se produit même sur le marché de l'UE et malgré le consentement explicite exigé par la directive "vie privée et communications électroniques" pour ce type de suivi. En fait, de nombreuses entreprises contournent la loi en exigeant le consentement au suivi pour que l'application puisse fonctionner.
Comment le GPS a modifié les données de localisation
À propos des récentes amendes infligées par la FCC aux opérateurs de téléphonie mobile, Cobun Zweifel-Keegan donne un aperçu intéressant de la manière dont le GPS a modifié la valeur économique des données de localisation. En résumé, le GPS a créé de nouvelles sources de revenus rentables pour les opérateurs de télécommunications, mais a également suscité de nouvelles attentes en matière de protection de la vie privée chez les clients.