Newsletter ; l’actualité de la semaine du 6 au 12 juillet | RGPD Express

Hello everybody, 

En cette magnifique journée de lundi (pour une fois qu’il fait beau, laissez-nous en profiter), nous allons analyser ensemble l’actualité de la semaine dernière !

La CNIL donne le feu vert à la sensibilisation pour le vaccin ! ✅

Comme depuis un an, la vie est rythmée autour du Covid…. Entre les nouveaux variants, les fermetures de frontières pour certains pays et les élocutions du Président, nous devons tenter de rester positif ! 

Une option s’offre à nous, c’’est la vaccination. Permettant, entre autres, l’accès au Pass Sanitaire, celle-ci est facultative et chaque personne est libre de le faire ou non. Seulement, malgré les bénéfices, certaines personnes ne souhaitent toujours pas se faire vacciner. 

De ce fait, le gouvernement souhaite agir afin que la majorité de la population le fasse et qu’on puisse (enfin) retrouver un semblant de vie. 

Dans ce sens, le gouvernement veut mener des actions de sensibilisation auprès des non-vaccinés en leur présentant les avantages, cette session de sensibilisation sera menée par les médecins traitants directement auprès de leurs patients et par l’Assurance Maladie. 

Pour avoir accès à cette liste, celle des personnes non vaccinées, une démarche bien particulière est à suivre. En effet, rappelons-le il s’agit de données de santé qui sont considérées comme sensibles et donc nécessitent un traitement particulier. 

La CNIL a donc été saisie, par un projet de décret, pour autoriser l’Assurance Maladie, à éditer et communiquer la liste des patients non vaccinés aux médecins correspondants et pour que celle-ci puisse aussi utiliser le fichier. 

Le projet n’a pas tout de suite obtenu l’aval de la CNIL, posant quelques problèmes. 

Pas de problème de secret médical à première vue, vu que les données concernent uniquement les patients déjà suivis. Là où c’est un peu plus touchy, c’est que normalement la constitution de listes de patients, pour les médecins, selon “certaines caractéristiques” n’est pas autorisée. Comme nous l’avons dit précédemment, ces données sont hautement sensibles et le médecin ne devrait pas y avoir accès. De plus, le patient n’a fait aucune sollicitation pour être contacté et ne sait peut-être même pas que cette donnée très sensible est utilisée et communiquée, cela pourrait être intrusif. 

Néanmoins, et comme depuis le début de la crise sanitaire, aux grands maux les grands remèdes. Au vu de la situation exceptionnelle dans laquelle nous sommes et l’espoir que représente la vaccination, un moyen de sensibilisation serait plus qu’utile.

C’est donc légitime que ce moyen soit mis en place, néanmoins de fortes garanties doivent être apportées. 

Voici un récapitulatif de ces garanties ; la transmission sécurisée uniquement sur demande du médecin-traitant, les données non conservées une fois la sensibilisation réalisée, que les sollicitations ne soient pas à but de “forcer” mais juste de sensibiliser et informer et que la personne ne soit pas contacter et par l’Assurance Maladie et par le médecin, l’action de l’Assurance Maladie se devant d’être complémentaire et uniquement à destination les personnes sans médecins traitants…

A voir donc si cela va permettre une augmentation du taux de vaccinés…

Didi banni en Chine 🚗

L’uber Chinois ne roule plus !

Didi, c’est un service de VTC, concurrent d’ Uber et arrivant directement de Chine. Avec des millions d’utilisateurs, ils ont réalisé une entrée en bourse à New-York à la fin du mois dernier. En effet, leur IPO leur avait valu une levée de fonds de 4,4 milliards de dollars. 

Néanmoins, tout ne s’est pas passé comme prévu.

Revenons sur les faits.

Pékin a annoncé une enquête sur les pratiques de l’entreprise. C’est en effet l’autorité chinoise de surveillance de la cybersécurité qui a révélé l’ouverture d’une enquête pour violation grave de la réglementation en matière de collecte et d’utilisation des données personnelles. 

Quelle est donc cette  violation ? Normalement, en Chine, toutes les entreprises doivent stocker leurs données sur le territoire conformément à la loi en vigueur, ce qui permet notamment à la Chine (tout comme la Russie) de garder main prise sur les données et sociétés.  L’entreprise est donc accusée d’avoir collecté et exploité illégalement les données personnelles des utilisateurs.

Les conséquences ont été désastreuses pour l’entreprise, , cela aura valu une chute du prix du titre côté en bourse, son application enlevée des App stores en Chine et une interdiction de prendre de nouveaux clients jusqu’à la fin de l’enquête. 

Même si le siège de l’entreprise a plaidé sa cause en assurant effectuer des rectifications et la protection de la confidentialité des utilisateurs ainsi que la sécurité de leur données. 

Au-delà de l’aspect des données personnelles, il se pourrait que l’application de VTC soit d’autant plus dans la tourmente dans un futur proche. Notamment, parce qu’il devait déjà être courant de ce risque et n’en n’ont pas parlés aux investisseurs qui ont, dore et déjà, déposé une plainte contre Didi pour leur manque de transparence; 

Et l’autorité à d’autres entreprises du numérique dans son viseur…

Elle a d’ailleurs annoncé que toute plateforme de plus d’un million d’utilisateurs devra soumettre leur projet d’entrée en bourse et subir les contrôles de sécurité avant de pouvoir se faire coter en bourse à l’international. Un contrôle pour vérifier les risques de “compromission, contrôle ou manipulation des données par les gouvernements étrangers”. 

Alors, est ce réellement une question de protection de données ou sommes nous dans une guerre économique et de pouvoir où la Chine veut garder ses actifs pour elle ? 

L’Intelligence Artificielle de retour sur le devant de la scène….🤖

Rappelez vous il y a quelques temps nous vous parlions de la régulation de l’intelligence artificielle [“La semaine dernière, la Commission Européenne a dévoilé un projet du premier règlement sur l’Intelligence Artificielle. “]

En avril avait lieu la proposition de réglementation sur l’IA de la part de la commission européenne. Le mois dernier, le comité ainsi que le contrôleur européen de la protection des données ont pu donner leurs avis dessus. 

La CNIL n’a évidemment pas manqué à l’appel pour donner son opinion. La participation de tous les organes vitaux permet d’avoir un projet harmonisé et respectueux des libertés individuelles de chacun. 

La CNIL a dessiné 4 points d’amélioration  ;

Le premier point étant de définir de manière claire et limpide les usages de l’IA interdits.

Dans le projet il est écrit que, dans un objectif d’un usage sain, éthique et de confiance, il y aurait des usages interdits. Il serait alors d’avis qu’il faut élargir les usages interdits et clarifier leurs définitions. Par exemple, il était dit que certaines exceptions pourraient être trouvées à l’interdiction de l’utilisation de l’identification biométrique. Les avis convergent tous vers une interdiction générale et systématique de cette identification. Ainsi, il serait clair, tant pour les citoyens que pour les entreprises, de ce qui est interdit ou non. 

Le deuxième point serait de permettre à la régulation de l’IA d’être cohérente avec le RGPD. 

Bien que cette approche par risque soit une approche cohérente, permettant ainsi de se concentrer sur les projets/ utilisations à haut risque, les systèmes qui nécessitent une forte attention, soit les hauts risques, seront aussi probablement concernés par le RGPD. Le fait d’être classé à haut risque ne suffira donc pas à pouvoir être créé et développé, il faudra aussi que le projet respecte le RGPD, et les autres réglementations en vigueurs relatives aux questions de la donnée.

Le troisième point concerne le pouvoir du Comité contrôlant l’application du texte. 

La gouvernance doit être, dès le début, précisée pour son bon fonctionnement et que l’organe est plein pouvoir et contrôle.  La CNIL propose que ce soit le même organe que celui qui s’occupe du RGPD, déjà parce que sa légitimité est instaurée, par sa compétence et de plus parce qu’il traite déjà des cas d’IA liés directement à la protection des données. 

Le dernier point est lié à l’innovation. 

Le but n’étant pas de brider l’innovation mais, au contraire, de l’encourager, le règlement doit cette interdire certaines situations mais aussi soutenir les projets conformes. Ce sera au régulateur de déterminer et de combiner protection et compréhension. 

Affaire à suivre, restez connectés !

C’est déjà fini pour cette semaine ! On vous laisse avec le chiffre de la semaine…

RGPD Express est là pour vous informer et vous former au RGPD ! Pour ce faire, il est de notre mission d’accompagner tous les organismes, que ce soit des TPE, PME ou associations, à faire votre mise en conformité.

N’attendez pas, contactez-nous et demandez une démonstration de la plateforme à l’une de nos expertes !