En conséquence de la déclaration conjunta signé par les régulateurs d'une douzaine d'organismes internationaux de surveillance de la vie privée, dont l'ICO du Royaume-Uni, l'OPC du Canada et l'OPCCD de Hong Kong, a exhorté les principales plateformes de médias sociaux à protéger les publications publiques des utilisateurs contre le grattage, avertissant qu'elles s'exposent à une responsabilité légale pour cela sur la plupart des marchés.
"Dans la plupart des juridictions, les informations personnelles qui sont 'publiquement disponibles', 'accessibles au public' ou 'de nature publique' sur Internet sont soumises aux lois sur la confidentialité et la protection des données", commentent-ils. « Par conséquent, les individus et les entreprises qui collectent ces informations personnelles sont responsables de s’assurer qu’ils respectent ces lois et les autres lois applicables. Toutefois, les sociétés de médias sociaux et les exploitants d'autres sites Web qui hébergent des informations personnelles accessibles au public (SMC et autres sites Web) ont également des obligations en matière de protection des données en ce qui concerne l'extraction de données par des tiers à partir de leurs services en ligne. Ces obligations s’appliqueront généralement aux informations personnelles, que ces informations soient accessibles au public ou non. L’extraction massive de données personnelles peut constituer une violation de données à signaler dans de nombreuses juridictions.
Le moment de la déclaration, qui a également été signé par les régulateurs de la vie privée d'Australie, de Suisse, de Norvège, de Nouvelle-Zélande, de Colombie, de Jersey, du Maroc, d'Argentine et du Mexique, tous membres du groupe de travail international sur la coopération en matière d'application de la loi de la Global Privacy Assembly, coïncide avec le battage médiatique actuel autour des modèles d'IA générative, qui nécessitent généralement de grandes quantités de données pour la formation et pourraient encourager davantage d'entités à explorer Internet dans le but d'acquérir des ensembles de données, et de sauter dans le train de l'IA générative.
Des exemples très médiatisés de tels systèmes, tels que le grand modèle de langage ChatGPT d'OpenAI, se sont appuyés (au moins en partie) sur des données publiées en ligne pour former leurs systèmes, et un recours collectif a été déposé contre la société américaine en juin, qui dont CNN Business a fait état allègue qu’il a secrètement extrait « d’énormes quantités de données personnelles d’Internet ».
Parmi les risques liés à la vie privée soulignés par les régulateurs figurent l’utilisation de l’exploration de données pour des cyberattaques ciblées telles que l’ingénierie sociale et le phishing ; vol d'identité; et pour le suivi, le profilage et la surveillance des personnes, comme l'utilisation de données pour alimenter des bases de données de reconnaissance faciale et fournir un accès non autorisé aux autorités, un coup dur pour Clearview AI, qui a fait face à une série de contrôles de la part des régulateurs internationaux, dont plusieurs dans l'UE, pour son utilisation de données extraites pour alimenter un outil d'identification par reconnaissance faciale qu'il a vendu aux autorités et à d'autres utilisateurs.
Ils préviennent également que les données extraites pourraient être utilisées à des fins politiques ou de collecte de renseignements non autorisées, notamment par des gouvernements étrangers ou des agences de renseignement. En outre, ils peuvent également être utilisés pour générer du marketing direct ou du spam indésirable.
Ils ne citent pas directement la formation des modèles d'IA comme l'un de ces risques « clés » pour la vie privée, mais les outils d'IA générative qui ont été formés sur les données des personnes à leur insu ou sans leur consentement pourraient être réutilisés dans plusieurs de ces cas. notamment pour usurper l'identité de personnes à des fins de cyberattaques ciblées, de fraude d'identité ou pour surveiller/surveiller des personnes.
En plus de rendre publique la déclaration, les régulateurs notent qu'une copie a été envoyée directement à la société mère de YouTube, Alphabet ; ByteDance, société mère de TikTok ; Meta (propriétaire d'Instagram, Facebook et Threads) ; Microsoft (LinkedIn); Sina Corp (Weibo); et X (anciennement connue sous le nom de Twitter), les principales plateformes mondiales de médias sociaux sont donc clairement au premier plan alors que les organismes de surveillance internationaux examinent les risques pour la vie privée posés par l'exploration de données.
Bien sûr, certaines plateformes ont déjà connu d'importants scandales de données impliquant le vol de données, comme le scandale d'utilisation abusive des données de Cambridge Analytics en 2018 qui a frappé Facebook après qu'un développeur de sa plateforme ait pu extraire les données de millions d'utilisateurs à leur insu ou sans leur consentement. en raison des autorisations laxistes appliquées par l’entreprise ; ou l'amende de 275 millions de dollars imposée à Facebook l'année dernière par le Règlement général sur la protection des données (RGPD) en lien avec un incident d'exploration de données qui a touché 530 millions d'utilisateurs en raison d'une conception de produit non sécurisée. Ce dernier incident fait également l'objet d'une action en justice intentée par un groupe irlandais de défense des droits numériques contestant la conclusion de la DPA selon laquelle il n'y avait pas de violation de la sécurité.
Même si la déclaration commune des régulateurs contient un signal clair sur la nécessité d'être proactif dans la protection des informations des utilisateurs contre le grattage, aucun avertissement proportionnellement clair n'accompagne le message de ne pas agir et de protéger les données. risque de diluer quelque peu l’impact de la déclaration.
Au lieu de cela, les organismes de surveillance exhortent les plateformes à « examiner attentivement la légalité des différents types d’exploration de données dans les juridictions qui s’y appliquent et à mettre en œuvre des mesures de protection contre l’exploration illégale de données ».
« Les techniques permettant d’extraire de la valeur des données accessibles au public émergent et évoluent constamment. La sécurité des données est une responsabilité dynamique et la vigilance est primordiale », commentent-ils encore. "Étant donné qu'aucune mesure de protection ne protégera adéquatement contre tous les dommages potentiels à la vie privée associés à l'exploration de données, les SMC et autres sites Web devraient mettre en œuvre des contrôles techniques et procéduraux à plusieurs niveaux pour atténuer les risques."
Les mesures recommandées pour limiter les risques d'exploration de données des utilisateurs mentionnées dans la lettre comprennent la création d'équipes/de rôles internes désignés axés sur les risques d'exploration de données ; « plafonner » le nombre de visites par heure ou par jour d'un compte vers d'autres profils de compte et limiter l'accès si une activité inhabituelle est détectée ; et surveillez la rapidité et l'agressivité avec lesquelles un nouveau compte commence à rechercher d'autres utilisateurs et à prendre des mesures pour répondre à une activité anormale.
Ils suggèrent également que les plateformes prennent des mesures pour détecter les scrapers en identifiant des modèles d’activité des robots, par exemple en disposant de systèmes permettant de détecter les activités suspectes sur les adresses IP.
Prendre des mesures pour détecter les robots, comme mettre en œuvre CAPTCHA et bloquer l'adresse IP où l'activité d'exploration de données est identifiée, est une autre recommandation, bien que les robots peuvent résoudre les CAPTCHA, donc ce conseil semble déjà obsolète.
D'autres mesures recommandées consistent à ce que les plateformes engagent des actions en justice appropriées contre les scrapers, telles que l'envoi de lettres de « cessation et d'abstention » ; exiger la suppression des informations supprimées ; obtenir la confirmation de la suppression ; et prendre d'autres mesures juridiques pour faire respecter les termes et conditions qui interdisent l'exploration de données.
Les plateformes peuvent également être tenues d'informer les personnes concernées et les régulateurs de la vie privée en vertu des lois existantes sur les violations de données, préviennent ces organismes de surveillance.
Les géants des médias sociaux qui ont reçu une copie de la lettre sont encouragés à répondre dans un délai d'un mois par des commentaires démontrant comment ils répondront aux attentes des régulateurs.
On demande aux gens de « penser à long terme »
La lettre comprend également des conseils pour que les gens prennent des mesures pour se protéger contre les risques de scraping, notamment en suggérant aux utilisateurs Web de prêter attention aux politiques de confidentialité des plateformes ; réfléchissez bien à ce qu’ils choisissent de partager en ligne ; et utilisez tous les paramètres qui leur permettent de contrôler la visibilité de leurs publications.
"En fin de compte, nous encourageons les gens à penser à long terme", ajoutent-ils. « Que penserait une personne des années plus tard à propos des informations qu’elle partage aujourd’hui ? Bien que les SMC et autres sites Web puissent proposer des outils permettant de supprimer ou de masquer des informations, ces mêmes informations peuvent rester éternellement sur le Web si elles ont été indexées ou supprimées, puis partagées.
La lettre invite également les personnes craignant que leurs données aient été extraites « illégalement ou incorrectement » à contacter la plateforme ou le site Internet en question et, si elles ne reçoivent pas de réponse satisfaisante, leur propose de déposer une plainte auprès de l'autorité de protection des données correspondante. Les régulateurs incitent donc les utilisateurs à être plus vigilants face au scraping, ce qui pourrait à terme conduire à une augmentation des enquêtes et contrôles dans ce domaine surface.
La douzaine de régulateurs internationaux signataires de la déclaration commune proviennent tous de marchés extérieurs à l’Union européenne. Mais, comme indiqué ci-dessus, les régulateurs européens de la protection des données sont déjà actifs sur les risques liés à l'exploration de données grâce aux mesures prises dans le cadre du RGPD de l'Union.
Ils suivent également de près l'évolution des services de sécurité. intelligence artificielle générative, les préoccupations soulevées dans la lettre semblent donc largement alignées sur des questions déjà sur le radar des autorités de protection des données du bloc.
Notamment, l'organisme italien de surveillance de la vie privée a frappé ChatGPT avec une ordonnance locale d'arrêt du traitement plus tôt cette année, provoquant une brève interruption du service tandis qu'OpenAI se débattait avec les divulgations et les contrôles. Le lancement du chatbot Bard AI de Google dans l'UE a pris plus de temps que dans d'autres régions après que son principal régulateur européen de la vie privée en Irlande ait soulevé des préoccupations similaires. Mais les APD de l’UE coordonnent simultanément la meilleure manière d’appliquer les règles locales de protection des données à ces nouveaux chatbots IA, notamment en ce qui concerne la question cruciale de la légalité du traitement des données utilisé pour former les modèles. Par conséquent, les décisions sur la légalité fondamentale d’outils tels que ChatGPT restent en attente dans l’UE.
Plus tôt cette année, la CNIL, l'Agence française de protection des données, a également averti que la protection contre le vol de données serait un élément clé du plan d'action sur l'IA qu'elle a annoncé en mai.
