Déclaration commune finale sur l’extraction de données et la protection des renseignements personnels

Éclairée par la collaboration avec l’industrie concernant la déclaration commune initiale sur l’extraction de données et la protection des renseignements personnels (août 2023)

Octobre 2024

Principaux éléments à retenir

Déclaration initiale

La présente déclaration finale s’appuie sur la déclaration commune sur l’extraction de données et la protection des renseignements personnels (la déclaration initiale), publiée le 24 août 2023, qui mettait l’accent sur les messages clés suivants :

Dans la plupart des administrations, les renseignements personnels qui sont accessibles au public sont visés par les lois sur la protection des données et des renseignements personnels.
Les entreprises de médias sociaux (EMS) et autres exploitants de sites Web qui hébergent des données personnelles accessibles au public sont tenus, en application des lois sur la protection des données et des renseignements personnels, de protéger les renseignements personnels contenus sur leurs plateformes contre l’extraction non autorisée de données (extraction illégale).
Dans de nombreuses administrations, les incidents d’extraction massive de données dans le cadre desquels des renseignements personnels sont recueillis peuvent constituer une atteinte à la sécurité des données qui doit être signalée aux autorités.
Les individus peuvent également prendre des mesures afin de protéger leurs renseignements personnels contre l’extraction de données, et les entreprises de médias sociaux ont un rôle à jouer pour permettre aux utilisateurs d’utiliser leurs services d’une manière qui protège leurs renseignements personnels.

Déclaration finale

À la lumière des échanges avec les EMS et d’autres intervenants de l’industrie qui ont suivi la publication de la déclaration initiale, les cosignataires souhaitent ajouter les principaux points à retenir suivants :

Pour se protéger efficacement contre l’extraction illégale, les organisations devraient déployer une série de mesures de protection combinées, et ces mesures devraient être régulièrement révisées et mises à jour pour tenir compte de l’évolution des techniques et des technologies d’extraction.
Bien que l’intelligence artificielle (IA) soit utilisée par certains extracteurs de données sophistiqués pour éviter d’être détectés, elle peut également faire partie de la solution en servant à renforcer les protections contre l’extraction illégale de données. L’obligation de se protéger contre l’extraction illégale s’applique aussi bien aux grandes entreprises qu’aux petites et moyennes entreprises (PME). Il existe des mesures moins coûteuses que les PME peuvent mettre en œuvre, avec l’aide de fournisseurs de services, pour satisfaire à cette obligation.
Lorsque les EMS et d’autres organisations acceptent contractuellement que des données à caractère personnel soient extraites de leurs plateformes, ces modalités contractuelles ne peuvent pas, à elles seules, rendre cette extraction légitime; elles peuvent toutefois constituer une mesure de protection importante.

Les organisations qui autorisent l’extraction de données personnelles à quelque fin que ce soit, y compris à des fins commerciales et socialement bénéfiques, doivent notamment veiller à ce qu’il existe un fondement légitime pour le faire, à être transparentes quant à l’extraction qu’elles autorisent et à obtenir le consentement des personnes concernées lorsque la loi l’exige.
Les organisations devraient également mettre en œuvre des mesures adéquates, y compris des clauses contractuelles et les mesures de contrôle et d’application correspondantes, afin de garantir que l’utilisation contractuellement autorisée des données personnelles extraites est conforme aux lois applicables en matière de protection des données et des renseignements personnels.

Lorsqu’une organisation autorise des tiers à recueillir en toute légalité des données personnelles accessibles au public à partir de sa plateforme, le fait de fournir cet accès au moyen d’une interface de programmation d’applications (API)^{Note de bas de page 1} peut permettre à l’organisation de mieux contrôler les données et de faciliter la détection et l’atténuation des effets de l’extraction non autorisée de données.
Les EMS et autres organisations qui utilisent des ensembles de données extraites ou des données provenant de leurs propres plateformes pour entraîner l’IA, comme les grands modèles de langage, doivent se conformer aux lois sur la protection des données et des renseignements personnels, ainsi qu’à toute autre loi relative à l’IA le cas échéant. Lorsque des organismes de réglementation publient des lignes directrices et des principes sur l’élaboration et la mise en œuvre de modèles d’IA, nous nous attendons à ce que les organisations suivent ces orientations.

Introduction

La déclaration commune initiale sur l’extraction de données et la protection des renseignements personnels, publiée en août 2023, définit les attentes concernant ce que les organisations doivent faire pour assurer la protection des individus contre les risques résultant de l’extraction illégale de données. La présente déclaration finale a été rédigée dans le but de renforcer les exigences énoncées dans la déclaration initiale, de communiquer les pratiques exemplaires et les enseignements tirés des conversations tenues avec les entreprises de médias sociaux et les parties prenantes de l’industrie à la suite de la publication de cette déclaration, et de définir d’autres attentes à l’égard des EMS et des autres organisations qui hébergent des renseignements personnels accessibles au public.
Les deux déclarations traitent de l’extraction automatisée de données personnelles à partir du Web. Ces déclarations ne traitent pas de l’indexation par les moteurs de recherche ni de la récupération de renseignements à caractère non personnel.
Bien que la déclaration initiale ait été publiée par douze membres du Groupe de travail sur la coopération internationale en matière d’application de la loi et approuvée par deux autres membres après sa publication, la déclaration initiale et la présente déclaration finale sont désormais approuvées par un total de 16 cosignataires^{Note de bas de page 2}.

Mobilisation de l’industrie

Après avoir publié la déclaration initiale, les cosignataires ont transmis une copie à Alphabet Inc. (YouTube), ByteDance Ltd. (TikTok), Meta Platforms, Inc. (Instagram, Facebook et Threads), Microsoft Corporation (LinkedIn), Sina Corp (Weibo) et X Corp (X, anciennement Twitter), en invitant ces entreprises à expliquer comment elles se conforment aux attentes décrites dans le document.
Au cours des mois suivants, les cosignataires ont engagé un dialogue avec de nombreuses organisations, par écrit et virtuellement. Les cosignataires ont également échangé avec l’alliance pour l’atténuation des effets de l’extraction non autorisée de données (Mitigating Unauthorized Scraping Alliance [MUSA]), qui a communiqué avec les cosignataires pour leur faire part de son point de vue sur l’atténuation des effets de l’extraction non autorisée de données^{Note de bas de page 3}.
Les cosignataires ont également été contactés par une société commerciale spécialisée dans l’extraction de données qui leur a fourni des détails sur ses efforts pour recueillir en toute légalité des données accessibles au public (qui peuvent inclure des données à caractère personnel). Bien que la présente déclaration finale et la déclaration initiale ne visent pas principalement les extracteurs de données, les extracteurs de données commerciaux devraient prendre note du fait que les données à caractère personnel accessibles au public seront généralement visées par les lois sur la protection des données et des renseignements personnels et qu’ils devraient donc mettre en œuvre des mesures pour se conformer à ces lois.
Grâce à ces échanges, les cosignataires ont pu collaborer avec les intervenants de l’industrie de manière significative et coordonnée tout en adoptant une position commune. Cette situation a aussi permis aux intervenants concernés d’expliquer leurs approches respectives en matière de protection des données et des renseignements personnels dans le cadre d’interactions directes et pratiques avec un échantillon diversifié de la communauté mondiale des organismes de réglementation de la protection de la vie privée.
Les cosignataires présentent ci-dessous les leçons tirées de leurs discussions avec les représentants de l’industrie ainsi que des attentes supplémentaires à l’égard des organisations qui hébergent des données personnelles accessibles au public.

Leçons tirées et attentes des cosignataires

Comme dans la déclaration initiale, bon nombre des recommandations ci-dessous sont des exigences prévues par la loi dans certaines ou toutes les administrations.
L’un des principaux points à retenir de la déclaration initiale est que dans la plupart des administrations, les renseignements personnels qui sont accessibles au public sont encore visés parles lois sur la protection des données et des renseignements personnels. Les EMS et autres exploitants de sites Web qui hébergent des données personnelles accessibles au public sont tenus, en application des lois sur la protection des données et des renseignements personnels, de protéger les données personnelles contenues sur leurs plateformes contre l’extraction non autorisée.

Défis et solutions pour suivre l’évolution des pratiques d’extraction de données

Dans la déclaration initiale, les cosignataires ont souligné la nécessité pour les EMS et autres organisations de mettre en œuvre une approche à couches multiples pour protéger les données accessibles au public sur leurs plateformes contre l’extraction illégale.
Dans le cadre de la mobilisation qui a suivi la publication de cette déclaration, les cosignataires ont établi que, bien que les EMS soient confrontés à des défis en matière de protection contre l’extraction illégale de données (par exemple le degré de sophistication croissant des extracteurs de données, les progrès constants de la technologie d’extraction de données, la difficulté de différencier les extracteurs de données des utilisateurs autorisés ou légitimes, et la nécessité de maintenir une interface conviviale), ils sont déterminés à se protéger contre l’extraction illégale de données.
Les EMS ont généralement confirmé avoir mis en œuvre un grand nombre des mesures énumérées dans la déclaration initiale, notamment :
- Affecter une équipe de l’organisation à la surveillance des activités d’extraction, ou définir des fonctions précises (rôles) à cet égard, en vue de cerner et de mettre en œuvre des mesures de contrôle pour protéger l’organisation contre l’extraction de données et y réagir le cas échéant.
- Limiter le nombre de visites par heure ou par jour d’un compte à d’autres profils de compte et en limiter l’accès si une activité inhabituelle est détectée.
- Surveiller la rapidité et l’intensité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs.
- Prendre des mesures pour détecter les extracteurs de données et l’activité des robots^{Note de bas de page 4}, par exemple en procédant à des tests captcha^{Note de bas de page 5}, et en bloquant l’adresse IP lorsqu’une activité d’extraction de données est détectée.
- Si une extraction de données est soupçonnée ou confirmée, prendre les mesures juridiques qui s’imposent, comme envoyer des mises en demeure exigeant que l’extracteur cesse ses activités d’extraction et supprime tous les renseignements extraits ainsi qu’obtenir la confirmation que les renseignements ont été supprimés.
- Suivre de près l’évolution des menaces et des nouvelles technologies afin d’élaborer des mesures de protection et de les adapter en conséquence.
Dans le cadre de leurs échanges, les cosignataires ont également pris connaissance d’autres mesures, en plus de celles décrites dans la déclaration initiale, que les organisations emploient pour se protéger contre l’extraction de données, comme la mise en œuvre d’éléments de conception de la plateforme qui rendent plus difficile l’extraction de données automatisée (par exemple des URL de compte aléatoires, des éléments de conception d’interface aléatoires et des outils permettant de détecter et de bloquer le trafic Internet malveillant).
Les cosignataires ont appris que l’émergence rapide de l’IA peut représenter une menace pour la vie privée. Les EMS leur ont dit que les extracteurs de données utilisent désormais l’IA pour extraire des données plus efficacement (par exemple grâce à des robots « intelligents » capables de simuler l’activité d’un utilisateur réel). En outre, les EMS ont expliqué qu’elles utilisent également l’IA pour mieux détecter l’extraction non autorisée et se protéger contre cette pratique, soulignant que les outils d’IA innovants peuvent aussi faire partie de la solution.
Au bout du compte, les cosignataires ont appris que si aucune mesure ne garantit une protection contre toutes les formes d’extraction illégale de données – étant donné qu’une extraction sophistiquée à faible volume peut souvent être semblable à l’activité d’un utilisateur – une combinaison dynamique de mesures de protection à couches multiples peut s’avérer particulièrement efficace contre l’extraction massive de données et contre les atteintes amplifiées qui peuvent en résulter lorsqu’un grand nombre d’individus sont concernés.

Petites et moyennes entreprises

Les PME disposent rarement des mêmes ressources financières ou des mêmes capacités techniques que les EMS mondiales. Elles ne sont toutefois pas dispensées de leur responsabilité en matière de protection contre l’extraction illégale de données. En effet, de nombreuses PME hébergent de grandes quantités de données personnelles accessibles au public, qui devraient être protégées par une combinaison de mesures de contrôle à couches multiples sur le plan technique et procédural contre l’extraction de données.
Grâce à la mobilisation de l’industrie, les cosignataires ont appris qu’il existe toute une série d’outils permettant de se protéger contre l’extraction illégale de données. Certains de ces outils, comme la détection des robots, la limitation du débit et les tests captcha, peuvent être accessibles aux PME disposant d’un budget plus modeste. Des fournisseurs de services tiers peuvent également aider les PME à se protéger contre l’extraction illégale de données. Toutefois, les cosignataires souhaitent souligner que le fait de faire appel à un fournisseur de services tiers ne dispense pas l’organisation de sa propre responsabilité en matière de protection des données personnelles.
En fin de compte, conformément aux lois sur la protection des données et des renseignements personnels, les mesures de protection doivent être appropriées et proportionnelles à la sensibilité des données en question. Les organisations devraient donc limiter la quantité et la sensibilité des données qu’elles rendent accessibles au public à celles qu’elles peuvent protéger de manière adéquate contre l’extraction illégale.

Extraction autorisée par les entreprises de médias sociaux et extraction légitime

Plusieurs EMS ont indiqué que, dans certaines circonstances, elles autorisent l’extraction ou d’autres formes de collecte massive de données à partir de leurs plateformes (par exemple au moyen de l’accès à l’API, dont il est question plus loin), afin de servir leurs propres intérêts commerciaux ou ceux de tiers, comme ceux liés à la gestion de la plateforme.
Les entreprises ont expliqué qu’elles « autorisent » généralement cette collecte conformément à des clauses contractuelles, comme celles figurant dans leurs modalités d’utilisation. Les EMS ont également expliqué que, pour veiller à ce que l’extraction qu’elles autorisent soit légitime, leurs modalités contractuelles exigent généralement des tiers utilisant leur plateforme qu’ils respectent les lois applicables. Elles ont également expliqué qu’il peut leur être difficile de déterminer si les données extraites sont utilisées par ces parties uniquement aux fins autorisées par leur contrat.
Les cosignataires soulignent que les clauses contractuelles ne peuvent pas, en soi, rendre légale l’extraction de données. Par exemple, les organisations doivent également prendre des mesures pour veiller à ce qu’il existe un fondement légitime pour accorder l’accès ou autoriser la collecte de données personnelles, à être transparentes quant à l’extraction qu’elles autorisent et à obtenir le consentement des individus concernés lorsque la loi l’exige.
En outre, bien que les clauses contractuelles représentent une mesure de protection importante contre l’extraction illégale, une clause contractuelle indiquant que les tiers doivent se conformer aux lois applicables n’est pas suffisante. Les organisations devraient mettre en œuvre des mesures adéquates afin de garantir que l’utilisation contractuellement autorisée des données personnelles extraites est conforme aux lois applicables en matière de protection des données et des renseignements personnels. Le contrat pourrait, par exemple, préciser les limites des données qui peuvent être extraites et les fins auxquelles elles peuvent être utilisées ainsi que les conséquences du non-respect de ces modalités. Les organisations ne peuvent toutefois pas se contenter de prendre des mesures contractuelles. Elles devraient également mettre en œuvre des mesures permettant de surveiller le respect des limitations contractuelles par les tiers et de faire appliquer ces limitations en cas de non-respect.

Accès aux données à des fins de recherche et à d’autres fins potentiellement bénéfiques pour la société

Dans certaines circonstances, les EMS peuvent être tenues par la loi de fournir à des tiers, comme des chercheurs, un accès à grande échelle aux données accessibles au public sur leurs plateformes (par exemple en vertu de l’article 40 du Règlement sur les services numériques de l’Union européenne^{Note de bas de page 6}). Dans d’autres circonstances, nous avons appris que les EMS peuvent choisir de donner accès aux données à des tiers, même s’il n’y a pas d’obligation légale de le faire (par exemple pour soutenir une recherche socialement bénéfique). Un certain nombre d’entreprises ont indiqué qu’elles fournissaient souvent cet accès au moyen d’une API, en particulier lorsqu’elles sont tenues ou autorisées par la loi à accorder un accès à grande échelle.
Bien que les cosignataires reconnaissent l’importance de la recherche socialement bénéfique, ils souhaitent rappeler aux EMS et aux autres organisations qui hébergent des données personnelles accessibles au public que, lorsqu’elles autorisent l’accès ou la collecte à grande échelle, les organisations doivent veiller à respecter les lois applicables en matière de protection des données et des renseignements personnels, notamment en s’assurant qu’il existe un fondement légitime à l’octroi de l’accès ou à la collecte. Plus précisément, les cosignataires observent que ce ne sont pas toutes les lois sur la protection des données et des renseignements personnels qui prévoient des fins d’intérêt public, de recherche ou de statistiques comme exception à l’obligation de consentement ou comme fondement légitime pour le traitement des données à caractère personnel. En outre, lorsque de telles exceptions existent, leur champ d’application peut être limité.
Les cosignataires reconnaissent également que, lorsqu’il est conforme à la loi d’autoriser l’accès ou la collecte à grande échelle, les API peuvent constituer une garantie supplémentaire contre l’extraction illégale. Même si les API ne sont pas impénétrables, elles peuvent permettre à l’hébergeur de mieux contrôler les données sur sa plateforme et faciliter la détection et l’atténuation des effets des accès non autorisés, grâce à l’utilisation de justificatifs d’identité ainsi qu’à la journalisation et à la surveillance des activités associées.

Utilisation par les entreprises de médias sociaux de données extraites et de données provenant de leurs propres plateformes pour le développement de l’intelligence artificielle

Les cosignataires ont profité de l’occasion offerte par cette initiative pour discuter avec les EMS de leur propre extraction de données et de l’utilisation d’ensembles de données extraites pour former leurs grands modèles linguistiques, qui présentent non seulement des possibilités d’innovation, mais aussi des risques importants pour la vie privée.
À la lumière des leçons tirées de ces échanges, les cosignataires souhaitent rappeler aux EMS et aux autres organisations susceptibles d’utiliser des données personnelles extraites ou des données recueillies sur leurs propres plateformes pour le développement, l’exploitation et le déploiement de systèmes d’IA générative, qu’elles doivent se conformer aux lois sur la protection des données et des renseignements personnels, ainsi qu’à toute autre loi relative à l’IA le cas échéant. Les cosignataires demandent également à ces organisations de se conformer aux principes de protection des renseignements personnels et des données, comme ceux détaillés dans la Résolution de l’Assemblée mondiale de la vie privée sur les systèmes d’intelligence artificielle générative de 2023 et dans d’autres directives internationales^{Note de bas de page 7}. Plus précisément, les cosignataires soulignent que les lois sur la protection des données et des renseignements personnels déterminent si et dans quelle mesure la collecte et l’utilisation de données personnelles pour le développement de l’IA sont légitimes.

Conclusion

Depuis la publication de la déclaration initiale, l’extraction illégale de données a suscité une attention croissante, en partie en raison de l’émergence et du déploiement rapides de systèmes d’intelligence artificielle génératifs. Cette pratique a également fait l’objet, et continue de faire l’objet, d’un vaste débat à l’échelle mondiale, tant au sein des autorités de protection des données que dans l’industrie.
Les cosignataires souhaitent reconnaître le travail des différentes autorités de protection des données qui ont élaboré des orientations^{Note de bas de page 8} sur les pratiques liées à l’extraction de données. Dans ces orientations, nous notons le thème commun selon lequel les données personnelles accessibles au public sont généralement visées par les lois sur la protection des données et des renseignements personnels et doivent être protégées de manière adéquate contre l’extraction illégale.
Les cosignataires souhaitent également souligner qu’ils s’attendent à ce que toutes les entreprises, et pas seulement les EMS, protègent les données personnelles accessibles au public qu’elles hébergent contre l’extraction illégale. Le fait de ne pas mettre en œuvre des mesures de protection adéquates en conformité avec les lois applicables pourrait entraîner une intervention réglementaire, y compris des mesures d’application.
Les cosignataires souhaitent également rappeler à ceux qui pratiquent l’extraction de données, ainsi qu’aux EMS et aux autres organisations qui utilisent les données de leurs propres plateformes pour entraîner l’IA, la nécessité de mettre en œuvre des mesures garantissant que leurs pratiques en matière de données sont conformes aux lois relatives à la protection des données et des renseignements personnels.
L’extraction de données est une question complexe, vaste et évolutive qui est, et restera, une préoccupation pour les autorités de protection des données. Elle devrait également être au centre des préoccupations des autres parties prenantes qui ont un rôle à jouer dans la protection des renseignements personnels, y compris celles que nous avons mobilisées dans le cadre de cette initiative. Les cosignataires continueront à œuvrer pour promouvoir la conformité dans ce domaine, notamment grâce à d’autres collaborations avec les parties prenantes concernées, à l’élaboration de politiques complémentaires, à des campagnes d’éducation du public et à l’application^{Note de bas de page 9}, y compris l’application concertée, de la législation.
Parallèlement, les cosignataires encouragent les EMS à continuer à collaborer entre elles et avec d’autres parties prenantes afin de mettre en commun leurs connaissances et leurs stratégies et d’élaborer des solutions pour faire face à cette menace commune et y répondre.
Les cosignataires souhaitent remercier les EMS et les parties prenantes de l’industrie qui ont fait preuve d’ouverture lors des discussions avec les organismes de réglementation. Cette ouverture a permis aux cosignataires de définir leurs attentes et de les communiquer sans qu’il soit nécessaire de prendre des mesures d’application officielles et nécessitant beaucoup de ressources, ce qui a été avantageux pour tout le monde.

La présente déclaration est émise par les membres suivants du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée.

Carly Kind
Commissaire à la protection de la vie privée
Commissariat à l’information de l’Australie
Australie

Philippe Dufresne
Commissaire
Commissariat à la protection de la vie privée du Canada
Canada

Stephen Bonner
Sous-commissaire – Supervision réglementaire
Commissariat à l’information
Royaume-Uni

Ada Chung Lai-ling
Commissaire à la protection de la vie privée
Commissariat à la protection de la vie privée et des données personnelles
Hong Kong
Chine

Adrian Lobsiger
Commissaire
Préposé fédéral à la protection des données et à la transparence
Suisse

Tobias Judin
Responsable de la Section internationale
Datatilsynet
Norvège

Michael Webster
Commissaire
Commissariat à la protection de la vie privée
Nouvelle-Zélande

Cielo Angela Peña Rodriguez
Surintendante adjointe pour la protection des données personnelles de Colombie
Superintendencia de Industria y Comercio (Surintendance de l’industrie et du commerce)
Colombie

Paul Vane
Commissaire à l'information
Bureau du commissaire à l'information de Jersey
Jersey

Omar Seghrouchni
Président
Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel
Maroc

Beatriz de Anchorena
Directrice
AAIP (Agence pour l'accès à l'information publique)
Argentine

Josefina Román Vergara
Commissaire
INAI (Institut national pour la transparence, l'accès à l'information et la protection des données personnelles)
Mexique

Brent R Homan
Commissaire
ODPA (Autorité de protection des données)
Guernsey

Mar España Martí
Directrice
AEPD (Agence Espagnole de protection des données)
Espagne

Robert Chanas
Président
CCIN (Commission de Contrôle des Informations Nominatives)
Monaco

Gilad Semama
Commissaire
Autorité de protection des données
Israel

Notes de bas de page

Notes de bas de page 1

Interface de programmation d’applications (API) – moyen de communiquer avec un programme informatique ou un service Internet particulier.

Retour à la notes de bas de page 1

Notes de bas de page 2

Liste des signataires de la déclaration finale – Australie : commissariat à l’information de l’Australie (Office of the Australian Information Commissioner, [OAIC]); Canada : Commissariat à la protection de la vie privée du Canada (CPVP); Royaume-Uni : commissariat à l’information du Royaume-Uni (UK Information Commissioner’s Office, [ICO]); Hong Kong : commissariat à la protection de la vie privée et des données personnelles (Office of the Privacy Commissioner for Personal Data, [PCPD]); Norvège : autorité norvégienne de protection des données (Datatilsynet); Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT); Colombie : autorité colombienne chargée entre autres de la protection des consommateurs, de la concurrence et de la protection de la vie privée (Colombian Superintendencia Industria y Comercio, [SIC]); Nouvelle-Zélande : commissariat à la protection de la vie privée (Office of the Privacy Commissioner, [OPC of New Zealand]); Jersey : commissariat à l’information de Jersey (Jersey Office of the Information Commissioner, [JOIC]); Maroc : Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP); Argentine : agence pour l’accès à l’information publique (Agencia de Acceso a la Información Pública, [AAIP]); Mexique : institut national pour la transparence, l’accès à l’information et la protection des données personnelles (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, [INAI]); Guernesey :autorité de protection des données (Office of the Data Protection Authority, [ODPA]); Espagne : agence espagnole de protection des données (Agencia Espanola de Proteccion de Datos [AEPD]); Monaco : Commission de Contrôle des Informations Nominatives (CCIN); Isarel : Autorité de protection des données (PPA).

Retour à la notes de bas de page 2

Notes de bas de page 3

L’alliance pour l’atténuation des effets de l’extraction non autorisée de données (Mitigating Unauthorized Scraping Alliance, [MUSA]) se décrit comme une organisation qui réunit des membres de l’industrie et des organismes de réglementation pour lutter contre l’extraction non autorisée de données, dans le but de promouvoir des pratiques exemplaires, de sensibiliser le public et de fournir des informations précieuses aux décideurs politiques.

Retour à la notes de bas de page 3

Notes de bas de page 4

Par robot, on entend une application logicielle automatisée qui exécute des tâches répétitives sur un réseau. Ce robot peut suivre des instructions précises afin d’imiter le comportement humain.

Retour à la notes de bas de page 4

Notes de bas de page 5

Un test captcha est un programme ou un système destiné à distinguer les données humaines de celles qui sont saisies par une machine.

Retour à la notes de bas de page 5

Notes de bas de page 6

Article 40 du Règlement relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (Règlement sur les services numériques) :

Sur demande motivée du coordinateur pour les services numériques de l’État membre d’établissement, les fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne fournissent, dans un délai raisonnable spécifié dans la demande, l’accès aux données à des chercheurs agréés qui satisfont aux exigences énoncées au paragraphe 8 du présent article, à la seule fin de procéder à des recherches contribuant à la détection, au recensement et à la compréhension des risques systémiques dans l’Union tels qu’ils sont énoncés à l’article 34, paragraphe 1, ainsi qu’à l’évaluation du caractère adéquat, de l’efficacité et des effets des mesures d’atténuation des risques prises en vertu de l’article 35.

Retour à la notes de bas de page 6

Notes de bas de page 7

Voir la déclaration sur l’IA générative publiée en 2023 par la Table ronde des autorités de protection des données et de la vie privée du G7, le code de conduite international pour les systèmes d’IA avancés dans le cadre du processus Hiroshima et d’autres documents.

Retour à la notes de bas de page 7

Notes de bas de page 8

L’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a publié des lignes directrices (en néerlandais seulement) et l’autorité italienne de protection des données (Garante Per La Protezione Dei Dati Personali) a publié des instructions pour protéger les données personnelles contre l’extraction sur le Web (en italien seulement). Consultation du commissaire à l'information (Information Commissioner’s Office) du Royaume-Uni sur l’IA générative et la protection des données, y compris l’extraction de données sur le Web pour entraîner l’IA générative (en anglais seulement).

Retour à la notes de bas de page 8

Notes de bas de page 9

Enquête conjointe sur Clearview AI, Inc. par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta; commissariat à l’information du Royaume-Uni (en anglais seulement); et bureau du commissaire à l'information de l’Australie (Office of the Australian Information Commissioner) (en anglais seulement).

Retour à la notes de bas de page 9

Date de modification :: 2024-10-28

Sélection de la langue

Recherche et menus

Recherche