Déclaration commune finale sur l’extraction de données et la protection des renseignements personnels
Éclairée par la collaboration avec l’industrie concernant la déclaration commune initiale sur l’extraction de données et la protection des renseignements personnels (août 2023)
Octobre 2024
Principaux éléments à retenir
Déclaration initiale
La présente déclaration finale s’appuie sur la déclaration commune sur l’extraction de données et la protection des renseignements personnels (la déclaration initiale), publiée le 24 août 2023, qui mettait l’accent sur les messages clés suivants :
- Dans la plupart des administrations, les renseignements personnels qui sont accessibles au public sont visés par les lois sur la protection des données et des renseignements personnels.
- Les entreprises de médias sociaux (EMS) et autres exploitants de sites Web qui hébergent des données personnelles accessibles au public sont tenus, en application des lois sur la protection des données et des renseignements personnels, de protéger les renseignements personnels contenus sur leurs plateformes contre l’extraction non autorisée de données (extraction illégale).
- Dans de nombreuses administrations, les incidents d’extraction massive de données dans le cadre desquels des renseignements personnels sont recueillis peuvent constituer une atteinte à la sécurité des données qui doit être signalée aux autorités.
- Les individus peuvent également prendre des mesures afin de protéger leurs renseignements personnels contre l’extraction de données, et les entreprises de médias sociaux ont un rôle à jouer pour permettre aux utilisateurs d’utiliser leurs services d’une manière qui protège leurs renseignements personnels.
Déclaration finale
À la lumière des échanges avec les EMS et d’autres intervenants de l’industrie qui ont suivi la publication de la déclaration initiale, les cosignataires souhaitent ajouter les principaux points à retenir suivants :
- Pour se protéger efficacement contre l’extraction illégale, les organisations devraient déployer une série de mesures de protection combinées, et ces mesures devraient être régulièrement révisées et mises à jour pour tenir compte de l’évolution des techniques et des technologies d’extraction.
- Bien que l’intelligence artificielle (IA) soit utilisée par certains extracteurs de données sophistiqués pour éviter d’être détectés, elle peut également faire partie de la solution en servant à renforcer les protections contre l’extraction illégale de données. L’obligation de se protéger contre l’extraction illégale s’applique aussi bien aux grandes entreprises qu’aux petites et moyennes entreprises (PME). Il existe des mesures moins coûteuses que les PME peuvent mettre en œuvre, avec l’aide de fournisseurs de services, pour satisfaire à cette obligation.
- Lorsque les EMS et d’autres organisations acceptent contractuellement que des données à caractère personnel soient extraites de leurs plateformes, ces modalités contractuelles ne peuvent pas, à elles seules, rendre cette extraction légitime; elles peuvent toutefois constituer une mesure de protection importante.
- Les organisations qui autorisent l’extraction de données personnelles à quelque fin que ce soit, y compris à des fins commerciales et socialement bénéfiques, doivent notamment veiller à ce qu’il existe un fondement légitime pour le faire, à être transparentes quant à l’extraction qu’elles autorisent et à obtenir le consentement des personnes concernées lorsque la loi l’exige.
- Les organisations devraient également mettre en œuvre des mesures adéquates, y compris des clauses contractuelles et les mesures de contrôle et d’application correspondantes, afin de garantir que l’utilisation contractuellement autorisée des données personnelles extraites est conforme aux lois applicables en matière de protection des données et des renseignements personnels.
- Lorsqu’une organisation autorise des tiers à recueillir en toute légalité des données personnelles accessibles au public à partir de sa plateforme, le fait de fournir cet accès au moyen d’une interface de programmation d’applications (API)Note de bas de page 1 peut permettre à l’organisation de mieux contrôler les données et de faciliter la détection et l’atténuation des effets de l’extraction non autorisée de données.
- Les EMS et autres organisations qui utilisent des ensembles de données extraites ou des données provenant de leurs propres plateformes pour entraîner l’IA, comme les grands modèles de langage, doivent se conformer aux lois sur la protection des données et des renseignements personnels, ainsi qu’à toute autre loi relative à l’IA le cas échéant. Lorsque des organismes de réglementation publient des lignes directrices et des principes sur l’élaboration et la mise en œuvre de modèles d’IA, nous nous attendons à ce que les organisations suivent ces orientations.
Introduction
- La déclaration commune initiale sur l’extraction de données et la protection des renseignements personnels, publiée en août 2023, définit les attentes concernant ce que les organisations doivent faire pour assurer la protection des individus contre les risques résultant de l’extraction illégale de données. La présente déclaration finale a été rédigée dans le but de renforcer les exigences énoncées dans la déclaration initiale, de communiquer les pratiques exemplaires et les enseignements tirés des conversations tenues avec les entreprises de médias sociaux et les parties prenantes de l’industrie à la suite de la publication de cette déclaration, et de définir d’autres attentes à l’égard des EMS et des autres organisations qui hébergent des renseignements personnels accessibles au public.
- Les deux déclarations traitent de l’extraction automatisée de données personnelles à partir du Web. Ces déclarations ne traitent pas de l’indexation par les moteurs de recherche ni de la récupération de renseignements à caractère non personnel.
- Bien que la déclaration initiale ait été publiée par douze membres du Groupe de travail sur la coopération internationale en matière d’application de la loi et approuvée par deux autres membres après sa publication, la déclaration initiale et la présente déclaration finale sont désormais approuvées par un total de 16 cosignatairesNote de bas de page 2.
Mobilisation de l’industrie
- Après avoir publié la déclaration initiale, les cosignataires ont transmis une copie à Alphabet Inc. (YouTube), ByteDance Ltd. (TikTok), Meta Platforms, Inc. (Instagram, Facebook et Threads), Microsoft Corporation (LinkedIn), Sina Corp (Weibo) et X Corp (X, anciennement Twitter), en invitant ces entreprises à expliquer comment elles se conforment aux attentes décrites dans le document.
- Au cours des mois suivants, les cosignataires ont engagé un dialogue avec de nombreuses organisations, par écrit et virtuellement. Les cosignataires ont également échangé avec l’alliance pour l’atténuation des effets de l’extraction non autorisée de données (Mitigating Unauthorized Scraping Alliance [MUSA]), qui a communiqué avec les cosignataires pour leur faire part de son point de vue sur l’atténuation des effets de l’extraction non autorisée de donnéesNote de bas de page 3.
- Les cosignataires ont également été contactés par une société commerciale spécialisée dans l’extraction de données qui leur a fourni des détails sur ses efforts pour recueillir en toute légalité des données accessibles au public (qui peuvent inclure des données à caractère personnel). Bien que la présente déclaration finale et la déclaration initiale ne visent pas principalement les extracteurs de données, les extracteurs de données commerciaux devraient prendre note du fait que les données à caractère personnel accessibles au public seront généralement visées par les lois sur la protection des données et des renseignements personnels et qu’ils devraient donc mettre en œuvre des mesures pour se conformer à ces lois.
- Grâce à ces échanges, les cosignataires ont pu collaborer avec les intervenants de l’industrie de manière significative et coordonnée tout en adoptant une position commune. Cette situation a aussi permis aux intervenants concernés d’expliquer leurs approches respectives en matière de protection des données et des renseignements personnels dans le cadre d’interactions directes et pratiques avec un échantillon diversifié de la communauté mondiale des organismes de réglementation de la protection de la vie privée.
- Les cosignataires présentent ci-dessous les leçons tirées de leurs discussions avec les représentants de l’industrie ainsi que des attentes supplémentaires à l’égard des organisations qui hébergent des données personnelles accessibles au public.
Leçons tirées et attentes des cosignataires
- Comme dans la déclaration initiale, bon nombre des recommandations ci-dessous sont des exigences prévues par la loi dans certaines ou toutes les administrations.
- L’un des principaux points à retenir de la déclaration initiale est que dans la plupart des administrations, les renseignements personnels qui sont accessibles au public sont encore visés parles lois sur la protection des données et des renseignements personnels. Les EMS et autres exploitants de sites Web qui hébergent des données personnelles accessibles au public sont tenus, en application des lois sur la protection des données et des renseignements personnels, de protéger les données personnelles contenues sur leurs plateformes contre l’extraction non autorisée.
Défis et solutions pour suivre l’évolution des pratiques d’extraction de données
- Dans la déclaration initiale, les cosignataires ont souligné la nécessité pour les EMS et autres organisations de mettre en œuvre une approche à couches multiples pour protéger les données accessibles au public sur leurs plateformes contre l’extraction illégale.
- Dans le cadre de la mobilisation qui a suivi la publication de cette déclaration, les cosignataires ont établi que, bien que les EMS soient confrontés à des défis en matière de protection contre l’extraction illégale de données (par exemple le degré de sophistication croissant des extracteurs de données, les progrès constants de la technologie d’extraction de données, la difficulté de différencier les extracteurs de données des utilisateurs autorisés ou légitimes, et la nécessité de maintenir une interface conviviale), ils sont déterminés à se protéger contre l’extraction illégale de données.
- Les EMS ont généralement confirmé avoir mis en œuvre un grand nombre des mesures énumérées dans la déclaration initiale, notamment :
- Affecter une équipe de l’organisation à la surveillance des activités d’extraction, ou définir des fonctions précises (rôles) à cet égard, en vue de cerner et de mettre en œuvre des mesures de contrôle pour protéger l’organisation contre l’extraction de données et y réagir le cas échéant.
- Limiter le nombre de visites par heure ou par jour d’un compte à d’autres profils de compte et en limiter l’accès si une activité inhabituelle est détectée.
- Surveiller la rapidité et l’intensité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs.
- Prendre des mesures pour détecter les extracteurs de données et l’activité des robotsNote de bas de page 4, par exemple en procédant à des tests captchaNote de bas de page 5, et en bloquant l’adresse IP lorsqu’une activité d’extraction de données est détectée.
- Si une extraction de données est soupçonnée ou confirmée, prendre les mesures juridiques qui s’imposent, comme envoyer des mises en demeure exigeant que l’extracteur cesse ses activités d’extraction et supprime tous les renseignements extraits ainsi qu’obtenir la confirmation que les renseignements ont été supprimés.
- Suivre de près l’évolution des menaces et des nouvelles technologies afin d’élaborer des mesures de protection et de les adapter en conséquence.
- Dans le cadre de leurs échanges, les cosignataires ont également pris connaissance d’autres mesures, en plus de celles décrites dans la déclaration initiale, que les organisations emploient pour se protéger contre l’extraction de données, comme la mise en œuvre d’éléments de conception de la plateforme qui rendent plus difficile l’extraction de données automatisée (par exemple des URL de compte aléatoires, des éléments de conception d’interface aléatoires et des outils permettant de détecter et de bloquer le trafic Internet malveillant).
- Les cosignataires ont appris que l’émergence rapide de l’IA peut représenter une menace pour la vie privée. Les EMS leur ont dit que les extracteurs de données utilisent désormais l’IA pour extraire des données plus efficacement (par exemple grâce à des robots « intelligents » capables de simuler l’activité d’un utilisateur réel). En outre, les EMS ont expliqué qu’elles utilisent également l’IA pour mieux détecter l’extraction non autorisée et se protéger contre cette pratique, soulignant que les outils d’IA innovants peuvent aussi faire partie de la solution.
- Au bout du compte, les cosignataires ont appris que si aucune mesure ne garantit une protection contre toutes les formes d’extraction illégale de données – étant donné qu’une extraction sophistiquée à faible volume peut souvent être semblable à l’activité d’un utilisateur – une combinaison dynamique de mesures de protection à couches multiples peut s’avérer particulièrement efficace contre l’extraction massive de données et contre les atteintes amplifiées qui peuvent en résulter lorsqu’un grand nombre d’individus sont concernés.
Petites et moyennes entreprises
- Les PME disposent rarement des mêmes ressources financières ou des mêmes capacités techniques que les EMS mondiales. Elles ne sont toutefois pas dispensées de leur responsabilité en matière de protection contre l’extraction illégale de données. En effet, de nombreuses PME hébergent de grandes quantités de données personnelles accessibles au public, qui devraient être protégées par une combinaison de mesures de contrôle à couches multiples sur le plan technique et procédural contre l’extraction de données.
- Grâce à la mobilisation de l’industrie, les cosignataires ont appris qu’il existe toute une série d’outils permettant de se protéger contre l’extraction illégale de données. Certains de ces outils, comme la détection des robots, la limitation du débit et les tests captcha, peuvent être accessibles aux PME disposant d’un budget plus modeste. Des fournisseurs de services tiers peuvent également aider les PME à se protéger contre l’extraction illégale de données. Toutefois, les cosignataires souhaitent souligner que le fait de faire appel à un fournisseur de services tiers ne dispense pas l’organisation de sa propre responsabilité en matière de protection des données personnelles.
- En fin de compte, conformément aux lois sur la protection des données et des renseignements personnels, les mesures de protection doivent être appropriées et proportionnelles à la sensibilité des données en question. Les organisations devraient donc limiter la quantité et la sensibilité des données qu’elles rendent accessibles au public à celles qu’elles peuvent protéger de manière adéquate contre l’extraction illégale.
Extraction autorisée par les entreprises de médias sociaux et extraction légitime
- Plusieurs EMS ont indiqué que, dans certaines circonstances, elles autorisent l’extraction ou d’autres formes de collecte massive de données à partir de leurs plateformes (par exemple au moyen de l’accès à l’API, dont il est question plus loin), afin de servir leurs propres intérêts commerciaux ou ceux de tiers, comme ceux liés à la gestion de la plateforme.
- Les entreprises ont expliqué qu’elles « autorisent » généralement cette collecte conformément à des clauses contractuelles, comme celles figurant dans leurs modalités d’utilisation. Les EMS ont également expliqué que, pour veiller à ce que l’extraction qu’elles autorisent soit légitime, leurs modalités contractuelles exigent généralement des tiers utilisant leur plateforme qu’ils respectent les lois applicables. Elles ont également expliqué qu’il peut leur être difficile de déterminer si les données extraites sont utilisées par ces parties uniquement aux fins autorisées par leur contrat.
- Les cosignataires soulignent que les clauses contractuelles ne peuvent pas, en soi, rendre légale l’extraction de données. Par exemple, les organisations doivent également prendre des mesures pour veiller à ce qu’il existe un fondement légitime pour accorder l’accès ou autoriser la collecte de données personnelles, à être transparentes quant à l’extraction qu’elles autorisent et à obtenir le consentement des individus concernés lorsque la loi l’exige.
- En outre, bien que les clauses contractuelles représentent une mesure de protection importante contre l’extraction illégale, une clause contractuelle indiquant que les tiers doivent se conformer aux lois applicables n’est pas suffisante. Les organisations devraient mettre en œuvre des mesures adéquates afin de garantir que l’utilisation contractuellement autorisée des données personnelles extraites est conforme aux lois applicables en matière de protection des données et des renseignements personnels. Le contrat pourrait, par exemple, préciser les limites des données qui peuvent être extraites et les fins auxquelles elles peuvent être utilisées ainsi que les conséquences du non-respect de ces modalités. Les organisations ne peuvent toutefois pas se contenter de prendre des mesures contractuelles. Elles devraient également mettre en œuvre des mesures permettant de surveiller le respect des limitations contractuelles par les tiers et de faire appliquer ces limitations en cas de non-respect.
Accès aux données à des fins de recherche et à d’autres fins potentiellement bénéfiques pour la société
- Dans certaines circonstances, les EMS peuvent être tenues par la loi de fournir à des tiers, comme des chercheurs, un accès à grande échelle aux données accessibles au public sur leurs plateformes (par exemple en vertu de l’article 40 du Règlement sur les services numériques de l’Union européenneNote de bas de page 6). Dans d’autres circonstances, nous avons appris que les EMS peuvent choisir de donner accès aux données à des tiers, même s’il n’y a pas d’obligation légale de le faire (par exemple pour soutenir une recherche socialement bénéfique). Un certain nombre d’entreprises ont indiqué qu’elles fournissaient souvent cet accès au moyen d’une API, en particulier lorsqu’elles sont tenues ou autorisées par la loi à accorder un accès à grande échelle.
- Bien que les cosignataires reconnaissent l’importance de la recherche socialement bénéfique, ils souhaitent rappeler aux EMS et aux autres organisations qui hébergent des données personnelles accessibles au public que, lorsqu’elles autorisent l’accès ou la collecte à grande échelle, les organisations doivent veiller à respecter les lois applicables en matière de protection des données et des renseignements personnels, notamment en s’assurant qu’il existe un fondement légitime à l’octroi de l’accès ou à la collecte. Plus précisément, les cosignataires observent que ce ne sont pas toutes les lois sur la protection des données et des renseignements personnels qui prévoient des fins d’intérêt public, de recherche ou de statistiques comme exception à l’obligation de consentement ou comme fondement légitime pour le traitement des données à caractère personnel. En outre, lorsque de telles exceptions existent, leur champ d’application peut être limité.
- Les cosignataires reconnaissent également que, lorsqu’il est conforme à la loi d’autoriser l’accès ou la collecte à grande échelle, les API peuvent constituer une garantie supplémentaire contre l’extraction illégale. Même si les API ne sont pas impénétrables, elles peuvent permettre à l’hébergeur de mieux contrôler les données sur sa plateforme et faciliter la détection et l’atténuation des effets des accès non autorisés, grâce à l’utilisation de justificatifs d’identité ainsi qu’à la journalisation et à la surveillance des activités associées.
Utilisation par les entreprises de médias sociaux de données extraites et de données provenant de leurs propres plateformes pour le développement de l’intelligence artificielle
- Les cosignataires ont profité de l’occasion offerte par cette initiative pour discuter avec les EMS de leur propre extraction de données et de l’utilisation d’ensembles de données extraites pour former leurs grands modèles linguistiques, qui présentent non seulement des possibilités d’innovation, mais aussi des risques importants pour la vie privée.
- À la lumière des leçons tirées de ces échanges, les cosignataires souhaitent rappeler aux EMS et aux autres organisations susceptibles d’utiliser des données personnelles extraites ou des données recueillies sur leurs propres plateformes pour le développement, l’exploitation et le déploiement de systèmes d’IA générative, qu’elles doivent se conformer aux lois sur la protection des données et des renseignements personnels, ainsi qu’à toute autre loi relative à l’IA le cas échéant. Les cosignataires demandent également à ces organisations de se conformer aux principes de protection des renseignements personnels et des données, comme ceux détaillés dans la Résolution de l’Assemblée mondiale de la vie privée sur les systèmes d’intelligence artificielle générative de 2023 et dans d’autres directives internationalesNote de bas de page 7. Plus précisément, les cosignataires soulignent que les lois sur la protection des données et des renseignements personnels déterminent si et dans quelle mesure la collecte et l’utilisation de données personnelles pour le développement de l’IA sont légitimes.
Conclusion
- Depuis la publication de la déclaration initiale, l’extraction illégale de données a suscité une attention croissante, en partie en raison de l’émergence et du déploiement rapides de systèmes d’intelligence artificielle génératifs. Cette pratique a également fait l’objet, et continue de faire l’objet, d’un vaste débat à l’échelle mondiale, tant au sein des autorités de protection des données que dans l’industrie.
- Les cosignataires souhaitent reconnaître le travail des différentes autorités de protection des données qui ont élaboré des orientationsNote de bas de page 8 sur les pratiques liées à l’extraction de données. Dans ces orientations, nous notons le thème commun selon lequel les données personnelles accessibles au public sont généralement visées par les lois sur la protection des données et des renseignements personnels et doivent être protégées de manière adéquate contre l’extraction illégale.
- Les cosignataires souhaitent également souligner qu’ils s’attendent à ce que toutes les entreprises, et pas seulement les EMS, protègent les données personnelles accessibles au public qu’elles hébergent contre l’extraction illégale. Le fait de ne pas mettre en œuvre des mesures de protection adéquates en conformité avec les lois applicables pourrait entraîner une intervention réglementaire, y compris des mesures d’application.
- Les cosignataires souhaitent également rappeler à ceux qui pratiquent l’extraction de données, ainsi qu’aux EMS et aux autres organisations qui utilisent les données de leurs propres plateformes pour entraîner l’IA, la nécessité de mettre en œuvre des mesures garantissant que leurs pratiques en matière de données sont conformes aux lois relatives à la protection des données et des renseignements personnels.
- L’extraction de données est une question complexe, vaste et évolutive qui est, et restera, une préoccupation pour les autorités de protection des données. Elle devrait également être au centre des préoccupations des autres parties prenantes qui ont un rôle à jouer dans la protection des renseignements personnels, y compris celles que nous avons mobilisées dans le cadre de cette initiative. Les cosignataires continueront à œuvrer pour promouvoir la conformité dans ce domaine, notamment grâce à d’autres collaborations avec les parties prenantes concernées, à l’élaboration de politiques complémentaires, à des campagnes d’éducation du public et à l’applicationNote de bas de page 9, y compris l’application concertée, de la législation.
- Parallèlement, les cosignataires encouragent les EMS à continuer à collaborer entre elles et avec d’autres parties prenantes afin de mettre en commun leurs connaissances et leurs stratégies et d’élaborer des solutions pour faire face à cette menace commune et y répondre.
- Les cosignataires souhaitent remercier les EMS et les parties prenantes de l’industrie qui ont fait preuve d’ouverture lors des discussions avec les organismes de réglementation. Cette ouverture a permis aux cosignataires de définir leurs attentes et de les communiquer sans qu’il soit nécessaire de prendre des mesures d’application officielles et nécessitant beaucoup de ressources, ce qui a été avantageux pour tout le monde.
La présente déclaration est émise par les membres suivants du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée.
Carly Kind
Commissaire à la protection de la vie privée
Commissariat à l’information de l’Australie
Australie
Philippe Dufresne
Commissaire
Commissariat à la protection de la vie privée du Canada
Canada
Stephen Bonner
Sous-commissaire – Supervision réglementaire
Commissariat à l’information
Royaume-Uni
Ada Chung Lai-ling
Commissaire à la protection de la vie privée
Commissariat à la protection de la vie privée et des données personnelles
Hong Kong
Chine
Adrian Lobsiger
Commissaire
Préposé fédéral à la protection des données et à la transparence
Suisse
Tobias Judin
Responsable de la Section internationale
Datatilsynet
Norvège
Michael Webster
Commissaire
Commissariat à la protection de la vie privée
Nouvelle-Zélande
Cielo Angela Peña Rodriguez
Surintendante adjointe pour la protection des données personnelles de Colombie
Superintendencia de Industria y Comercio (Surintendance de l’industrie et du commerce)
Colombie
Paul Vane
Commissaire à l'information
Bureau du commissaire à l'information de Jersey
Jersey
Omar Seghrouchni
Président
Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel
Maroc
Beatriz de Anchorena
Directrice
AAIP (Agence pour l'accès à l'information publique)
Argentine
Josefina Román Vergara
Commissaire
INAI (Institut national pour la transparence, l'accès à l'information et la protection des données personnelles)
Mexique
Brent R Homan
Commissaire
ODPA (Autorité de protection des données)
Guernsey
Mar España Martí
Directrice
AEPD (Agence Espagnole de protection des données)
Espagne
Robert Chanas
Président
CCIN (Commission de Contrôle des Informations Nominatives)
Monaco
Gilad Semama
Commissaire
Autorité de protection des données
Israel
- Date de modification :