Cette décision de ChatGPT pourrait « faire pencher la balance ». Le président de l'Office de protection des données personnelles annonce quand la décision sera prise

• - Si les hommes politiques réfléchissaient, la réglementation dans sa forme actuelle leur permettrait d'atteindre les objectifs qu'ils se sont fixés sans violer les principes de protection des données personnelles - déclare Mirosław Wróblewski, président de l'Office pour la protection des données personnelles, dans une interview avec WNP à propos de la divulgation des données de Jerzy Ż. dans la campagne électorale.
• Wróblewski critique le modèle économique de Facebook. - Il y a un élément de protection de notre dignité dans la vie privée, c'est un droit fondamental. Je ne pense pas qu’il soit approprié de facturer des frais pour protéger nos droits fondamentaux, dit-il.
• Le président de l'Office de protection des données personnelles annonce qu'une décision dans l'affaire révolutionnaire concernant OpenAI sera prise d'ici décembre. Le Dr Łukasz Olejnik, chercheur en cybersécurité, s'est plaint auprès du bureau que le créateur de ChatGPT traitait illégalement ses données.
• Wróblewski explique également comment le RGPD pourrait bientôt changer. La Commission européenne a récemment présenté ses propositions à ce sujet.

La position du président de l’UODO est-elle politique ?

- Qu'est-ce que tu veux dire par là ?

Vous divergez beaucoup dans votre appréciation de certaines situations de votre prédécesseur. Par exemple, en ce qui concerne les élections sous enveloppe.

- Nous divergeons certes, mais mes appréciations se fondent avant tout sur la jurisprudence de la Cour de justice et des tribunaux administratifs. Je ne pense pas que cela ait quelque chose à voir avec la politique.

Les politiciens seront punis pour avoir utilisé des données dans leurs campagnes

Et le RGPD lui-même est-il un outil de lutte politique ?

- Je sais où tu veux en venir. La question du traitement des données personnelles apparaît également dans les activités publiques. Les événements récents montrent que, malheureusement, les émotions, la précipitation ou des éléments de lutte électorale font souvent oublier aux hommes politiques la nécessité de respecter les dispositions relatives à la protection des données personnelles.

Il ne faudrait pas qu’il en soit ainsi : si les politiciens réfléchissaient, la réglementation dans sa forme actuelle leur permettrait d’atteindre les objectifs qu’ils se sont fixés sans violer les principes de protection des données personnelles. Il est possible de concilier le besoin de transparence, la divulgation de certaines informations et la protection de la vie privée des individus. Malheureusement, la campagne électorale et les émotions politiques ne favorisent pas cette réflexion.

Il s'agit du fait que Przemysław Czarnek et Rafał Trzaskowski ont révélé des détails sur la personne à qui le candidat à la présidence Karol Nawrocki était censé acheter un studio. Quelles conséquences ces politiciens peuvent-ils subir de la part du président de l'UODO ?

- Nous sommes en train d'enquêter, donc théoriquement toutes les conséquences sont possibles. Tant que la procédure n’est pas terminée, cela ne peut être déterminé.

Alors, à quelles sanctions s’exposent-ils ?

- L'amende maximale pour violation des dispositions du RGPD pour les administrateurs non commerciaux est de 20 millions d'euros . Bien sûr, je ne m’attends pas à ce que nous parlions de tels montants. Pour l'instant, je me demande comment je devrais réagir après la procédure. Les sanctions sont censées agir comme une sanction efficace d’une part, et comme un moyen de dissuasion d’autre part, mais j’aimerais y ajouter un élément éducatif.

L'Office de protection des données personnelles a déjà préparé un guide sur le traitement des données personnelles dans le cadre de la campagne électorale, et j'ai également rappelé ces recommandations cette fois-ci. Comme vous pouvez le constater, on ne peut jamais avoir trop d’éducation. Lorsque la température autour des élections se refroidira, je proposerai après les vacances, comme je l'ai déjà annoncé, aux présidents de la Diète et du Sénat, en coopération avec les organes électoraux, des cours de formation, entre autres. pour les employés des bureaux des parlementaires. Je suppose qu’ils sont souvent responsables de problèmes liés aux données personnelles et je souhaite que cette sensibilisation s’accroisse afin que des violations similaires ne se reproduisent plus.

J'ai posé une question sur la politique parce que les deux parties du conflit vous ont appelé comme arbitre lorsque l'adversaire a montré trop de données. Même si ces mêmes personnes critiquaient auparavant les lois qui les protègent.

- D'une part, il est de ma responsabilité d'enquêter sur les violations en tant que président du bureau, mais d'autre part, sur le plan humain, je suis très blessé par les situations où les informations les plus sensibles d'une personne âgée qui ne voudrait probablement pas qu'elles soient discutées aussi largement sont traitées publiquement. Il s'agit ici d'un clin d'œil à de nombreux médias, qui ont souvent fait preuve d'une sensibilité bien plus grande que les politiques et ont su anonymiser les données les plus sensibles.

De grands changements dans le RGPD ? Une bonne direction, mais il y a un hic

Les réglementations en matière de protection des données devraient évoluer dans un avenir proche. La révision du RGPD est-elle une étape nécessaire ?

- La Commission européenne a eu l’idée de limiter les obligations liées à la tenue d’un registre des activités de traitement pour les entreprises. La limite de cette simplification doit être portée de 250 à 750 salariés. J’évalue cette initiative de manière positive en principe, mais j’ai une réserve.

Quoi?

- Cette limite ne peut pas être traitée de manière totalement automatique. Dans le domaine numérique, nous pouvons également avoir affaire à de petites entreprises qui emploient peu de salariés et traitent des données personnelles très sensibles. Les règles qui les régissent devraient être construites différemment en raison des risques élevés que présente le traitement pour les droits et libertés des personnes. Nous avons attiré l’attention sur ce point dans l’avis conjoint des autorités de contrôle européennes – le Comité européen de la protection des données et le Contrôleur européen de la protection des données.

Par exemple, les plateformes d’achat en ligne ?

- Par exemple, les pharmacies en ligne. Ils n’ont pas besoin de beaucoup d’employés et pourtant ils traitent intrinsèquement des données de santé.

À mon avis, la simplification devrait s’appliquer à une autre catégorie d’entités : les organisations non gouvernementales. Les exigences qui leur sont imposées sont les mêmes que celles des entreprises, mais leurs opportunités sont incomparablement moindres. À la mi-juin, nous organisons une conférence des autorités européennes de protection des données et je souhaite y aborder ce sujet.

Voyez-vous la nécessité d’apporter d’autres modifications au RGPD ?

- Je crois que les changements juridiques dans ce domaine ne sont pas la chose la plus importante. Les entrepreneurs ont généralement besoin de soutien dans le domaine de l’application du RGPD , mais ils se sont déjà habitués à l’existence de ce règlement, et de nouveaux changements juridiques pourraient provoquer un chaos inutile dans la protection des données. D’autant plus que nous sommes confrontés à des défis plus urgents, comme la mise en œuvre de nouvelles réglementations européennes qui sont déjà entrées en vigueur, mais en Pologne, il n’existe pas encore d’appareil institutionnel désigné pour les mettre en œuvre.

Vous parlez du Digital Services Act (DSA). Nous avons été traduits devant la CJUE pour non-application de cette loi.

- Dans la file d'attente, il y a aussi l'AI Act, le Data Governance Act, la directive NIS2 relative à la cybersécurité, et on pourrait continuer encore longtemps. Il y a ici beaucoup d’incertitude, car les entités devront souvent appliquer deux ou trois réglementations aussi importantes et concentrer leurs efforts sur celles-ci. Le législateur européen nous a lancé de nombreux défis. Par conséquent, un autre changement simultané, cette fois dans le domaine du RGPD, n’est pas le plus attendu.

D'ici la fin de l'année, l'Office de protection des données personnelles rendra une décision concernant OpenAI.

Monsieur le Président, les registres fonciers et hypothécaires seront-ils des données personnelles ou non ?

- Les numéros de registre foncier et hypothécaire sont des données personnelles – nous le savons grâce au jugement définitif de la Cour administrative suprême. Aujourd’hui, il est difficile de garantir simultanément la transparence des registres fonciers et hypothécaires conformément aux dispositions de la loi sur les registres fonciers et hypothécaires et la protection de la vie privée.

Est-ce conciliable ?

- Nous espérons qu'un mécanisme sera mis en place qui permettra l'accès aux livres, mais avec authentification de la personne qui y a accès. L’idée est d’empêcher les systèmes de rechercher des livres à l’aide d’outils automatisés qui vendent ensuite ces connaissances sur Internet. Le ministère de la Justice a annoncé qu’il allait élaborer un projet pour résoudre ce problème. J'ai demandé des renseignements sur l'état d'avancement de ces travaux il y a un mois, mais je n'ai pas encore reçu de réponse concernant l'avancement des travaux.

Personnellement, j’aimerais vraiment voir ce problème résolu. Il s’agit toutefois d’un des aspects des problèmes liés à l’application effective des réglementations de l’UE à l’égard des entités enregistrées en dehors de celle-ci.

Les grandes entreprises technologiques ne peuvent pas être tenues responsables de leurs actes. Votre homologue irlandais, qui a mené les procédures pendant des années, est responsable de tout litige avec eux.

- C'est une question de la manière dont le RGPD a été construit. En effet, les procédures dans les cas que nous devons renvoyer à l’Irlande prennent des années, ce qui explique pourquoi nous n’avons pas l’impression qu’il existe un système de surveillance efficace ici. Cette situation a déjà été résolue différemment dans la loi sur les services numériques, où c'est la Commission européenne, et non le pays où l'entreprise a son siège, qui est chargée de faire respecter la réglementation à l'encontre des grandes entreprises. Je ne considère pas ces solutions comme idéales, mais elles peuvent certainement faciliter et simplifier les procédures de traitement de tels cas.

Il n’y a pas que les cas transférés vers l’Irlande qui continuent. En août 2023, aucune décision n'avait été prise dans l'affaire du chercheur indépendant en cybersécurité Dr. Łukasz Olejnik, qui a déposé une plainte contre OpenAI. Il a allégué que l’entreprise traitait ses données de manière illégale.

- Je voulais que cette affaire soit close. Mais ensuite, l'administrateur s'est réveillé et a commencé à soumettre une documentation si complète qu'il faut beaucoup de temps pour l'analyser.

En termes simples : OpenAI vous a-t-il inondé de documents ?

- Je n'utiliserais pas de tels mots.

Je l'ai utilisé.

- Je ne le nierai pas. J'ai demandé à mes collègues de traiter cette affaire le plus rapidement possible, mais nous devons également maintenir les normes et l'équité procédurale, car si nous ne le faisons pas, le moindre oubli ou la moindre précipitation sera plus tard le moyen le plus simple de contester la décision devant le tribunal administratif. Une erreur mineure suffit à anéantir une grande partie du travail de fond.

Quand saurons-nous qui a raison ?

- J'aimerais terminer le travail au plus tard pendant les vacances. La date limite finale pour moi est la fin de l'année.

Votre décision pourrait avoir un impact sur l’ensemble des activités d’OpenAI en Europe.

- L'entreprise va certainement le remettre en question, je suis prêt à cela. Poczta Polska, qui a reçu la sanction la plus lourde jamais infligée par l'office dans le cadre de l'affaire des élections sous enveloppe , a également fait appel devant le tribunal administratif. Il a le droit de le faire, mais c’est précisément pour cela que nous devons veiller à ce que les procédures soient respectées.

Les critiques diront que vous limitez le développement de l’intelligence artificielle en Pologne.

- Bien sûr, quelqu'un peut le traiter de cette façon. Cependant, je dirai ceci : notre objectif n’est pas de bloquer quoi que ce soit. Il ne s’agit pas d’interdire à quiconque d’organiser des conférences de presse de campagne ou de créer des applications utiles basées sur l’IA. L’objectif est de pouvoir atteindre l’objectif tout en préservant la protection des données personnelles. Et bien sûr, c’est souvent très difficile – cela nécessite des efforts, l’introduction de nouvelles solutions technologiques et juridiques. Mais il n’y a vraiment pas d’autre moyen que de poursuivre ces deux objectifs.

Je voudrais souligner une chose encore. Les décisions du Président de l'UODO ne sont jamais rédigées sous la forme « non, à cause du RGPD ». Nous nous efforçons de fournir des conseils sur la manière de parvenir à la conformité réglementaire. Cela nécessite bien sûr que nos partenaires trouvent des solutions, qu’elles soient d’ordre juridique ou technique.

La protection de la vie privée est un droit fondamental. Facebook ne peut pas facturer cela

Facebook a trouvé une solution à l'ingérence excessive dans la vie privée des utilisateurs en introduisant l'option « payer ou ok », c'est-à-dire accepter la surveillance ou payer. Et le président n’a toujours pas aimé.

- Parfois, trouver une solution demande plus d’efforts, parfois c’est très difficile. Mais sans cela, il n’y a pas de progrès.

Quel est le problème avec ce modèle selon lequel nous payons Facebook soit avec des données, soit avec de l’argent pour l’utilisation ?

- Certains défis sont de nature éthique.

Il y a un élément de protection de notre dignité dans la vie privée, c'est un droit fondamental. Je ne pense pas qu’il soit approprié de facturer des frais pour protéger nos droits fondamentaux.

Meta vous permet également d'exclure vos données de la formation de l'IA.

- Après mon expérience avec cette entreprise, je vois qu'elle est capable de changement et de coopération. C’est le cas de l’escroquerie qui a touché, entre autres, M. Rafał Brzoska. Un outil a été créé permettant la détection automatique de ces publicités frauduleuses .

Ce qui ne fonctionne pas, comme l’a prouvé le CERT Polska au NASK.

- Oui, mais des tentatives sont faites pour résoudre le problème et l'entreprise est réactive, même si elle n'était pas du tout réactive au début. Je crois que les entreprises répondront aux problèmes que nous soulevons parce qu’elles sont pragmatiques et ne veulent pas s’attirer d’ennuis.

Est-ce une leçon que les entrepreneurs polonais doivent également apprendre ? Chaque année, le nombre et la gravité des amendes imposées aux entrepreneurs polonais par l’Office augmentent.

- Cela est dû au fait que les attentes concernant le respect du RGPD après sept ans d’entrée en vigueur du règlement sont plus élevées qu’elles ne l’étaient au début. Après ce temps, il est difficile de justifier que quelqu’un ne sache pas à quoi ressemblent les devoirs de base.

N'y a-t-il aucune pitié ?

- Certainement. L’UODO a évidemment une mission éducative : nous voyageons à travers la Pologne, rencontrons des entrepreneurs et coopérons avec les gouvernements locaux. Il est toutefois indéniable que les activités de contrôle, d’application et de poursuite en cas de violation sont en cours. Je pense qu’il ressort déjà clairement des décisions prises cette année que le secteur public a également beaucoup à faire en matière de protection des données personnelles.