Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 5 juin 2023

Données personnelles

La traque des faux avis en ligne

• Un décret du 1^er juin 2023 encadre un futur traitement de données personnelles appelé "Polygraphe". Ce traitement a pour but de collecter, traiter et analyser les avis en ligne présents sur les sites internet des plateformes en ligne, spécifiquement « Google Maps » et « Tripadvisor », afin de faciliter les enquêtes sur les professionnels suspectés d’avoir publié de faux avis.
  Le décret énumère les données enregistrées dans ce traitement, incluant les données des auteurs des avis, des professionnels visés et du contenu des avis eux-mêmes.
  Certaines garanties sont mises en place, comme la suppression automatique des données sensibles après cinq jours ouvrés suite à la collecte et la conservation des autres données pendant une durée maximale de six mois. Les agents autorisés de la concurrence, de la consommation et de la répression des fraudes peuvent accéder aux données dans le cadre de leurs attributions et missions.
  La CNIL, dans son avis n° 2022-125 du 15 décembre 2022, avait exprimé son soutien aux objectifs de ce traitement, mais soulignait la nécessité de garanties suffisantes pour protéger les droits et libertés fondamentaux, notamment la liberté d’expression et d’opinion. Elle recommandait une minimisation des données collectées, une protection des données dès la conception et une phase d’expérimentation pour évaluer la faisabilité et les mesures prises, dans le cadre délicat et particulier de ce traitement réalisé par une technique de « webscrapping ».
  La CNIL demandait ainsi des précisions sur les plateformes concernées, des mesures pour limiter l’extraction de données non pertinentes, et une suppression immédiate des données non pertinentes. Elle recommandait également d’éviter la collecte de données sensibles, sauf nécessité absolue. La CNIL estimait aussi que le projet de traitement ne pouvait pas être autorisé par un simple arrêté, mais par un décret prévu en Conseil d’État.
  Ces préoccupations pertinentes de la CNIL ont été suivies par le décret. Les plateformes concernées ont été expressément désignées pour un champ de collecte restreint (« Google Maps » et « Tripadvisor »), un encadrement spécifique est prévu afin de respecter au mieux le principe de minimisation des données, la limitation temporelle du traitement de données sensibles ou non.
  Elle recommandait plus largement, une information générale compréhensible pour les internautes, des garanties spécifiques de...