Données personnelles, CNIL et autres APD

[0100011]

La solution existe et est simple : il suffit de rajouter un coût à ses communications pour déjouer l'espionnage aisé. Par exemple la jouer à la Van Riper : https://en.m.wikipedia.org/wiki/Millennium_Challenge_2002

 

C'est normal, il faut payer un prix pour la discrétion pas besoin de constructions technologiques complexes comme la blockchain. Je ne crois pas qu'on puisse avoir le beurre et l'argent du beurre.

[Mathieu_D]

On n'a jamais été aussi libres maintenant qu'on divulgue tout tout seul comparé à l'époque où les voisins s'épiaient et se cachaient.

[0100011]

10 minutes ago, Mathieu_D said:

On n'a jamais été aussi libres maintenant qu'on divulgue tout tout seul comparé à l'époque où les voisins s'épiaient et se cachaient.

C'est pas clair pour moi : on n'a pas encore eu de tyran 2.0 utilisant toute  la puissance du big data pour ses sombres oeuvres. On verra bien ce qu'il peut rester de liberté dans une telle situation ...

[Mathieu_D]

Il y a un potentiel dystopique c'est sûr.

[cedric.org]

3 hours ago, Neomatix said:

Si tout le monde s'en branle, qu'est-ce qu'on s'en fout ?

 

Pire encore : qu'est-ce qu'on peut y faire ? Si tout le monde s'en contrefout ça n'est pas un avantage comparatif, même si la solution blockchain parfaite existait.

Oh, le but est simple : éviter un futur dystopique. Et comme tout le monde s'en fout il faut

faire mieux pour moins cher. Mieux, c'est possible, moins cher (ou plus rentable) jusqu'à maintenant c'était impossible. La blockchain permet cela.

3 hours ago, Neomatix said:

Si tout le monde s'en branle, qu'est-ce qu'on s'en fout ?

 

Pire encore : qu'est-ce qu'on peut y faire ? Si tout le monde s'en contrefout ça n'est pas un avantage comparatif, même si la solution blockchain parfaite existait.

Oh, le but est simple : éviter un futur dystopique. Et comme tout le monde s'en fout il faut

faire mieux pour moins cher. Mieux, c'est possible, moins cher (ou plus rentable) jusqu'à maintenant c'était impossible. La blockchain permet cela.

3 hours ago, Neomatix said:

Si tout le monde s'en branle, qu'est-ce qu'on s'en fout ?

 

Pire encore : qu'est-ce qu'on peut y faire ? Si tout le monde s'en contrefout ça n'est pas un avantage comparatif, même si la solution blockchain parfaite existait.

Oh, le but est simple : éviter un futur dystopique. Et comme tout le monde s'en fout il faut

faire mieux pour moins cher. Mieux, c'est possible, moins cher (ou plus rentable) jusqu'à maintenant c'était impossible. La blockchain permet cela.

3 hours ago, Neomatix said:

Si tout le monde s'en branle, qu'est-ce qu'on s'en fout ?

 

Pire encore : qu'est-ce qu'on peut y faire ? Si tout le monde s'en contrefout ça n'est pas un avantage comparatif, même si la solution blockchain parfaite existait.

Oh, le but est simple : éviter un futur dystopique. Et comme tout le monde s'en fout il faut

faire mieux pour moins cher. Mieux, c'est possible, moins cher (ou plus rentable) jusqu'à maintenant c'était impossible. La blockchain permet cela.

 

 

Édit : pdm.

[Neomatix]

OK, OK, j'ai compris.

[NoName]

Le 24/08/2017 à 05:32, cedric.og a dit :

Comme quoi, il faut réfléchir à deux fois avant de cliquer sur "accepter de partager mes informations de géolocalisation". Question de bon sens, perdu depuis quelques années au moment les éditeurs se sont mis à demander l'autorisation de regarder dans ton slip pour la moindre app de coussin péteur. Ce n'était pas pour rien.

Le web a encore de beaux jours devant lui.

 

J'avoue que ça me casse un peu les boules aussi. Même contrepoints demande pas mal d'autorisations.

 

Enfin j'imagine que les apps peuvent pas géolocaliser quand on coupe son GPS non ?

 

Si c'est le cas les gars chez Google doivent croire que j'habite sur le toit d'un camion qui fait Troyes Reims toutes les semaines. 

[0100011]

On 25/08/2017 at 9:58 PM, NoName said:

 

J'avoue que ça me casse un peu les boules aussi. Même contrepoints demande pas mal d'autorisations.

 

Enfin j'imagine que les apps peuvent pas géolocaliser quand on coupe son GPS non ?

 

Si c'est le cas les gars chez Google doivent croire que j'habite sur le toit d'un camion qui fait Troyes Reims toutes les semaines. 

 

Le GPS aide pour te géolocaliser mais si on te cherche vraiment on peut y arriver autrement. Typiquement si tu laisses ton Wifi en marche ce dernier va en permanence chercher à se connecter à un réseau ouvert (c'est simple en ville c'est 10 réseaux tous les 3 mètres). Pour ce faire il va envoyer une requette dans laquelle il y a la liste des wifi que tu as enregistrés (chez toi, le mac do où tu vas, l'aéroport par lequel tu es passé etc.). Il y a toutes les chances que cette liste soit unique au monde : ça suffit donc pour t'identifier sans qu'il n'y ait besoin de login ou d'autres informations. Un adversaire puissant, disons la NSA, peut prendre le controle de suffisamment de point Wifi pour te pister sans GPS par exemple. Je ne parle meme pas de la triangulation du signal GSM de ton mobile (c'est trop facile) avec de fausses bornes espionnes. 

[NoName]

Ha ça par contre... 

Bon ça va je suis du genre à couper le Wi-Fi des que je suis pas chez moi (et la de toute façon y a mon nom sur l'adresse) 

Mais oui c'est évident que de toute façon, à moins de chercher délibérément à disparaître et d'y mettre un max de ressources toute organisation assez puissante et déterminée te trouvera. 

[cedric.org]

50 minutes ago, Kassad said:

 

Le GPS aide pour te géolocaliser mais si on te cherche vraiment on peut y arriver autrement. Typiquement si tu laisses ton Wifi en marche ce dernier va en permanence chercher à se connecter à un réseau ouvert (c'est simple en ville c'est 10 réseaux tous les 3 mètres). Pour ce faire il va envoyer une requette dans laquelle il y a la liste des wifi que tu as enregistrés (chez toi, le mac do où tu vas, l'aéroport par lequel tu es passé etc.). Il y a toutes les chances que cette liste soit unique au monde : ça suffit donc pour t'identifier sans qu'il n'y ait besoin de login ou d'autres informations. Un adversaire puissant, disons la NSA, peut prendre le controle de suffisamment de point Wifi pour te pister sans GPS par exemple. Je ne parle meme pas de la triangulation du signal GSM de ton mobile (c'est trop facile) avec de fausses bornes espionnes. 

Au passage, chose amusante, même wi-fi coupé, (et j'ai un doute : même gps coupé) il va quand même par défaut regarder de temps en temps pour localiser. C'est amusant. Il faut dire qu'au départ c'est pour aider l'utilisateur, ce qui est loin d'être con. Mais l'enfer est pavé de bonnes intentions.

[Adrian]

Règlement ePrivacy : Ne laissons pas l’UE vendre notre vie privée

 

Citation

Sous la pression de certaines grandes entreprises, de nombreux députés européens sont prêts à autoriser des sociétés privées telles que Orange, Gmail, Whatsapp ou Snapchat d’exploiter nos communications dans un but commercial et sans notre accord (voir les amendements déposés dans ce sens, en anglais).

Cette autorisation prendrait la forme de deux exceptions à l’obligation d’obtenir notre consentement.

 

Dès qu’une entreprise aura un « intérêt légitime » (tel un intérêt économique) à analyser ou revendre nos communications, elle sera autorisée à le faire sans notre consentement. Elle devra seulement s’assurer que son activité ne nuit pas « de façon excessive » aux personnes dont les échanges sont captés.

Cette notion de nuisance excessive est cependant très permissive : dans un premier temps, l’entreprise décidera seule de ce qui est « excessif » ou non. Il faudra ensuite saisir la CNIL pour que celle-ci se penche sur la question et vérifie que cet équilibre a bien été respecté.

 

Dans tous les cas, que la nuisance soit excessive ou non, des motifs économiques autoriseront des atteintes au secret de nos communications qui, jusqu’alors, n’étaient possibles qu’avec notre accord.

 

En pratique, pour communiquer par téléphone ou sur Internet, nous devons demander à un ou plusieurs prestataires de transmettre nos communications sur le réseau. Notre demande les autorise naturellement à traiter nos échanges pour pouvoir les diffuser.

 

Toutefois, désormais, ces entreprises seront aussi autorisées à réaliser tout « traitement ultérieur » de nos communications — à les réutiliser –, sans notre accord. Elles devront seulement s’assurer que ce nouveau traitement poursuit un objectif « compatible » avec notre demande initiale.

 

Difficile d’anticiper ce que pourrait être un traitement « compatible ». Néanmoins, les entreprises qui soutiennent cette exception indiquent clairement le faire pour des raisons commerciales.

 

Enfin, ici encore, dans un premier temps, chaque entreprise décidera seule de ce qui est ou non « compatible ».

 

Citation

À la place, elle veut autoriser les entreprises à nous géolocaliser à la seule condition qu’elles posent une affiche indiquant que les personnes présentes dans un certain lieu sont surveillées, ainsi que la façon dont elles peuvent éviter cette surveillance (en coupant leur accès au réseau, typiquement).

 

Ainsi, par exemple, le gérant d’un centre commercial pourra tracer les déplacements de tous ses clients : savoir dans quels magasins ils s’arrêtent, le temps qu’ils y passent, avec qui, le nombre de fois qu’ils y reviennent dans les mois suivants, etc. Ce traçage pourrait tout aussi bien être étendu à l’échelle d’une ville ou d’un pays, pour faire de la publicité, établir des profils de consommation, de déplacement, de vie, etc.

 

Citation

L’an dernier, l’UE a adopté un règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai 2018. Deux changements majeurs en découlent :

• Pour être valide, le consentement devra désormais être donné par un « acte positif » : le silence ne vaudra plus acceptation (article 4§11 du règlement).
• L’accord donné sous la menace de ne pas accéder à un service sera désormais invalide (article 7§4).

Ils souhaitent deux choses :

• Que les avancées apportées par le RGPD ne soient pas applicables aux sites internet (que le droit revienne a son état antérieur) ;
• Que notre consentement ne soit plus requis pour nous pister, tout simplement. De la même manière que pour l’analyse des communications (voir plus haut), il suffirait d’invoquer un « intérêt légitime » ou « compatible » pour se passer de notre accord.

Citation

En 2014 puis 2016, la Cour de justice de l’Union européenne a clairement établi que la surveillance de l’ensemble de la population était contraire à nos libertés fondamentales (voir les décisions Digital Rights Ireland et Tele2). Elle a ainsi posé de nouvelles limites à cette surveillance d’État :

• Seules sont permises les mesures ne ciblant que certaines personnes pour une durée limitée.
• En matière de lutte contre les infractions pénales, l’analyse des communications doit être limitée aux crimes les plus graves.
• Les mesures de surveillances doivent être soumises à une supervision indépendante et efficace.

En dépit de leur clarté, les États européens n’ont pas encore pris en comptes ces nouvelles limites en modifiant leurs lois nationales. Le droit aujourd’hui en vigueur dans la majorité des États européens les ignore donc entièrement.

Certains députés proposent d’intégrer directement dans le règlement ePrivacy les limites posées par la Cour de justice. Ceci permettrait de passer outre l’inaction des États pour corriger leur droit national.

 

[Mathieu_D]

La plus grosse nouveauté c'est l'amende à 4 %  du CA mondial...

[PABerryer]

Sachant que, dans le RGPD, l'intérêt légitime est le fondement leg le plus faible je recommande systématiquement de le coupler à un autre. Ses critères d'appréciation sont trop vague pour sécuriser de façon satisfaisante l'activité d'une entreprise. 

[Adrian]

 

Les commentaires sont intéressants aussi

 

 

[Neomatix]

Les permissions de l'app FB sont complètement abusives. C'est l'un des rares cas où ça m'a dissuadé d'installer une app.

[cedric.org]

10 hours ago, Neomatix said:

Les permissions de l'app FB sont complètement abusives. C'est l'un des rares cas où ça m'a dissuadé d'installer une app.

+1. J'utilise la version web.

[Adrian]

Today at SCOTUS: Warrantless Cell Phone Tracking vs. the Fourth Amendment

 

https://en.wikipedia.org/wiki/Third-party_doctrine

 

Citation

the Court affirmed that "a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties."

 

C'est un peu ce qui a été soutenu ici non ?

[Sekonda]

Cela fait au moins 2 fois que je reçois une demande de contact sur LinkedIn quelques heures après avoir mentionné oralement le nom de la société employant cette personne. J'imagine que mon profile lui a été recommandé par l'appli. Assez flippant. Pour le dernier cas, je connais la société mais je n'avais rien lu ou écrit en lien avec eux depuis longtemps. J'ai juste répondu à une question à propos de l'employeur précédent d'un collègue lors d'une discussion.

[Adrian]

Sécurité : la Cnil accuse deux jouets connectés d'atteinte grave à la vie privée des enfants

 

 

[Adrian]

La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC

[Antoninov]

Note aux modérateurs: peut-on ajouter "APD" au titre? (c'est l'équivalent de la CNIL en Belgique).

 

Une sanction récente:

https://www.autoriteprotectiondonnees.be/news/la-chambre-contentieuse-sanctionne-deux-candidats-aux-elections-communales-de-2018

 

Quote

L’Autorité de protection des données (APD) a prononcé deux amendes administratives de 5000 euros chacune dans deux dossiers séparés. Celles-ci sanctionnent l’utilisation abusive de données personnelles par un bourgmestre et un échevin en vue de leur réélection lors de la campagne électorale d’octobre 2018. Hielke Hijmans, Président de la Chambre Contentieuse de l’APD : « La qualité de mandataire public doit s’accompagner d’un comportement exemplaire au regard de la législation.»

Ils avaient utilisé un fichier de la commune et une fichier venant de leur activité privée pour envoyer des messages électoraux.

[Antoninov]

En fRance:

https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive

 

Quote

En l’absence de circonstance particulière propre à ces établissements, la CNIL les a mis en demeure de modifier leur dispositif vidéo. Il est concrètement demandé aux écoles de réorienter, retirer ou déplacer les caméras pour ne filmer que les accès et les espaces de circulation ou de les paramétrer pour qu’elles ne fonctionnent qu’en dehors des heures d’ouverture de l’établissement.

 

[PABerryer]

En Allemagne, un opérateur s'est pris 9,55 millions d'euros d'amende pour ne pas avoir sécurisé les données de ses clients : https://www.zdnet.fr/actualites/rgpd-l-operateur-allemand-1-1-condamne-a-une-amende-de-955-millions-d-euros-39895875.htm

[Lameador]

11 hours ago, PABerryer said:

En Allemagne, un opérateur s'est pris 9,55 millions d'euros d'amende pour ne pas avoir sécurisé les données de ses clients : https://www.zdnet.fr/actualites/rgpd-l-operateur-allemand-1-1-condamne-a-une-amende-de-955-millions-d-euros-39895875.htm

 

La RGPD ets une solution bureaucratique et peu efficace à un problème réel.

[cedric.org]

Aller, pouf, c'est ePrivacy mais même combat:

 

https://fr.reuters.com/article/idUSKBN28K0NA

 

Quote

French watchdog fines Google, Amazon for breaching cookies rules

 

J'aime beaucoup la réponse de Google :

Quote

Today’s decision under French ePrivacy laws overlooks these efforts and doesn’t account for the fact that French rules and regulatory guidance are uncertain and constantly evolving.

 

[Lameador]

Un joli scandale, amené à ne pas être le dernier du genre.

 

https://www.lemonde.fr/pixels/article/2021/02/08/un-cadre-de-cdiscount-suspecte-d-avoir-derobe-les-donnees-de-33-millions-de-clients_6069185_4408996.html

 

[Mathieu_D]

1 hour ago, Lameador said:

Un joli scandale, amené à ne pas être le dernier du genre.

 

https://www.lemonde.fr/pixels/article/2021/02/08/un-cadre-de-cdiscount-suspecte-d-avoir-derobe-les-donnees-de-33-millions-de-clients_6069185_4408996.html

 

Mmmh ça de la valeur un extract de données clients nom prénom mail ?

Ce genre de données est (était?) en clair dans beaucoup de bases CRM.

(Pas les login/MDP/données bancaires évidemment)

[Waren]

Le 08/02/2021 à 13:15, Mathieu_D a dit :

Mmmh ça de la valeur un extract de données clients nom prénom mail ?

Ce genre de données est (était?) en clair dans beaucoup de bases CRM.

(Pas les login/MDP/données bancaires évidemment)

 

Beaucoup plus que tu ne l'imagines. Compte 10-20€ pour une identité Française. 40-50 pour une identité Américaine. 

[Antoninov]

https://plus.lesoir.be/373416/article/2021-05-20/donnees-personnelles-il-est-grand-temps-que-lon-vous-dise

 

Long article décrivant la situation alarmante des données et échanges de données dans les administrations de l'Etat en Belgique.

 

Quote

« Du glissement d’un système démocratique vers une technocratie des données. » Carte blanche co-signée par un collectif de juristes, d’avocats, de responsables du traitement de données, de médecins...

[...]

Il a fallu ce travail, cette pugnacité et cette rigueur pour y voir clair. C’est un investissement auquel peu peuvent se consacrer. De plus, ceux qui l’ont fait avant nous et qui ont osé questionner publiquement la situation, ont été décrédibilisés, harcelés, isolés. Plutôt que de se résigner à accepter cette situation sur laquelle plus personne ne semble avoir de prise, nous avons choisi de laisser une trace, dans un langage simple et accessible, du problème qui se met en place depuis de nombreuses années et qui s’accentue secrètement et dangereusement.

[...]

Premièrement, la plupart des lois et arrêtés pris depuis le début de la pandémie se sont pour la plupart limités à prévoir que des données seraient utilisées, mais souvent sans les énumérer, et plus grave encore, sans nous expliquer pourquoi et par qui. Le flou épuré a été la grande tendance du moment. De plus, beaucoup de ces textes ont été adoptés sans faire l’objet d’un avis du Conseil d’Etat ni de l’APD, qui sont pourtant des jalons indispensables du processus démocratique.

Deuxièmement, plus généralement et depuis plusieurs années, ce processus démocratique est lentement mais sûrement remplacé par un système technocratique, quasi sans visibilité. Par ce système, le partage de nos données n’est plus décidé par nos parlementaires, consigné dans une loi accessible à tous et susceptible de recours. Ce partage est simplement mis en œuvre, sans cadre légal, par des institutions qui se sont autoproclamées aptes à en décider, qui en ont mandaté d’autres pour organiser la tuyauterie, le tout avec la bienveillance de comités et fonctionnaires que l’on a laissés s’installer et qui valident les différentes étapes de cette grande mise en commun de nos données. Ces échanges ne sont plus prévus par des lois, ne sont plus soumis aux avis des autorités de contrôle que sont l’APD et le Conseil d’Etat, et ne sont plus susceptibles de recours. Tous les verrous ont sauté.

[...]

Ce système permet à toutes les autorités de l’Etat de prendre possession de données qui ne leur ont pas été confiées par les citoyens et de les utiliser pour des finalités dont la loi/le parlement n’a pas décidé de l’acceptabilité. 

 

[Antoninov]

https://www-politico-eu.cdn.ampproject.org/c/s/www.politico.eu/article/we-need-more-protection-government-surveillance-not-less/amp/

 

Quote

In their opinion piece “The last refuge of the criminal: Encrypted smartphones” (July 26), Catherine De Bolle, executive director of Europol, and Cyrus R. Vance, Jr., district attorney of New York County, made an extraordinary bid to undermine encryption, barely a week after the Pegasus scandal rocked the globe and exposed the perils of government surveillance facilitated by tech companies.

[...]

The claim that the authors support “strong encryption, just not unregulated encryption” is unfortunately misleading. As any technologist or engineer will confirm, communications are either end-to-end encrypted, or they are not. This is a question of computer science.

 

“Regulated encryption” is simply a euphemism for government backdoors into our communications. Backdoors undermine the security of communications, leaving them open and vulnerable to attacks from malevolent actors. There is no such thing as a backdoor for only the good guys. Even if there was, the Pegasus scandal is a reminder that not all governments are “good” and that “good governments” can act badly.