La revue de web de Kat
La CNIL a mis en demeure l'école 42, fondée par Xavier Niel, pour son système de vidéosurveillance, jugé excessif. L'établissement à deux mois pour se mettre en conformité, sous peine de sanctions.
La Commission nationale informatique et libertés (CNIL) a annoncé mardi avoir mis en demeure le 8 octobre l'école informatique 42, créée par le fondateur de Free Xavier Niel, pour « vidéosurveillance excessive » au sein de l'établissement.
L'association 42, qui a créé l'école éponyme en 2013, est mise en demeure de « mettre en conformité avec la loi Informatique et Libertés son système de vidéosurveillance » dans un délai de deux mois sous peine de sanction, a précisé l'autorité française de protection des données personnelles dans un communiqué.
Deux mois pour se mettre en conformité
Au cours d'un contrôle effectué en février 2018, la CNIL a constaté « que des caméras filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie », sans que les personnes filmées n'en soient « correctement informées ».
Dans son communiqué, la CNIL rappelle que les images issues du dispositif doivent être réservées aux personnes habilitées, or le contrôle a révélé que les étudiants avaient accès aux images sur leur espace personnel au sein du réseau intranet de l'école.
L'an dernier, des étudiantes de l'école avaient dénoncé les comportements déplacés qu'elles subissaient.
Il existait déjà depuis 2017 mais faisait face à de nombreuses critiques: le TES, un méga fichier centralisant les données de 60 millions de Français, vient d'être finalement validé par le Conseil d'Etat.
Le nom de TES ne vous dit rien? Pourtant, ce fichier créé par le gouvernement français en sait long sur vous.
Car derrière cette appellation (TES signifie Titres Électroniques Sécurisés) se cache une énorme base de données, mise en place en 2017 afin de centraliser les informations personnelles et biométriques de la quasi-totalité des Français.
Face aux risques qu'un tel dispositif peut présenter pour la sécurité, le Conseil d'Etat avait été saisi par la Quadrature du Net, la Ligue des Droits de l’Homme et le think tank Génération Libre.
Ce vendredi 19 octobre, la plus haute instance juridique française a rendu sa décision: la collecte de données personnelles et sensibles par le fichier TES ne porte "pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l’ordre public en vue desquels ce traitement a été créé".
On vous en dit plus.
Qu'est-ce-que c'est?
La base de données TES centralise dans un seul et même fichier les informations biométriques et personnelles des Français.
Ce dispositif remplace ainsi les deux fichiers précédents existants, l'un relatif aux données des détenteurs d'un passeport, l'autre à celles des possesseurs d'une carte nationale d'identité.
pourquoi le mettre en place?
Lors de son déploiement il y a plus d'un an, le gouvernement français avait justifié sa création par la lutte contre la fraude documentaire (l’usurpation ou la falsification par exemple).
Le fichier est également destiné à faciliter la délivrance ou le renouvellement des titres de séjour.
Quelles informations sont collectées?
Le fichier TES centralise toutes les données affichées sur votre carte nationale d'identité ou votre passeport: le nom de famille, le nom d’usage, les prénoms, la date et le lieu de naissance, le sexe, la couleur des yeux, la taille, les photos du visage, des empreintes digitales (sauf si vous avez opposé votre refus) et de la signature du demandeur, et éventuellement d'autres informations comme l'adresse postale.
Les noms et prénoms des parents, leur lieu et date de naissance, leur nationalité peuvent également être récoltés par le fichier TES.
combien de temps sont conservées ces données?
S'il s'agit d'un passeport, les informations seront conservées 15 ans.
Pour une carte nationale d'identité, la durée de conservation passe à 20 ans.
Elle est respectivement de 10 et 15 ans pour le passeport et la carte d'identité d'un mineur.
Quel est le risque?
Avec un stockage d'une telle ampleur, le fichier TES inquiète et fait redouter des dérives.
La principale crainte porte notamment sur le détournement de données sensibles, comme les empreintes ou le visage, qui pourraient faciliter l'identification des personnes sur les caméras de surveillance.
Sans compter le risque de piratage et toutes les questions d'ordre éthique que peut poser un tel dispositif...
Le décret du fichier des Titres éléctroniques sécurisés (TES), ayant fait l'objet de nombreuses requêtes en annulation auprès du Conseil d'Etat depuis sa parution fin 2016, a été validé par ce dernier le 18 octobre. Regroupant les informations de plus de 66 millions de Français et à l'époque pointé du doigt par la CNIL, le secrétariat d'Etat au Numérique ou encore l'ANSSI, ce fichier ne constitue pas une « atteinte disproportionnée » à la vie privée selon le Palais Royal.
Le Conseil d’État n’a eu cure de toutes les requêtes adressées contre le décret « autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ». L’institution a rejeté ces demandes d’annulation de la base de données des Titres électroniques sécurisés (TES) juge, dans un arrêt, que sa création ne constitue pas une « atteinte disproportionnée » à la vie privée.
Lancée officiellement début novembre 2016 suite à ce fameux décret pris le 28 octobre précédent, la base visant à centraliser les données personnelles des 66,6 millions de Français (identité, couleur des yeux, domicile, photographie ou encore empreintes digitales) en a fait bondir plus d’un. Mis en œuvre sous le mandat de François Hollande, TES devait apporter des « simplifications administratives » selon le ministre de l'Intérieur de l’époque, Bernard Cazeneuve.
Un décret passé en douce
A l’époque, même la Secrétaire au Numérique, Axelle Lemaire, était montée au créneau, ainsi que le Conseil national du Numérique qui, en dehors de critiquer le fait que le décret ait été pris en plein week-end de la Toussaint, alertait sur de potentiels problèmes de sécurité. L’Anssi et la Dinsic avaient également fait part de leur inquiétude à ce sujet en janvier 2017 dans un rapport adressé à Bruno Leroux, remplaçant de M. Cazeneuve à l’Intérieur.
Ces vives réactions n’avaient pas empêché le lancement de la base de données, en test dans un premier temps en Bretagne et dans les Yvelines, puis dans tout l’Hexagone fin mars 2017. Bien que les Français ne peuvent en principe pas s’opposer à la conservation de leurs données dans cette base, un décret paru en mai 2017 les autorise néanmoins à pouvoir refuser la numérisation et l'enregistrement de leurs empreintes digitales dans TES lors de la création d’une carte d’identité... Au moins une information qui ne sera pas à la merci des pirates.
La chaîne japonaise Shiru Café offre des boissons gratuites aux étudiants, qui en échange donnent des informations sur leur identité.
Pour avoir un verre au Shiru Café, pas besoin de monnaie. Vos noms, prénoms, date de naissance, adresse mail, numéro de téléphone, ou encore intérêt professionnel suffiront. Cette chaîne de cafés japonaise possède une vingtaine d'établissements au Japon et en Inde, et en a ouvert un cette année à Providence, aux États-Unis, au sein de l'université de Brown, rapporte la National Public Radio (NPR). Car ces cafés ont une autre particularité: ils ne sont ouverts qu'aux étudiants, et aux personnes travaillant au sein des facultés.
Avant de commander une boisson au Shiru, les clients remplissent un formulaire en ligne. Les données qu'ils y inscrivent sont transmises à des entreprises «sponsors», qui paient le café pour avoir accès à ces informations. «Grâce à cette boisson gratuite, nous essayons de donner aux étudiants des informations exclusives, que certaines compagnies souhaitent leur résever, de façon à diversifier les choix de leur future carrière», détaille le Shiru Café sur son site.
Les étudiants reçoivent par la suite des publicités ciblées sur leur téléphone, des sondages, ou des idées d'applications à installer. Dans le café, des écrans diffusent des messages émanant des entreprises partenaires du Shiru, et même les serveurs sont formés pour parler de celles-ci à leurs clients. Si l'établissement installé à l'université de Brown n'a pas encore de sponsor, car il s'est installé récemment, certains Shiru en Inde et au Japon travaillent avec des compagnies comme Microsoft, Nissan, ou Suzuki, précise NPR.
Selon la directrice adjointe du café de Providence, les étudiants ne rechignent pas spécialement à délivrer leurs informations personnelles. NPR a notamment rencontré une étudiante en environnement, qui ne perçoit pas de risque dans cette démarche, dans la mesure où ses données sont déjà «accessibles sur Linkedin, ou en un clic sur Google». «Si les données sont déjà collectées, pourquoi ne pas en profiter pour avoir un café gratuit», remarque le New York Mag.
D'autres étudiants se montrent plus sceptiques, note toutefois le magazine, et certains professeurs également. Nicholas Tella, directeur de la sécurité des informations au sein d'une université privée installée sur un campus de Providence, confie à NPR: «S'ils donnent quelque chose gratuitement, cela signifie que les données qui sont collectées, peu importe à qui elles sont destinées, ont plus de valeur que le produit offert.»
Jacob Furst, professeur d'informatique, remarque de son côté, dans le New York Mag, qu'en se connectant au wi-fi gratuit du café, les étudiants exposent un large panel de données. Et selon lui, même si Shiru garantit l'anonymat de celles-ci, il ne sera pas difficile pour les sponsors de faire coïncider certaines d'entre elles.
Plusieurs Shiru Cafés ouvriront bientôt à Yale, Princeton ou encore Harvard. De quoi donner, sans trop d'effort, de l'inspiration aux scénaristes de Black Mirror.
Vous avez craqué pour le dernier iPhone ou décidé de changer de PC ? Avant de vendre vos anciens appareils sur des sites comme Leboncoin ou PriceMinister, ou de les offrir à vos proches, prenez soin d’effacer vos données personnelles.
Le marché de l’occasion se porte bien. Si votre appareil n’est pas trop dépassé et qu’il fonctionne parfaitement, vous trouverez sans peine des acheteurs sur les sites de petites annonces ou de vente aux enchères.
Mais avant de le céder à un inconnu ou à un membre de votre famille, quelques précautions s’imposent.
Coordonnées bancaires, mots de passe, historiques de navigation, documents professionnels, photos, e-mails… le disque dur d’un ordinateur, ou la mémoire d’un smartphone fourmillent de données que vous ne souhaitez pas voir tomber entre des mains étrangères.
Pour une tablette ou un téléphone, le plus simple consiste souvent à revenir aux paramètres d’usine, ce qui efface l’ensemble des données et des applications que vous aviez installées.
Mais si vous préférez laisser en place des applications ou certains réglages pour ne pas livrer un appareil complètement nu, suivez les étapes de cette check-list.
La Loi de Renseignements et le Fichier TES sont passés par là et je sens que ça ne tourne plus rond. Tous les appareils de contrôle, légaux ou non, se multiplient partout sur la planète, je n’aime pas l’idée. Les états ont grignoté l’espace et reprennent la main à pas feutrés. On bannit pour une origine ou pour une opinion, sans subtilité. Dans certains pays, et pas des dictatures, on vous demande d’ouvrir votre Facebook ou même de donner vos mots de passe. J’ai en magasin quelques anecdotes à ce sujet qui font peur. Je n’ai pas envie, jamais, de justifier des opinions et des propos à qui que ce soit, ici ou ailleurs. Alors je le fais une bonne fois pour toutes aujourd’hui et je dis adieu à 31 500 tweets.
Les temps ont changé depuis juillet 2007, date à laquelle je me suis lancé sur Twitter. 31 500 tweets plus tard, quiconque voudrait me faire dire un truc pourrait le faire sans difficulté. C’est la guerre des mots et des GIFs, la bataille du temps qui ne passe plus. Ce que vous dites un jour est gravé pour toujours, vos propos s’empilent et s’empalent sur le mur de l’actu chaude sans aucune exigence de vérité. Ce qui est dit est dit, cochon qui s’en dédit, peu importe le sens, le contexte, le droit à la connerie, au changement d’opinion ou à cette sublime contradiction qui fait de nous ce que nous sommes. Certes, personne ne me cherche de poux aujourd’hui, mais dans six mois, deux ans ou même dix? Et vous?
Je n’ai plus confiance
Ni dans les techno-corporations dirigées par des solutionnistes aux ambitions floues, illégitimes et hors contrôle. Ni dans les états qui, profitant de nos peurs, placent leurs mouchards dans nos réseaux. La ficelle est fine pour l’instant, mais elle grossit. Je ne crois pas à la neutralité de ceux qui nous observent. Il y a derrière chaque action une intention, et je ne sais rien des intentions de nos dirigeants actuels et futurs. Nous avons offert sur un plateau aux prochains gouvernants les outils de notre soumission et ça me tend. Je ne crois pas non plus à l’inviolabilité des serveurs. D’ailleurs, je sais bien que quelque part sur cette planète mes Tweets sont gravés et dupliqués, pour toujours.
Parano? Pfff… Plus envie d’argumenter, faites comme vous le sentez.
Les règles du jeu ont changé. Loin de moi l’idée de supprimer mon compte, mais le temps de l’innocence est révolu.
PS: à la demande générale. Pour sauvegarder ses tweets, vous pouvez le faire sur Twitter, dans paramètres, et vous téléchargez un fichier. Pour supprimer vos Tweets en masse il y a, entre autres, l’appli payante DLTTR. Vous pouvez choisir de supprimer les tweets de l’heure, du jour, du mois, de l’année ou tous vos tweets. Cela m’a pris 16 minutes pour 31 500 tweets.
Juridique : Le bureau d’enregistrement a annoncé que les données personnelles contenues dans son registre WHOIS seraient dorénavant privées par défaut, en conformité avec le RGPD. Une tendance de plus en plus suivie parmi les bureaux d’enregistrement européens, malgré les efforts de l’Icann pour inverser la tendance.
Louis Adam
Par Louis Adam | Mercredi 11 Juillet 2018
Suivre @zdnetfr
Dans un communiqué publié hier, le bureau d’enregistrement de nom de domaine Gandi a annoncé un changement sur la façon dont sont gérées les données accessibles via le service WHOIS, qui permet de se renseigner sur le propriétaire d’un nom de domaine. Les données personnelles mises à disposition au travers du service ne seront dorénavant plus consultables publiquement par défaut : il faudra que le titulaire du nom de domaine change un paramètre pour rendre les données en question accessible à tous.
C’est un changement qui pourrait paraître anodin au premier abord : le RGPD, entré en vigueur au mois de mai 2018, renforce en effet la protection des données personnelles des citoyens européens. Le service WHOIS, dont les données sont à l’origine publiques par défaut, exposait ainsi plusieurs noms, numéros et adresse email d’internautes qui étaient alors accessibles à n’importe qui, sauf si l’utilisateur acceptait de payer pour un service protégeant l’accès à ces données.
A lire, notre dossier : RGPD : tout pour être prêt<<<
Avec le RGPD, les bureaux d’enregistrement européens préfèrent donc inverser la tendance et proposer des données protégées par défaut, assortis d’une option pour les rendre éventuellement accessibles au public.
Gandi n’est pas le seul à avoir sauté le pas : OVH a ainsi récemment annoncé avoir mis en place une politique similaire de son côté. Mais l’Icann, la société chargée de veiller et d’organiser l’attribution des noms de domaines sur le réseau, voit cette évolution d’un très mauvais œil.
Une polémique qui traine en longueur
L’Icann est en effet vent debout face à ces initiatives et n’est pas seule dans son combat : aux États Unis, nombre de chercheurs en sécurité se sont élevés contre cet effet du RGPD, qui vient limiter leur accès aux données contenues dans le registre WHOIS. Pour les autorités américaines, la crainte d’un service WHOIS « fragmenté » est réelle : ces données étaient en effet fréquemment utilisées dans le cadre d’enquête et la question de savoir qui aura accès aux informations contenues dans les registres anonymisés reste encore à débattre.
L’Icann avait d’ailleurs intenté une action en justice à l’égard d’un registrar allemand qui avait choisi d’arrêter de collecter les données administratives et personnelles de ses clients afin de se mettre en conformité avec l’article 5 du RGPD, qui encadre le traitement des données personnelles. Le recours déposé par l’Icann devant les tribunaux allemands s’est néanmoins heurté à un mur.
La cour régionale de Bronn a ainsi débouté l’Icann de son action, en jugeant que l’entreprise américaine n’avait pas su présenter des arguments convaincants pour plaider sa cause, comme le rapporte The National Law Review. L’Icann a fait appel de cette décision.
Une réforme essentielle de protection des données personnelles entre en vigueur demain. Nous sommes tous inquiets. Mais faisons-nous le nécessaire?
Vos données personnelles sont pillées sur Internet. La donne va-t-elle changer dès ce vendredi en Europe? Ce 25 mai, entre en vigueur le Règlement général de protection des données personnelles (RGPD) qu’il vous faudra valider, un par un, service après service.
Pour filer la métaphore, le New York Magazine a trouvé la bonne formule: c’est comme une colonie de termites habitant depuis longtemps dans votre maison et qu’on obligerait à se présenter à vous, un à un, et à vous demander poliment la permission de rester...
Pourquoi cela reste obscur
Depuis plusieurs jours, vous recevez mails ou alertes vous demandant de valider le RGPD. Cela vous concerne de près, beaucoup plus intimement que vous ne l’imaginez.
Facebook, WhatsApp, Airbnb, associations, collectivités, banque: dès vendredi, aucun de ces acteurs, jusqu’au plus petit, ne pourra traiter vos données personnelles sans votre consentement "clair et explicite". Voilà pour le texte. Dans les faits, c’est plus obscur.
"C’est normal", décrypte Hervé Michelland, expert en sécurité informatique (1). La stratégie de la plupart des entreprises dont le business est de commercialiser votre vie privée, c’est de tout faire pour opacifier les choses." Circulez, y’a rien à voir.
Un business lucratif
La collecte de nos données personnelles est un business mondial extrêmement lucratif, notamment chez les Gafa (Google, Apple, Facebook, Amazon).
Selon la Commission européenne, la valeur de l’économie de la donnée pourrait passer à 739 milliards d’euros en 2020 (285 milliards d’euros en 2015.
"En naviguant sur Internet, en utilisant des services sur nos smartphones, on se trouve dans un eco système dont le but est de collecter des masses d’informations à caractère personnel, comme un mineur (ou un termite donc, ndlr) et de les monétiser. Dites-vous bien que quand un service est gratuit sur Internet, c’est que le produit c’est vous."
Faut-il donc se plonger dans la validation du RGPD que chaque service nous envoie en ce moment?
"C’est comme se poser la question d’acheter un appartement et de se demander si on doit s’intéresser à la vie du quartier. Évidemment, oui", conseille Hervé Michelland. Il s’agit de notre vie privée!"
Que risquent associations, entreprises, etc.?
"Si elles exploitant vos données sans consentement, la sanction est colossale, jusqu’à 4% du chiffre d’affaires mondial. Et cela concerne non seulement les entreprises, associations, etc., mais aussi leurs sous-traitants.
"Et ce sera à l’entreprise d’origine de vérifier que ses sous-traitants appliquent bien les règles, sans cela les deux seront condamnées », explique Hervé Michelland.
Faut-il se méfier de tout?
A des degrés divers, nous sommes tous un peu perdus dans cette jungle. L’expert rappelle deux points importants. "D’un, sur Internet la notion de confidentialité n’existe pas. Deux, Internet n’oublie jamais rien. Quand vous avez ceci à l’esprit, et que vous l’utilisez avec prudence, il ne peut rien vous arriver de désagréable."
En matière de droit à l’oubli, le RGPD apporte des progrès. "Google vient de mettre à disposition un formulaire (2) où l’on peut consulter toutes les infos accumulées sur nous, et offre la possibilité de les purger."
Sur Internet, on sait tout de vous ; noms de vos enfants ou petits-enfants (avec leurs photos), capacité d’emprunt, numéro de sécu, données bancaires, adresse, plats préférés, magasins de prédilection, déplacements, etc.
Alors, laisserez-vous les termites continuer à piller votre vie privée?
Var-Matin 24 mai 2018
Au sein de leur monde analogique nos parents considéraient leurs libertés comme acquises. Ces mêmes libertés qui ne sont pas transmises à nos enfants dans la transition numérique — telles que simplement le droit d’envoyer une lettre sans mention externe de l’expéditeur.
Lors d’interventions, il m’arrive de demander aux personnes du public combien d’entre elles approuveraient des sites tels que The Pirate Bay, alors même qu’ils engendrent une perte de revenus pour les artistes (je pose la question en partant du principe que cette assertion est vraie). La proportion de spectateurs qui lèvent la main varie selon le public et le lieu.
Les défenseurs du droit d’auteur affirment que les lois hors ligne ne sont pas respectées sur Internet, lorsqu’ils souhaitent poursuivre en justice les personnes partageant savoir et culture. Ils n’ont pas tort, mais pas comme ils l’imaginent. Ils ont raison sur un point, il est clair que les lois relatives au droit d’auteur s’appliquent aussi en ligne. Mais ce n’est pas le cas des lois sur la protection de la vie privée, or cela devrait l’être.
Dans le monde hors ligne, le courrier bénéficiait d’un certain niveau de protection. Il n’était pas censé uniquement s’appliquer à la lettre elle-même, mais à toute correspondance ; la lettre était simplement l’unique moyen de correspondance lors de la conception de ces libertés.
D’abord, le courrier était anonyme. Libre à l’expéditeur de se faire connaître à l’extérieur ou seulement à l’intérieur de l’enveloppe (de cette façon l’expéditeur était inconnu du service postal, seul le destinataire en avait connaissance), ou pas du tout.
De plus, le courrier n’était pas pisté durant son transport. Les quelques gouvernements qui suivaient à la trace la correspondance de leurs citoyens étaient largement méprisés.
Troisièmement, la lettre était secrète. Jamais l’enveloppe n’était ouverte durant son transfert.
Quatrièmement, le transporteur n’était jamais tenu responsable du contenu, pour la simple et bonne raison qu’il lui était interdit d’examiner ce contenu. Quand bien même il aurait pu le faire, avec les cartes postales sans enveloppe par exemple, il ne pouvait être tenu responsable de faire son travail de transporteur — ce principe d’immunité du transporteur ou du messager remonte à l’Empire Romain.
Ces principes de liberté de correspondance devraient s’appliquer à la correspondance qu’elle soit hors ligne (la lettre) ou en ligne. Mais ça n’est pas le cas. En ligne vous n’êtes pas libre d’envoyer ce que vous souhaitez à qui vous le souhaitez, parce que cela pourrait constituer une atteinte au droit d’auteur — nos parents jouissaient pourtant de cette liberté dans leur monde hors ligne.
Les défenseurs du droit d’auteur ont raison — envoyer par courrier la copie d’un dessin est une violation du droit d’auteur, tout autant qu’envoyer une musique piratée via Internet. Seulement hors ligne, ces lois ont pondérations. Hors ligne, quand bien même cela constitue une violation du droit d’auteur, personne n’est autorisé à ouvrir une lettre en transit simplement pour vérifier si son contenu n’enfreint pas la loi, parce que le secret de la correspondance privée est considéré comme plus important que la découverte d’une violation de droit d’auteur. C’est primordial. Ce principe de hiérarchie n’a pas été appliqué dans le monde numérique.
Le seul moment où une lettre est ouverte et bloquée, c’est lorsqu’une personne à titre individuel est suspectée au préalable d’un crime grave. Les mots « grave » et « au préalable » sont importants : l’ouverture de lettres simplement pour vérifier si elles contiennent un élément de crime sans grande gravité, tel qu’une violation du droit d’auteur, n’est tout bonnement pas autorisée du tout.
Il n’y a aucune raison que les libertés concédées à nos parents dans le monde hors ligne ne soient pas transposées en ligne de la même manière à nos enfants, peu importe si cela signifie que des modèles économiques deviennent caducs.
Après avoir mis ces points en évidence, je repose la question aux spectateurs pour savoir combien d’entre eux approuveraient des sites tel que The Pirate Bay, alors même qu’ils engendrent une perte de revenus pour les artistes. Mon argumentaire terminé, tous les spectateurs lèvent la main pour signifier leur approbation ; ils souhaiteraient que nos enfants jouissent des mêmes libertés que nos parents, et que le respect des acquis du monde hors ligne soit également appliqués en ligne.
Dans la suite de la série nous aborderons des sujets apparentés – les annonces publiques anonymes et le rôle essentiel rempli par les tribunes improvisées dans l’exercice de la liberté.
Votre vie privée est votre propre responsabilité.