Le gendarme du numérique estime que le système de surveillance basé sur les scanners des équipes logistiques du géant américain est trop intrusif et repose sur une collecte de données illégale.

Suite à l’invalidation du Privacy Shield par la CJUE, les règles en matière de transfert de données hors UE ont changé. L’enseignement supérieur est venu interroger la Cnil quant à son utilisation de solutions, notamment collaboratives, américaines. Le gendarme des données personnelles y voit un problème et demande aux universités de passer à d’autres outils. 

Il est de notoriété publique que certaines administrations ont massivement recours à des solutions américaines, de l’Éducation nationale au ministère des Armées. Récemment, la Conférence des présidents d’université (CPU) et la Conférence des grandes écoles (CGE) ont demandé les lumières de la Cnil sur ce sujet. Avec l’adoption du RGPD et suite à l’invalidation du Privacy Shield, l’enseignement supérieur est-il toujours en conformité avec la réglementation sur la protection des données ? Car les universités ont fortement tendance à utiliser des “outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis”. 

D’autant qu’avec le confinement et la fermeture des établissements d’enseignement supérieur, l’adoption de ces solutions s’est accélérée. Aux yeux de la Cnil, le recours à ces outils s’avère problématique à plusieurs titres, aussi bien pour des questions de contrôle des flux de données que d’accès par les autorités de pays tiers ou encore de souveraineté numérique. 

Risques d'accès non autorisés

Ainsi, l’utilisation de ces suites dans l’enseignement supérieur et la recherche concerne "un nombre important d’utilisateurs” et une “quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs)” selon le gendarme des données personnelles. Données qui sont donc transférées vers les États-Unis. 

Dans ce contexte, pour être en conformité avec le RGPD, il serait nécessaire que les universités et autres écoles mettent en place des “mesures supplémentaires” ou justifient ces transferts “au regard des dérogations autorisées par l’article 49 du RGPD”. Mais un problème se pose : “le Comité européen de la protection des données (CEPD) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat”. Et du fait des prétentions d’extraterritorialité du droit d’accès par les autorités américaines à toute donnée stockée par une société sise aux États-unis, “il existe donc un risque d’accès par les autorités américaines aux données stockées” indépendamment de l’existence ou non de transfert. 

Plus concrètement, devant le risque d’un accès à leurs données de la part des autorités, les universités doivent “écarter” ce risque selon la Cnil. Soit cesser d’utiliser des solutions américaines. Ce qui implique de profondes transformations : “la nécessité pour les établissements concernés d’assurer la continuité des missions exercées grâce aux outils numériques est de nature à justifier une période transitoire” explique la Cnil, qui ajoute qu’elle accompagnera les universités dans la sélection d’alternatives et leur mise en conformité. 

La CNIL crée un service d’intelligence artificielle en son sein pour renforcer son expertise sur ces systèmes et sa compréhension des risques pour la vie privée tout en préparant l’entrée en application du règlement européen sur l’IA.

Après les révélations de plusieurs médias quant à l’existence chez le géant de l’agro-chimie d’un fichier contenant les données personnelles de 200 personnes utilisé à des fins de lobbying, la Cnil a mené l’enquête. Et reconnait aujourd’hui Monsanto coupable d'avoir enfreint le RGPD en sa qualité de responsable de traitement. 

Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

La décision prononcée par la Commission nationale de l’information et des libertés (CNIL) d'infliger une amende de 35 millions d'euros à Amazon pour non-respect de la législation sur les cookies a été validée par le Conseil d'Etat le 27 juin 2022. L'institution a jugé que le montant de l’amende n’était pas disproportionné.

La saisine par des syndicats et associations n’y aura rien fait : l’Intérieur pourra ficher et surveiller “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale” en cas de menace à la sécurité publique. Edvige renaît de ses cendres dans l’indifférence générale. 

La sûreté de l’État et la sécurité publique pourront désormais servir de prétexte à la surveillance des appartenances syndicales, des convictions religieuses et des opinions politiques. C’est le sens des décrets publiés le 4 décembre dernier par un ministère de l’Intérieur qui, sur ces sujets, privilégie le passage en force. Avec l’assentiment donné lundi par le Conseil d’État. 

Saisie en référé, la plus haute juridiction administrative a en effet rejeté les recours de la CGT, de FO, du FSU et de quelques associations visant les fichiers PASP(prévention des atteintes à la sécurité publique), relevant de la police, GIPASP(gestion de l’information et prévention des atteintes à la sécurité publique) du côté de la gendarmerie et EASP(enquêtes administratives liées à la sécurité publique). 

Fichage politique

Ces trois fichiers sont les héritiers d’Edvige (exploitation documentaire et valorisation de l’information générale) qui en 2008 prévoyait de ficher notamment toute personne affichant une activité politique ou syndicale. La levée de bouclier fut telle que le gouvernement de l’époque fit machine arrière, concédant de ne recenser que les activités. Ces décrets du 4 décembre font sauter cette digue en élargissant les champs pouvant être intégrés dans la surveillance policière. 

Ainsi, les “activités sur les réseaux sociaux” ou encore les “identifiants utilisés” (sauf mots de passe précisent les trois décrets) ainsi que les “données relatives aux troubles psychologiques ou psychiatriques” peuvent être renseignés dans ces fichiers par policiers ou gendarmes. Surtout, si cette collecte ne pouvait couvrir auparavant que “des activités politiques, philosophiques, religieuses ou syndicales”, les décrets l’étendent aux “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale”. 

Des points qui ne faisaient pas partie des projets de décrets déposés par le gouvernement auprès de la Cnil pour examen en juin 2019. Comme le souligne le gendarme des données personnelles, dont les avis étaient mitigés, “si la collecte de données relatives à « des activités politiques, philosophiques, religieuses ou syndicales » était déjà prévue, les nouveaux décrets font désormais référence non plus aux « activités » mais aux « opinions » politiques, aux « convictions » philosophiques, religieuses et à l’« appartenance » syndicale. Elle ne s’est pas prononcée sur cette modification, qui ne figurait pas dans le projet qui lui avait été soumis”.

Pas attentatoire aux libertés

Et ce alors qu’elle estimait en juin que les périmètres de certaines catégories de données, l’activité sur les réseaux sociaux par exemple, étaient trop étendus et rédigés de manière particulièrement permissive. De quoi effectivement faire enrager les syndicats, de même que la Quadrature, qui se sont portés devant le Conseil d’État, pour être déboutés. En référé, le juge a en effet considéré que ces nouvelles dispositions du code de la sécurité intérieure n’étaient pas attentatoires aux libertés. Ou du moins qu’elles ne constituent pas une atteinte disproportionnée. 

A l’instar de l’avis de la Cnil en juin, le Conseil d’État estime que l’exécutif a prévu les garde-fous nécessaires, notamment en restreignant la collecte de données aux seules activités “susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’Etat”, interdisant un fichage sur la seule base d’une appartenance syndicale ou d’une conviction religieuse.

RebootonLine a compilé les données issues de la Communauté Européenne pour savoir si les citoyens avaient confiance dans les autorités pour protéger leurs données personnelles. Un sentiment de défiance est majoritaire dans notre pays et sur tout le continent.

Au total ce sont plus de 27 000 personnes interrogées dont 1018 en France qui indiquent se défier des autorités sur la protection et l'utilisation de leurs données personnelles.

Les Espagnols sont les plus méfiants avec 73 % des gens manquant de confiance dans les autorités suivis par les Irlandais (73 %). Les Français sont sur le podium à égalité avec les Britanniques et les Belges qui se défient à 68 % des autorités sur ce point.

En moyenne, 61 % des citoyens européens accordent peu de confiance dans les autorités de leur pays pour la gestion, la protection et l'utilisation des données personnelles. Vous trouverez les détails de cette étude ici :

https://www.rebootonline.com/

Le fournisseur d’énergie s’est mis en conformité avec la réglementation en vigueur sur la protection des données. EDF avait été mis en demeure en février 2020 par la Cnil, qui lui reprochait sur ses compteurs Linky de ne pas correctement recueillir le consentement de ses usagers et de conserver trop longtemps leurs données. 

Linky est un dossier ô combien sensible, non plus pour des questions d’ondes émises, mais sur des sujets de protection des données et de la vie privée. Dès 2018, la Cnil sonnait la charge contre Direct Energie, lui reprochant d’échouer à recueillir de manière conforme à la réglementation le consentement des usagers à la collecte et au traitement de leurs données de consommation électrique. Deux ans plus tard, ce sont Engie et EDF qui étaient mis en demeure. 

A EDF, le régulateur reprochait d’échouer à recueillir le consentement des usagers de manière spécifique et éclairée. Il présentait en effet une seule case à cocher pour deux voire trois finalités distinctes : affichage des consommations quotidiennes, affichage des consommations à la demi-heure et fourniture de conseils personnalisés. 

Trajectoire de conformité

De même, l’information fournie, qui faisait référence à la « consommation d’électricité quotidienne (toutes les 30 min)», mettait sur un même plan les deux types de données, quotidiennes et toutes les 30 minutes. Or ces dernières sont bien « plus révélatrices des habitudes de vie des personnes que les données quotidiennes».

Enfin, si EDF précisait bien les durées de conservation des données, celles-ci s’avéraient dans certains cas trop longues au regard de la finalité poursuivie. Sont ainsi conservées en base active les consommations à la demi-heure pendant cinq ans après la résiliation, alors qu’elles ne servent pas à la facturation. Trop long estimait la Cnil il y a un an.

Le gendarme des données personnelles précisait toutefois qu'EDF comme Engie étaient sur la “trajectoire de la mise en conformité”. EDF est depuis rentré dans le rang, bénéficiant d’un délai pour cause de pandémie. La Cnil vient de clôturer la mise en demeure du fournisseur d’électricité, après que celui-ci ait mis en oeuvre “un nouveau parcours de consentement dont il ressort clairement que le client peut consentir au suivi de sa consommation quotidienne sans devoir également consentir au suivi de sa consommation à la demi-heure” et a adapté les durées de conservation des données aux finalité de traitement.

C’est la France que l’association de Max Schrems a choisie pour lancer la charge contre le géant de Mountain View. NOYB reproche à Google d’enfreindre la directive ePrivacy via son identifiant publicitaire Android, activé par défaut et donc qui se passe du consentement de l’utilisateur. Une plainte similaire à celle visant Apple déposée par l’association l’an dernier.

Après avoir fait trembler Facebook, l’activiste autrichien Maximilien Schrems parviendra-t-il à faire tomber Google ? Son association, NOYB, pour None Of Your Business, vient de déposer une plainte à l’encontre du géant. Et c’est en France que se jouera cette nouvelle confrontation puisque la plainte a été adressée à la Cnil.

Est mis en cause l’AAID (Android Advertising Identifier), un identifiant unique attaché à chaque smartphone Android. Cet instrument du géant de Mountain View sert à collecter des informations sur les préférences de l’utilisateur de sorte à afficher des publicités personnalisées. Ce qui, selon NOYB, enfreint la directive ePrivacy, du moins dans sa version actuelle.

Google et Apple dans le même panier

Celle-ci, en son article 5, stipule qu’il est nécessaire de fournir une « information claire et complète » à l’utilisateur, de même que la possibilité de « refuser un tel traitement » avant de pouvoir « stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal ». Or, dans le cas présent, Android n’affiche aucun message quant à son AAID, activé par défaut.

La Cnil examine pour l’heure cette plainte, qui n’est pas sans en rappeler une autre. En 2020, Max Schrems et son association s’en prenaient à Apple pour les mêmes motifs, l’attaquant devant les gendarmes des données personnelles espagnol et allemand. Car l’IDFA (IDentifier For Advertisers) obéit au même fonctionnement que l’AAID de Google. La Cnil a par ailleurs été saisie d’une plainte similaire de la part de France Digitale.

Le gendarme des données personnelles se rapproche de Déclic, la fédération des Opérateurs Publics de Services Numériques afin de mieux accompagner les collectivités locales dans leur mise en conformité au RGPD.

Les collectivités locales ont été ces derniers mois fréquemment la cible de cyberattaques, principalement de ransomwares. La ville d'Angers n'est que le dernier exemple en date de ce fléau qui frappe indistinctement communes, interco' et métropoles. Avec, en filigrane, l'inévitable question de la protection des données et autres obligations introduites en droit par le RGPD. D'autant que les collectivités locales s'engagent de manière croissante, à l'initiative d'élus ou poussées par l'État, dans leur transformation numérique à travers l'e-administration, l'ouverture des données, la connexion des infrastructures ou encore la démocratie participative par l'entremise de plateformes en ligne.  

La transformation numérique a du bon, avec la simplification de l'accès aux démarches administratives, mais elle a aussi tendance à attirer comme des mouches les cybercriminels, appâtés par ces montagnes de données bien trop souvent mal sécurisées. C'est pour les assister dans leur démarche de mise en conformité au cadre réglementaire que la Cnil s'associe à Déclic. Cette association née en 2006 fédère les GIP, agences techniques et autres syndicats mixtes relevant du statut d'opérateurs publics de services numériques et accompagnent les collectivités dans leur utilisation de services numériques, par la mise en commun de diverses ressources et expériences. 

Des collectivités dans le besoin

Ce rapprochement sert un objectif : "le maillage territorial sur lequel agit l’association Déclic permettra à la CNIL, grâce à ce partenariat, d’amener les plus petites communes à une meilleure conformité au RGPD" dixit la patronne de la Cnil, Marie-Laure Denis. Et pour ce faire, Cnil et Déclic entendent mettre en oeuvre une série de mesures concrètes sur les trois prochaines années. Ainsi, l'association formera les délégués à la protection des données personnelles des collectivités servies par son réseau d'une quarantaine d'OPSN et mettra à sa disposition les ressources utiles, notamment documentaires. Surtout elle centralisera les questions et problématiques principales des collectivités, et cherchera à y apporter une réponse "de premier niveau". 

En parallèle la Cnil élaborera des outils et autres fiches pratiques pouvant être mis à disposition des adhérents de Déclic, participera aux réunions d'information organisées par l'association et lui apportera son soutien lorsque saisie de problématiques techniques et juridiques. "Pour faciliter la mise en œuvre pratique et juridique du RGPD dans les collectivités, l’outillage logiciel et pédagogique ont été identifiés comme des fondamentaux dans les démarches de Déclic" explique Emmanuel Vivé, Président de Déclic. "Dès lors, il était essentiel de nous rapprocher de la CNIL, afin qu'elle nous aide à soutenir et développer nos travaux pour accélérer la mise en conformité de l’ensemble des collectivités".

En Irlande, la Data Protection Commission (DPC), souhaite empêcher Meta de transférer les données de ses utilisateurs aux Etats-Unis.