Archive pour le Tag 'données'

Facebook a vendu des millions de données à Amazon

Facebook a vendu des millions de données à Amazon

Des millions données d’utilisateurs de Facebook ont été par mégarde affichés à la vue de tous sur des serveurs d’informatique dématérialisée (« cloud ») d’Amazon, rapporte mercredi la société de cybersécurité UpGuard. S’il est possible que cet affichage relève d’une erreur par contre il a bien fallu que ces données soient fournies par Facebook. Ce qui confirme évidemment que Facebook est moins un réseau social qu’une immense arnaque de recueil de données revendues avec profit aux plates-formes de vente.  Selon CNBC, le premier réseau social a confirmé que ces données avaient été stockées sur des serveurs Amazon, ajoutant que Facebook travaillait avec le géant du commerce électronique pour faire en sorte que ces données ne soient plus visibles. Le mois dernier, Facebook a dit avoir résolu une erreur qui avait permis à ses employés d’être en mesure de lire les mots de passe stockés par des millions d’utilisateurs. KrebsOnSecurity, un blog consacré à la cybersécurité, avait précisé que ces mots de passe étaient disponibles pour quelque 20.000 salariés de Facebook et ce parfois depuis 2012.

Gafa, l’Inde veut contrôler les données

Gafa, l’Inde veut contrôler les données

 

Un projet de loi indien vise à réguler très sévèrement le stockage des données des CAF à et autres plates-formes ; il propose notamment de rendre obligatoire, pour les sociétés étrangères, le stockage des données personnelles des utilisateurs indiens – issues des réseaux sociaux, des moteurs de recherche ou encore des plateformes de e-commerce – sur son sol. Les données devront également être rendues accessibles aux autorités locales en cas d’enquête. L’Inde marche ainsi dans les pas de son voisin chinois, qui, en rendant son marché difficile d’accès, a favorisé l’émergence des géants Alibaba et Tencent. La deuxième économie mondiale a notamment adopté une législation similaire en novembre 2016, forçant les entreprises étrangères à stocker sur son territoire les données des internautes chinois. Ainsi, Apple a construit son premier data center en Chine, et a confié la gestion des données de ses utilisateurs à un partenaire local. Ce projet de loi arrive au moment où le régulateur indien des télécoms menace d’interdire l’accès au réseau mobile national aux iPhone. Depuis deux ans, Apple refuse de rendre disponible au téléchargement une application anti-spam, développée sous l’égide du gouvernement indien. Cette application a officiellement été créée pour lutter contre le démarchage téléphonique abusif – très répandu dans le pays – en filtrant les messages et les appels indésirables. De son côté, le fabricant d’iPhone suspecte l’appli de siphonner massivement les données personnelles des utilisateurs… Apple dispose de six mois pour se conformer aux exigences du régulateur, avant de se voir couper l’accès au réseau, rendant ses téléphones inutilisables.

 

Données personnelles : Twitter condamné…. et les autres réseaux ?

Données personnelles : Twitter condamné…. et les autres réseaux ?
Aujourd’hui, c’est Twitter qui est officiellement condamné en France pour clauses abusives. En réalité, la même condamnation devrait s’appliquer à la plupart des grands réseaux et des grandes plates-formes dont d’ailleurs certaines ne sont accessibles qu’après avoir cliqué sur une petite case qui manifesterait l’adhésion à des conditions d’utilisation incompréhensibles, ambiguës et souvent illicites. En clair, il s’agit surtout de l’exportation commerciale des données y compris les données les plus personnelles. La justice française a donc condamné le géant américain Twitter à modifier ses conditions générales d’utilisation, a annoncé mercredi 8 août l’UFC-Que Choisir. L’association avait assigné le réseau social en justice, jugeant certaines de ses clauses « abusives » ou « illicites ». L’association de défense des consommateurs avait saisi le Tribunal de grande instance de Paris en 2014 « pour faire reconnaître le caractère abusif ou illicite » de 256 clauses contenues dans ses conditions générales d’utilisation, a-t-elle expliqué dans un communiqué. Twitter a également été condamné à verser à l’UFC-Que Choisir 30 000 euros d’amende pour le préjudice moral porté à l’intérêt collectif. Une sanction financière que l’association juge « insignifiante pour le réseau social, qui a généré en 2017 un chiffre d’affaires mondial de 2,1 milliards de dollars ».

Données personnelles : une loi pour leur protection

Données personnelles : une loi pour leur protection

Protection, récupération, droit à effacement, non exploitation commerciale tels sont les objectifs de la loi  qui révise la loi informatique et libertés de 1978,  en application du Règlement général sur la protection des données des résidents de l’Union européenne (RGPD). “Les deux textes communautaires sont à la fois protecteurs pour nos concitoyens et doivent être perçus comme une réelle opportunité pour les acteurs de notre vie économique et sociale, et notamment pour nos entreprises”, a commenté dans l’hémicycle la ministre de la Justice, Nicole Belloubet. Principale disposition du “paquet européen” de protection des données : les utilisateurs devront être informés de manière explicite de l’utilisation de leurs données et auront la faculté de s’y opposer. Il instaure de nouveaux droits tels que la portabilité des données personnelles, qui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand) pour le conserver ou le transmettre à un autre opérateur. Sont aussi prévus la rectification et l’effacement des données, le recours à des actions collectives ainsi qu’un droit à réparation du dommage subi. Certaines sociétés, et notamment celles qui collectent un grand nombre de données ou des informations sensibles, devront se doter d’un délégué à la protection des données. Le texte renforce le pouvoir de contrôle et de sanctions de la Cnil avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme concerné. D’après une enquête OpinionWay pour Havas et Baker McKenzie diffusée lundi, 81% des Français se disent prêts à boycotter une entreprise qui ne respecte pas le RGPD et porte atteinte à leur vie privée et 55% à l’attaquer en justice.

Facebook : portage ou déménagement des données ?

Facebook : portage ou déménagement des  données ? 

 

Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles et Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain expliquent dans la Tribune l’enjeu du portage des données.

 

 

« On se perd en hypothèses sur la volte-face de Facebook qui, après avoir juré ses grands dieux qu’il appliquerait partout dans le monde le RGPD, vient d’exfiltrer tous ses utilisateurs non-européens vers son siège californien. Ils dépendaient jusqu’ici du siège irlandais du groupe. On évoque la peur de l’amende qui peut monter jusqu’à 4 % du chiffre d’affaires (autant réduire la base imposable…) mais c’est peut-être aussi la peur du portage des données, rendu obligatoire par le RGPD. Ce portage rappelle la portabilité des numéros de téléphone qui a tant fait pour la concurrence entre opérateurs mobiles. Sera-ce suffisant pour faire de la concurrence à Facebook ? L’obligation de portabilité des données existait avec l’ancienne directive vie privée mais elle était pratiquement inutile car celui qui possédait vos données avait le choix du format sous lequel il vous les livrait. Contrairement à la portabilité des numéros, le portage des données n’a pas pour objectif de favoriser la concurrence. Il veut donner à l’individu la liberté de disposer de ses données soit pour les confier à un concurrent soit pour lui-même en bénéficier (par exemple, rapatrier sa playlist sur Spotify et la faire jouer sur Deezer). Il pourrait vouloir sa liste de contact de son Webmail pour créer une liste de mariage aux galeries Lafayette. Maintenant l’Union européenne vise surtout le portage entre applications ou réseaux sociaux. Pour l’instant, elle encourage la création d’un format standard entre acteurs pour la rendre plus facile (avant de l’imposer ?). Elle vise un marché plus liquide des données pour ne pas brider l’innovation : une société B aura peut-être de meilleures idées pour exploiter tout ou partie de vos données aux mains de la société A. C’est bien le propriétaire des données qui est le chef de projet du portage : il est le seul responsable de la qualité des données transmises par exemple par son réseau social. Ce dernier n’engage pas sa responsabilité sur le contenu qu’il transmet. Celui qui reçoit les données de son futur client doit par contre faire attention de ne pas en récolter trop par erreur sinon il est déjà en contradiction, avant de commencer, avec le RGPD car ce dernier érige en principe la frugalité des données collectées pour le but visé et le contrat conclu, rien de plus. Il ne doit pas se faire piéger et devra peut-être refuser (de recevoir) certaines données ou expliciter quels types de données il a besoin. Le réseau social donneur ne peut se venger après une requête de portage : il doit continuer à fournir son service si l’utilisateur n’y a pas mis fin. Mais ce dernier dispose aussi du droit à l’oubli : il peut exiger la destruction de toutes les données en possession de son fournisseur initial après portage. Il faut que les données soient entrées en possession du réseau social pour un but déterminé, pour un traitement spécifié par contrat avec l’usager ou parce que les données ont été un jour stockées avec le consentement de l’utilisateur final. Cette nuance est importante car, sinon, un citoyen pourrait par exemple demander à l’administration des impôts de recevoir toutes les données le concernant y compris les enquêtes en cours : fraude fiscale, blanchiment. De telles collectes de données, couvertes par d’autres lois, ne peuvent évidemment pas faire l’objet de portage. Plus délicates sont les données que les ressources humaines ont sur vous. Qui n’a pas rêvé d’accéder à son dossier personnel ? Le G29, qui regroupe les CNIL des Etats membres de l’UE et qui a édité un code de bonne pratique du portage des données, s’avance moins : certes, aucun consentement n’a pas vraiment pu être donné librement dans un rapport de force employeur/employé. Il s’agit par contre de données collectées dans le cadre d’un contrat (de travail), c’est sûr. Le RGPD devrait s’appliquer et le portage aussi. Le G29 préfère dire que des demandes de portage dans le contexte employé-employeur devront être analysées au cas par cas. Cela risque d’être épique. Ce sont les données qu’on aura confiées, évidemment, mais aussi toutes les données qui auront été récoltées ou générées par le fait qu’on est client du réseau social. Si les données ont été rendues anonymes entre temps, elles ne font plus l’objet du portage car elles ne sont plus personnelles. Il reste malgré tout un flou quant à l’anonymat : des données peuvent être anonymes mais, dans un contexte donné, ne le sont pas du tout. Attention car les données privées d’un individu vont contenir des informations relatives à d’autres personnes, tout aussi privées. Le nouveau réseau social ne peut pas en profiter pour en faire un traitement à leur insu : la tentation serait trop forte sinon que le réseau receveur fasse de la publicité envers ces tierces parties peut-être restées chez le réseau donneur. Il pourrait aussi reconstruire un profil de ces tiers à leur insu ! Les données qui viennent des outils même du réseau social ou de l’application qui a un algorithme dernier cri pour établir un profil de vous, qui peut vous faire des recommandations ultra-précises d’après vos goûts, vos habitudes d’achat ou de visionnage, ces données-là restent aux mains du réseau social ou de l’application. C’est normal car le concurrent qui recevrait ces données de vous pourrait faire du reverse engineering et deviner comment fonctionne votre produit d’intelligence artificielle. On doit informer activement ses utilisateurs du droit au portage : dès que vous confiez vos données à un tiers, il vous dira que vous pourrez toujours les (ex)porter ailleurs. Il faut aussi rappeler le droit au portage au moment de la fermeture du compte. L’application slack devra alors revoir son modèle étrange qui bloque tous vos messages anciens au-delà de 10.000 à moins de s’abonner, ce qui va à l’encontre du portage des données. Le contrôle de l’identité de celui qui demande le portage ne sera pas une sinécure. On connait les pratiques de slamming qui ont éclos avec le portage des numéros. Un opérateur un peu trop audacieux pouvait demander le portage d’un client qu’il venait à peine de démarcher sans avoir encore son consentement, tout au plus un pourquoi pas ? Quid lorsque le client n’est connu de son fournisseur que par son pseudonyme ? Quand il s ‘agit de passer de eDarling à Meetic, peu de clients auront envie de prouver qui ils sont. Si la taille des données à porter est trop grande, il faudra proposer un support matériel pour les contenir : DVD, clé USB, sinon, un outil de téléchargement de ses données est préconisé. C’est ce que Facebook et Google proposent déjà. Enfin, le portage doit être gratuit et effectué dans le mois. Si la demande de portage est infondée, excessive, par exemple des allers-retours entre réseaux sociaux, une participation aux frais peut être demandée.Ça fait beaucoup (de défis techniques à surmonter): le RGPD n’a jamais autant donné raison à ceux qui pensent qu’une régulation audacieuse peut donner lieu à de l’innovation. Mais cela ne résoudra pas l’ultra-dominance de Facebook. La valeur d’un réseau (social ici) serait proportionnelle au carré du nombre de ses utilisateurs : avec ses deux milliards d’utilisateurs, Facebook ne sera plus rattrapé. Pour y remédier, ce n’est pas le portage qu’il aurait fallu mais l’interopérabilité : qu’un réseau concurrent puisse se connecter au réseau Facebook tout comme les petits opérateurs mobiles sont interconnectés aux opérateurs mobiles historiques pour qu’un appel passe d’un réseau à l’autre. Ainsi le premier client du réseau concurrent a tout de suite accès aux 2 milliards d’utilisateurs de Facebook. Rêvons. »

 

 

Trafic de données personnelles : Google, pire que Facebook

Trafic de données personnelles : Google, pire que Facebook

Facebook a bien sûr été l’objet de toutes les critiques concernant exploitation des données et les détournements fiscaux. En fait un reproche qu’on peut faire à tous les GAFAM. La difficulté,  c’est que derrière la gratuité de certains services se cachent le business des données sur lequel se fonde le commerce. Facebook on le sait vend et exploite ses données mais comme d’autres. En particulier Google qui dispose de bien plus de données en tant que moteur de recherche et de manière plus général comme moyen d’ intermédiation entre les services. Ce que confirme un article dans l’Opinion qui attire l’attention sur la violation de la vie privée à des fins commerciales (voire politiques) :

 

« La récente controverse sur l’appétit de Facebook pour les données personnelles a fait ressurgir l’idée que l’industrie de la publicité en ligne pourrait être dangereuse pour notre vie privée et notre bien-être. L’attention portée sur Facebook est justifiée, elle ne reflète cependant pas toute la réalité. Si le souci porte sur le fait que des entreprises collectent des données personnelles à notre insu ou sans notre consentement explicite, Google est une menace bien plus importante par de nombreux aspects: le volume d’informations qu’il recueille, l’ampleur de son suivi et le temps passé sur ses sites et ses applications. De nouvelles réglementations, en particulier en Europe, incitent Google et d’autres à être plus transparents et à demander plus d’autorisations aux utilisateurs. Ayant le choix, beaucoup de personnes accepteraient quand même le compromis des données personnelles pour des services. Pourtant, à ce jour, peu d’entre nous réalisent à quel point nos données sont collectées et utilisées. « Il y a un problème systémique qui ne se limite pas à Facebook », explique Arvind Narayanan, informaticien et professeur assistant à l’université de Princeton. Le modèle économique de ces entreprises est entièrement axé sur la violation de la vie privée, assure-t-il. Nous devons comprendre le rôle… »

 

 

Protection des données : nouvelle contrainte ou opportunité avec le règlement européen RGPD ?

Protection des données : nouvelle contrainte avec le  règlement européen RGPD ?

 

 

 

C’est la question à laquelle répond dans une  interview à la Tribune, la présidente de la Commission nationale de l’informatique et des libertés Isabelle Falque-Pierrotin. On sait que l’enjeu est considérable.  Pour faire simple, il s’agit de réguler pour empêcher la mise en sous-traitance de l’économie européenne par les GAFA, le trafic de données notamment à des fins politiques  et pour protéger les consommateurs et les citoyens.

- Pourquoi considérez-vous que le RGPD est indispensable ?

ISABELLE FALQUE-PIERROTIN - Le RGPD est une grande avancée pour plusieurs raisons. Tout d’abord, il crée un marché européen de la donnée en unifiant les législations par un règlement unique. Jusqu’à présent, il fallait composer avec des textes nationaux pas forcément raccords les uns avec les autres. Deuxièmement, le RGPD remet enfin les acteurs européens et internationaux à égalité de concurrence. La disposition relative au ciblage, qui permet d’appliquer le règlement aux groupes étrangers qui traitent les données de citoyens européens, force les géants du Net américains et chinois à ne plus s’affranchir des règles de l’UE. Le troisième avantage du RGPD est qu’il renforce la capacité de dialogue de l’Europe face à ces acteurs. Google, par exemple, ne dialoguera plus séparément avec la Cnil française puis son équivalente allemande, mais avec l’autorité chef de file qui représente toutes les Cnil européennes. Enfin, le RGPD répond à la volonté de plus en plus marquée des citoyens européens de mieux maîtriser leur vie numérique. Les droits des personnes sont considérablement renforcés. Certes, la mise en conformité s’accompagne d’un investissement et d’une réorganisation interne pour les entreprises et les collectivités, mais le RGPD est une chance pour l’Europe.

Les acteurs soumis au RGPD ont eu deux ans pour s’y préparer, mais à moins de soixante-dix jours de son entrée en vigueur, le 25 mai prochain, très peu sont prêts. Comment expliquez-vous ce retard ?

Beaucoup d’entreprises n’étaient pas conformes à la directive sur la protection des données de 1995 révisée en 2004, qui a modifié la loi de 1978. Elles partent donc de très loin, il y a un effet de rattrapage. En dépit de nos efforts de communication, la culture de la protection de la donnée peine à s’installer en France. Historiquement, la gestion des données a été cantonnée aux directions juridiques des entreprises. Elle n’a jamais été investie par les directions générales ou au niveau du comex [comité exécutif, ndlr]. Une prise de conscience est nécessaire pour que l’enjeu monte dans la hiérarchie des structures et devienne stratégique. Le RGPD pousse justement à cette prise de conscience parce que les sanctions qui résultent du non-respect du règlement sont très dissuasives. Aujourd’hui, les entreprises sont vraiment au pied du mur.

L’arme des sanctions, qui peuvent atteindre 4% du chiffre d’affaires mondial, force les entreprises à enfin se préoccuper de leur gestion des données. La menace est-elle le seul moyen efficace ?

L’ampleur inédite des sanctions est une bonne arme de dissuasion. Cette crainte nous permet de faire entrer le sujet de la protection des données dans les entreprises. Mais maintenant que nous avons leur attention, notre but est surtout de pousser un autre message, celui que la conformité au RGPD n’est pas seulement une contrainte réglementaire mais peut aussi apporter un bénéfice opérationnel. Respecter la vie privée de ses clients et collaborateurs est un facteur de différenciation concurrentielle et répond à une demande sociétale forte depuis l’affaire Snowden. Dans les secteurs qui utilisent énormément les données, comme les startups du numérique, les mentalités changent. Des fonds d’investissement commencent à se dire qu’ils ne veulent pas investir dans une startup qui ne pratique pas le « privacy by design ». La conformité est aussi un outil marketing : elle rassure les consommateurs. On l’a bien vu au CES de Las Vegas, où de plus en plus de startups françaises ont mis en avant leur éthique des données. Le RGPD est une opportunité de business.

Beaucoup d’entreprises restent complètement dans le flou, notamment les PME-TPE. Comment les aider à se mettre en conformité ?

Il est vrai que les grands groupes ont les moyens de s’adapter et sont en train d’investir. Les PME en revanche sont plus démunies face à la complexité du texte. En tant que régulateur, il est de notre responsabilité de les aider. Nous avons mis en place beaucoup d’outils. D’abord, les « six étapes » du RGPD, une information de base très pédagogique sur ce qu’est le RGPD et comment s’en emparer. Nous proposons aussi des outils plus opérationnels, par exemple un tutoriel pour aider à réaliser une étude d’impact. Pour les PME et les ETI tous secteurs confondus, nous travaillons avec Bpifrance à la réalisation d’un kit pratique qui sera disponible d’ici à la fin du mois de mars. Nous menons aussi une réflexion plus macro qui consiste à réutiliser les packs de conformité que nous avons développés ces dernières années. Le but est de créer un référentiel sectoriel qui permettrait d’éviter quelques démarches aux entreprises qui y adhèrent. Ainsi, les entreprises sauront exactement ce que le régulateur attend en termes de conformité dans leur secteur, en fonction des usages.

Les « guidelines », les guides de bonnes pratiques publiés par le G29 [l'organisme qui fédère les Cnil européennes, présidé par Isabelle Falque-Pierrotin jusqu'en février 2018] pour aider les entreprises à interpréter le texte, ne sont pas toutes sorties. De fait, beaucoup de sociétés se plaignent de ne pas pouvoir se mettre en conformité car elles n’ont pas les outils nécessaires…

Je rappelle que le G29 n’avait aucune obligation de sortir des guidelines. Normalement, un règlement est applicable dès qu’il est voté. Or, l’UE a laissé un délai de deux ans. Nous avons pris l’initiative de rédiger des guidelines sur les sujets clés car nous craignions que la complexité du texte amène à des interprétations différentes de la part des autorités nationales. Ces guidelines ont été élaborées en coconstruction avec les fédérations professionnelles. Leur but est d’être souples, utiles, et de coller aux usages du terrain. Elles arrivent tard car elles ont demandé un travail monstrueux de dialogue avec les acteurs. Les entreprises peuvent déjà se féliciter de les avoir.

Allez-vous commencer votre travail de contrôle et de sanction dès le 25 mai, tout en sachant que la plupart des entreprises ne sont pas en situation de conformité ?

Le RGPD ne part pas d’une feuille blanche. Un certain nombre de principes liés à la gouvernance des données existaient déjà, comme la finalité du traitement des données par exemple. Nous les contrôlerons donc comme avant, car les entreprises sont déjà censées les avoir intégrés. La méthode sera la même : soit nous réagirons à des plaintes – nous en recevons 8.000 par an -, soit nous diligenterons nous-mêmes des contrôles, qui peuvent déboucher sur des sanctions.
En revanche, nous souhaitons faire preuve de pragmatisme et de bienveillance pour les principes nouveaux du règlement, comme le droit à la portabilité ou l’obligation de mettre en place un registre, car il faut laisser aux entreprises le temps de se les approprier. Le but d’un régulateur n’est pas d’afficher un tableau de chasse de sanctions. Dans un premier temps, nous privilégierons l’accompagnement et l’explication.

Aurez-vous une tolérance plus forte envers les PME qu’envers les grands groupes et les géants du Net, par exemple ?

Nous raisonnons au cas par cas. Une PME suscite bien sûr une certaine réserve, mais cela ne veut pas dire qu’on laissera passer n’importe quoi. Imaginez une PME dans l’économie des données de santé qui laisse passer une faille de sécurité considérable. Dans un tel cas, nous serions forcés de réagir vite. Il ne faut pas tomber dans des automatismes.

Le RGPD oblige les structures qui utilisent des données à grande échelle à recruter un Data Protection Officer (DPO). Mais il n’y a pas assez de DPO… Comment faire ?

J’entends cette difficulté, mais je crois aussi que les DPO vont « se faire » sur le terrain. Ce nouveau métier, central, nécessite des compétences transversales. Des formations se mettent en place dans tous les pays européens. Mais les entreprises peuvent aussi faire évoluer un profil existant. Le DPO peut être un juriste, un technicien, un CIL (correspondant informatique et libertés)… Son positionnement doit à la fois être proche des métiers et branché sur la chaîne de décision pour qu’il ne soit pas un personnage de paille et que ses recommandations soient suivies.

Avec le RGPD, le marché de la conformité explose. Vous avez d’ailleurs mis en garde contre la multiplication des arnaques…

Ce marché n’est pas nouveau mais il prend de l’ampleur. De nouveaux outils et programmes de conformité émergent à partir des règlements européens. À certains égards, je m’en réjouis car il n’y avait pas suffisamment d’acteurs investis dans l’opérationnalisation des principes européens. Cette activité peut être complémentaire de celle des régulateurs. Depuis quatre ans, nous émettons des labels qui prennent la forme de référentiels en fonction des secteurs. À présent, nous voulons progressivement passer des labels à une véritable certification, en s’appuyant sur des certificateurs privés. Cela permettra de mieux encadrer ce marché et de réduire les arnaques. Il est vrai que certains pratiquent un grossier marketing de la peur en accentuant les difficultés du RGPD pour vendre des prestations parfois inutiles à un prix exorbitant. Face à cela, nous rappelons que tout n’est pas nouveau : si vous êtes en conformité avec les réglementations précédentes, le RGPD ne nécessite qu’un travail de toilettage. Les entreprises doivent rester vigilantes, vérifier la crédibilité de leur interlocuteur et utiliser nos outils sur notre site pour identifier leurs besoins de conformité.

Vous insistez sur les nouveaux droits que le RGPD offre aux citoyens pour mieux contrôler leur vie numérique. Mais les usages révèlent une attitude paradoxale : d’un côté les citoyens se méfient des acteurs qui « aspirent » leurs données de manière non transparente, de l’autre ils continuent d’utiliser en masse ces services…

Le « privacy paradox » est une réalité mais je crois que le RGPD arrive à point nommé pour appuyer un changement de culture vis-à-vis des données personnelles. Il y a de plus en plus de bloqueurs de publicité. De plus en plus de profils Facebook ferment, ce qui n’était pas le cas il y a quelques années. On sent bien que les services qui se présentent comme plus respectueux des données recueillent de plus en plus d’intérêt. Il est vrai que beaucoup de droits existants, comme le droit d’accès ou le droit de rectification, sont peu utilisés, en grande partie car ils restent peu connus. Mais le droit à l’oubli sur les moteurs de recherche est un vrai succès en France et en Europe. Je suis également persuadée que le nouveau droit à la portabilité des données, ainsi que la possibilité de recours collectifs face aux acteurs qui ne respectent pas leurs obligations, vont être plébiscités. Le RGPD va accélérer cette prise de conscience, qui est pour l’heure marginale. C’est un vrai choix politique de la part de l’Union européenne.

Dans quel sens ?

Avec le RGPD, nous affirmons une certaine vision de l’innovation. Contrairement à ce qui peut être dit, le règlement ne freinera pas l’innovation, bien au contraire. Commercialement et stratégiquement, l’idée de l’Europe est de bâtir une innovation robuste parce qu’elle est construite sur le respect des droits, qui sont pris en compte en amont. Bien sûr, il y aura toujours des paradis de la donnée. Mais est-ce le modèle que l’Europe veut construire ? Non. Le RGPD incarne un modèle d’innovation durable.

Protection des données : enjeu économique et sociétal

 Protection des données : enjeu économique et sociétal

 

Un sujet en apparence essentiellement technique pour la protection des personnes, en fait un enjeu stratégique : celui de la maitrise des données produites par les individus de manière massive en tout lieu et en tout moment ; des données numérisées qui permettent ensuite de maitriser l’économie et  d’orienter le type de société tant en ce qui concerne le mode de consommation,  la formation de l’opinion et la manière de d’agir. De ce point de vue, les GAFA sont en position hégémonique et la seule réponse de l’Europe est de tenter de réguler le phénomène. Cela ne suffira cependant à combler le phénomène.  À notre insu ou de notre plein gré, nous générons de plus en plus d’informations numériques sur nous mêmes. Stéphane Grumbach, responsable de l’équipe DICE, INRIA, revient sur les enjeux autour de ces données, suite à sa participation au colloque « Le Monde après Snowden», à l’Assemblée nationale, le jeudi 13 mars dernier. Alors que la numérisation de notre monde poursuit sa marche inexorable, celui qui contrôle les données contrôle – théoriquement – toute l’économie. « Tous les secteurs d’activité dépendent désormais des données, juge Stéphane Grumbach. Les marchés traditionnels s’en rendent compte, mais n’ont pas les moyens de réagir. Quant aux pouvoirs publics, particulièrement européens, ils sont dépassés, ils ne comprennent pas forcement les enjeux. Cela pose un vrai problème de souveraineté, l’Europe est devenue dépendante des États-Unis, d’une manière sans cesse croissante. »En attendant l’Europe tente de se protéger  avec le règlement de protection des données.   Voté par Bruxelles en mai 2016, applicable dans les 28 pays membres de l’Union européenne, le RGPD n’est ni plus ni moins que la nouvelle bible régissant dans le détail l’utilisation des données personnelles en Europe. Sa portée est très large, puisque le règlement s’impose à toute structure utilisant à grande échelle des informations de citoyens européens. Cela concerne donc à la fois le public (hôpitaux, enseignement, administrations, collectivités locales…) et, bien sûr, une grande partie du secteur privé, des startups aux PME, jusqu’aux grands groupes. Dans l’entreprise, il faut installer toute une série de garde-fous pour protéger la vie privée des clients et des salariés.   Pour autant, il est difficile – voire impossible – d’empêcher nos données d’être numérisées.

 Ça serait comme refuser d’utiliser l’électricité, explique Stéphane Grumbach. Il est temps d’en avoir conscience et d’accepter les risques inhérents, tout en les maîtrisant.

Grâce aux révélations de l’affaire Snowden, ce débat hier cantonné aux spécialistes est aujourd’hui devenu public. « La question est désormais : comment trouver un équilibre entre intérêt personnel et intérêt général. Dans nos sociétés centrées sur les individus, c’est extrêmement compliqué, notamment en Europe où les dictatures ont rendu les habitants du vieux continent particulièrement méfiants quant à l’usage qui est fait de leurs données personnelles. » Cette évolution, qui a déjà commencé, passe par une réinvention des modèles économiques. « L’Europe est déjà largement en retard, et plus nous attendons, plus cette étape de « destruction créatrice » sera compliquée et douloureuse », conclut Stéphane Grumbach.

Cambridge Analytica – Facebook : un avant goût du trafic de données

 

 

L’or noir n’est plus le pétrole depuis longtemps il est progressivement remplacé par la numérisation et le trafic de données. Aujourd’hui déjà, l’utilisation intensive d’internet et de se services permet déjà de déterminer le profil économique, social et sociétal de chaque internaute  Demain avec la multitude des applications de l’IA, on pourra en tout temps et en tout lieu identifier les comportements, les goûts et les opinions de chacun. Une immense base de données pourra être constituée, celle qui permettra de dominer l’économie mais aussi d’orienter la société. De ce point de vue, la riposte de l’Europe avec le règlement de protections des données apparaît bien insuffisante et surtout essentiellement défensive. Le scandale Cambridge Analytica : de  Facebook constitue un avant goût des dérives du trafic de données.   Des millions de données personnelles sont en effet  remises à Cambridge Analytica cabinet qui travaillait pour Trump. La preuve supplémentaire que ce réseau est à la fois le plus idiots des réseaux dits sociaux (même s’il existe de très rares cas d’utilisation intelligente de Facebook), aussi le plus pourri puisqu’il est aussi un champ d’analyse pour l’espionnage américain  Selon le journal le  Guardian et le  Washington Post , le renseignement américain récolte les relevés téléphoniques aux États-Unis et aurait accès aux serveurs de groupes informatiques comme  Google et Facebook, des pratiques héritées de l’ère Bush et approuvées par l’administration de Barack Obama. Le quotidien britannique The Guardian a publié une ordonnance de justice secrète forçant l’opérateur américain Verizon à livrer à l’Agence nationale de sécurité (NSA), à la demande du FBI, la totalité des données téléphoniques de ses abonnés, d’avril à juillet, en vertu d’une loi votée dans la foulée des attentats du 11 septembre 2001, le « Patriot Act ». Le Washington Post et le Guardian ont affirmé sur la base de fuites d’un ancien employé du renseignement que la NSA avait un accès direct aux serveurs de neuf sociétés internet, dont Facebook, Microsoft, Apple et Google. Grâce à un partenariat conclu avec ces compagnies, l’agence d’espionnage pourrait directement et sans ordonnance de justice lire les courriers électroniques et écouter les conversations des utilisateurs, tant qu’il existe une probabilité « raisonnable » que l’un des interlocuteurs se situe à l’étranger, la loi américaine exigeant une ordonnance dans le cas d’Américains. . Facebook, le plus grand réseau social au monde, a admis que les données personnelles de ses utilisateurs s’étaient retrouvées entre les mains du cabinet d’analyse, Cambridge Analytica. Ce dernier, travaillant pour la campagne électorale de Donald Trump en 2016, aurait ainsi collecté des informations sur 50 millions d’utilisateurs Facebook, sans leur consentement direct. La polémique a été révélée ce week-end par le New York Times et The Observer. L’affaire est gênante à plusieurs niveaux. Premièrement, elle touche le cœur même de l’activité de Facebook : la collecte de données – et l’usage potentiellement détourné qui peut en être fait. « On est en train d’ouvrir le couvercle de la boîte noire des pratiques de Facebook en matière de données, et le tableau n’est pas joli à voir », souligne auprès de ReutersFrank Pasquale, professeur de droit à l’Université du Maryland et spécialiste de l’utilisation des données par les géants d’Internet.  Aux États-Unis, plusieurs sénateurs souhaitent entendre les justifications devant le Congrès de Mark Zuckerberg, président et co-fondateur de Facebook. « C’est une brèche énorme sur laquelle il convient d’enquêter. Il est clair que ces plates-formes ne savent pas s’autodiscipliner », a twitté la sénatrice démocrate Amy Klobuchar. Même son de cloche en Europe. Le président du Parlement européen, Antonio Tajani, dénonçait lundi une « une violation inacceptable du droit à la vie privée de nos citoyens ». La commissaire européenne à la Justice, Vera Jourova, prévoit quant à elle d’aborder le sujet avec le réseau social et des responsables du gouvernement américain lors de sa vite aux États-Unis, cette semaine. Sur Internet, une campagne #DeleteFacebook (en français, supprime Facebook) a été lancée.

Internet : non au stockage des données personnelles par les États-Unis (cour de justice européenne)

Internet : non au stockage des données personnelles par les États-Unis (cour de justice européenne)

 

Finalement la cour de justice de l’Europe s’est montrée moins laxiste que la commission pour autoriser les États-Unis à stocker les données personnelles des Européens. Sans doute a-t-on tenu compte des réticences des grands opérateurs américains pour respecter réellement des règles de déontologie en la matière. La Cour européenne de justice (CEJ), suivant l’avis de son avocat général, a invalidé mardi une directive de la Commission adoptée en juillet 2000 autorisant le transfert de données personnelles d’internautes européens vers les Etats-Unis. La Commission européenne avait fixé un cadre juridique accordant aux Etats-Unis un régime de « Safe Harbour », autrement dit la possibilité de stocker sur des serveurs américains des données personnelles de ressortissants européens. La Cour de justice, dans un communiqué, déclare la décision prise par « la Commission le 26 juillet 2000 invalide ». Elle argue du fait que le cadre juridique prévoit qu’une entreprise ou une société qui entend faire sortir des données de l’UE doit disposer de la part du pays destinataire, en l’occurrence les Etats-Unis, d’un « niveau de protection adéquat à ces données » en prenant en compte « toutes les circonstances » légales ou de fait. Or, dans son avis, l’avocat général auprès de la CEJ estimait que les circonstances n’étaient plus de nature à assurer ce niveau de protection depuis les révélations faites par l’ancien analyste Edward Snowden sur le programme de surveillance Prism de l’Agence de sécurité nationale américaine (NSA). Lors d’une conférence de presse tenue dans l’après-midi, le vice-président de la Commission européenne Frans Timmermans a déclaré que l’UE travaillait à une réforme du système actuel afin de tenir compte de la décision de la CEJ. « Dans l’intervalle, les transferts de données peuvent se poursuivre sur la base d’autres mécanismes » juridiques, a-t-il dit. « Nous travaillons avec les autorités américaines pour rendre les transferts de données plus sûrs pour les citoyens européens. A la lumière de ce jugement (de la CEJ), nous allons poursuivre ce travail pour mettre en place un nouveau cadre, sûr, de transfert des données personnelles à travers l’Atlantique. »

Poutine : nationalisation des données informatisées personnelles

Poutine : nationalisation des données informatisées personnelles

 

La nationalisation des données personnelles n’est pas nécessairement une mauvaise chose pour éviter le détournement par certaines multi nationales et la centralisation extrême de l’information. Pour  autant Poutine, lui souhaite nationaliser ces données afin de mieux suivre les activités des entreprises et des personnes. Une sorte de contrôle informatique des libertés. Le 1er septembre prochain, toutes les entreprises qui stockent des données personnelles de citoyens russes -qu’elles opèrent ou non dans le pays- devront les héberger sur des serveurs installés physiquement sur le territoire national russe. Cette loi, baptisée 242-FZ et promulguée au début de l’année, concerne toutes les sociétés de e-commerce, de réservation de voyages, les banques, les assurances, les opérateurs télécoms, les fournisseurs d’accès, les prestataires de réseaux sociaux, etc.  Ce texte législatif se révèle particulièrement exigeant surtout pour les sociétés étrangères. D’une façon globale, le gouvernement russe participe à cette tendance de fond de fragmentation du web qui vise un découpage du réseau sur des bases nationales. Une renationalisation en quelque sorte. Avec sa loi 242-FZ, il souhaite surtout maîtriser davantage les données personnelles de ses concitoyens qui circulent dans le monde.  Sont visés les membres des Facebook, Amazon et consorts mais également les clients russes de petits hôtels situés dans les Alpes ou sur la Côte d’Azur. Ces derniers seront aussi censés stocker les données personnelles de leurs clients russes sur des serveurs soviets ! 

E-commerce : danger pour les données personnelles

E-commerce : danger pour les données personnelles

Dashlane, une société spécialisée dans la protection des données personnelles en ligne a réalisé une étude sur la façon dont les 100 premiers sites de e-commerce français protègent les comptes de leurs clients. Les résultats sont surprenants : 70% de ces sites le font mal !  Dashlane a défini un certains nombres de critères qu’elle estime être indispensables pour bien protéger les comptes utilisateurs des clients et a regardé si ces sites respectés ces critères. En fonction des résultats, elle a appliqué une note qui pouvait aller potentiellement de 100 à – 100, 100 si c’est parfait, – 100 si ça ne l’est pas. Aucun site n’a 100 mais ça ne veut pas dire qu’aucun site ne fait d’effort. Dans l’étude les sites qui ont entre 0 et 100 sont qualifiés de sérieux même s’ils peuvent bien sûr faire mieux. La meilleure note attribuée est 50/100. En tête du palmarès, on trouve ebay, le bon coin et vente-privée.  En queue de peloton, on trouve entre autres les sites de MacDonalds, Décathlon, Joueclub. Seuls 14% des sites de e-commerce testés exigent de leurs clients un mot de passe fort, c’est à dire difficile à craquer pour une personne mal intentionnée. Ce mot de passe assez long, au moins 8 caractères qui va mélanger des majuscules, des minuscules et des chiffres.  De nombreux sites acceptent comme mot de passe, 123456, AZERTY (les premières lettres du clavier) voire même le chiffre « 1″ ! Autant ne pas mettre de mot de passe.  Sur presque la moitié des sites, lors de la création d’un compte ou quand l’utilisateur qui a perdu son mot de passe en redemande un, ce dernier est expédié au client par mail et en clair. Ce qui peut poser problème si une personne mal intentionnée tombe sur ce mail ou si la boîte mail est piratée.  Quand vous créez un compte utilisateur même si le site ne l’exige pas, créez vous toujours un mot de passe fort (majuscules, minuscules et chiffres) et si le site vous envoie votre mot de passe par mail, une fois que vous l’avez lu, détruisez le mail. Curieux aussi qu’après avoir faiat un achat par mél ou donné son Mel à une société, on soit inondé de Mels commerciaux, si l’e-Commerce se développe, le trafic de fichier tout autant.

 




L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol