Planète Warez

@Psyckofox c’est le but de le revendre, surtout qu’un tel nombre ça doit valoir beaucoup

@Raccoon a dit dans Une régie publicitaire surveillait plus de 5 milliards de portables via 500 000 applications :

la plateforme (…) dispose des profils de « plus de 5 milliards d’identifiants d’utilisateurs »

c’est malheureux à dire mais je m’en fous… comme l’a dit @duJambon tant que les données ne tombent pas entre les mains du commun des mortels je vois pas où est le problème

@Raccoon a dit dans Mode Incognito de Chrome : Google modifie son descriptif en marge d’un recours collectif :

les plaignants affirment que l’historique est envoyé à Google

franchement, je m’en fiche pas mal de savoir que google est au courant de mes activités sur le net, qu’est-ce qu’ils en ont à faire de savoir sur quels sites porno je vais :mouhaha:

Un couple et leur petite fille à la plage face à la merPhoto de Natalya Zaritskaya sur Unsplash

Coup sur coup, la CNIL a publié une mise en garde au sujet des risques associés au « partage de photos et vidéos de votre enfant sur les réseaux sociaux », et le Sénat adopté en seconde lecture une proposition de loi afférente.

Le Sénat a adopté, en seconde lecture ce mardi 19 décembre, une proposition de loi de l’Assemblée nationale visant à garantir le respect du droit à l’image des enfants.

Leur texte, qui « se veut avant tout pédagogique vis-à-vis des parents », entend modifier les règles du Code civil relatives à l’autorité parentale, « pour y intégrer le respect de la vie privée et le droit à l’image », et « mieux sensibiliser les parents à leurs obligations ».

En nouvelle lecture, le Sénat a « accepté de faire figurer expressément dans le Code civil l’obligation des parents de protéger en commun le droit à l’image de leur enfant ».

Les sénateurs veulent également « consacrer la possibilité pour le juge aux affaires familiales d’interdire à un parent la diffusion d’un contenu relatif à l’enfant sans l’accord de l’autre parent ».

Il a par contre « refusé de créer un cas de délégation de l’exercice du droit à l’image de l’enfant » lorsque la diffusion de l’image de celui-ci par ses parents porte gravement atteinte à sa dignité ou à son intégrité morale, considérant que cette procédure « n’apportait pas de solution plus efficiente » que les mesures d’assistance éducative que peut déjà prendre le juge des enfants.

L’échec de la commission mixte paritaire

Ce texte revenait au Sénat après l’échec de la commission mixte paritaire en raison de divergences sur deux points principaux : l’exigence d’un accord des deux parents pour toute diffusion d’une image de leur enfant sur internet, que le Sénat avait ajoutée, et la création d’une « délégation forcée de l’exercice du droit à l’image de l’enfant à un tiers » en cas d’atteinte grave à sa dignité ou à son intégrité morale, que souhaitaient maintenir les députés.

Lors de son examen en nouvelle lecture, la commission des lois a finalement renoncé à la nécessité d’un accord des deux parents pour la diffusion d’une image de l’enfant sur internet, en cohérence avec la position exprimée par le Sénat en matière d’inscription des mineurs sur les réseaux sociaux lors du vote de la loi du 7 juillet 2023 « visant à instaurer une majorité numérique et à lutter contre la haine en ligne ».

La rapporteure précise que son article 4 ne requiert en effet l’accord que d’un seul titulaire de l’autorité parentale pour permettre à un enfant de s’inscrire à un réseau social avant ses quinze ans. Il ne lui a donc pas semblé logique de créer une différence de traitement entre ces deux situations, sachant que l’inscription à un réseau social n’est souvent que le préalable à la diffusion de photos.

La question du rôle des parents, du juge et de la CNIL

Elle a par contre consacré dans le Code civil l’obligation pour les parents de « protéger en commun le droit à l’image de leur enfant », afin de les sensibiliser aux dangers d’exposer leurs enfants sur les réseaux sociaux, mais également de « donner une référence légale aux professionnels qui interviennent auprès des parents et des enfants en la matière ».

À l’initiative de la rapporteure, la commission a en outre accepté de préciser les pouvoirs du juge aux affaires familiales (JAF) pour interdire à un parent la diffusion d’un contenu relatif à l’enfant sans l’accord de l’autre parent, tout en précisant que ces pouvoirs s’exerçaient dans le but d’assurer la protection du droit à l’image de l’enfant. Et ce, au motif que « le rôle des parents n’est en effet pas tant d’exercer le droit à l’image de leur enfant que de le protéger ».

Introduit en première lecture au Sénat, l’article 5 qui vise à permettre à la Commission nationale de l’informatique et des libertés (CNIL) de saisir le tribunal judiciaire en référé dès lors que des données à caractère personnel d’un mineur sont concernées, a été précisé par l’Assemblée nationale « afin de circonscrire l’intervention de la CNIL en référé aux cas de non-exécution ou d’absence de réponse à une demande d’effacement de ces données ».

Sharenting : l’avis de la CNIL

« Vos enfants ont le droit au respect de leur vie privée et disposent d’un droit à l’image », rappelait la CNIL dans une fiche consacrée à ces questions et mise en ligne la veille.

Elle y relève que l’Observatoire de la parentalité et de l’éducation numérique (OPEN)-POTLOC avait estimé que 53 % des parents français ont déjà partagé sur les réseaux sociaux du contenu sur leurs enfants. Une pratique surnommée « sharenting » (mot-valise anglais composé de share, partager, et parenting, parentalité).

La CNIL note également qu’une étude britannique, publiée en 2018, estimait qu’en moyenne, les parents d’un enfant de 13 ans avaient partagé 1 300 photos de lui sur les réseaux sociaux.

« _Le partage de vidéos ou de photos de vos enfants sur les réseaux sociaux n’est pas un acte anodin et comporte de nombreux risque_s », relève la CNIL.

Des parents refusent de dépublier des photos de leur enfant

Elle déconseille notamment de partager des photos d’enfants dans le bain ou à la plage, ces images pouvant être détournées à des fins malveillantes, voire les diffuser sur des réseaux pédocriminels.

À plus long terme, ces images peuvent aussi « priver les enfants de leur capacité à définir leur propre image et leur identité », et porter atteinte à leur réputation en ligne (avec un risque de cyberharcèlement) dans un cadre scolaire ou dans leur avenir personnel et professionnel.

Elle raconte avoir ainsi été contactée par un mineur qui voulait voir retirer des photographies, vidéos et enregistrements vocaux diffusés par ses parents par l’intermédiaire du groupe sur un réseau social. La CNIL ne précise pas ce pourquoi ses parents auraient refusé de répondre favorablement à leur enfant.

La CNIL évoque aussi les difficultés rencontrées par certains parents à faire cesser la diffusion de photographies du baptême de leurs enfants mineurs.

La CNIL recommande les messageries sécurisées et éphémères

La CNIL rappelle qu’ « avant de publier une photo ou une vidéo de votre enfant sur les réseaux sociaux, il est nécessaire d’en parler avec lui et d’obtenir son accord ». Il convient également de demander (et d’obtenir) l’accord de l’autre parent.

Plusieurs décisions de justice « établissent clairement » que le fait de diffuser des photographies de ses enfants, notamment sur les réseaux sociaux, « est un acte non habituel qui nécessite l’accord des deux parents ». Un juge pourrait donc interdire à l’un des parents de diffuser des photographies des enfants « sans l’accord de l’autre parent ».

La CNIL relève en outre que les enfants peuvent aussi agir eux-mêmes contre leurs parents en cas de non-respect de leurs droits par ces derniers. En 2018, un adolescent de seize ans avait ainsi porté plainte contre sa mère pour violation de sa vie privée. Le tribunal de Rome avait alors ordonné à la mère d’arrêter de poster des photos de son fils sur les réseaux sociaux, sous peine d’amende.

« De manière générale », la CNIL « déconseille fortement de partager des photos ou des vidéos de vos enfants sur les réseaux sociaux, surtout lorsque votre profil est public ».

À défaut, elle conseille de cacher le visage de son enfant, de le photographier de dos, ou d’ajouter une émoticône sur son visage avant de partager les photos.

Mais également de privilégier le partage par messagerie privée instantanée sécurisée, « dont certaines proposent même des fonctionnalités qui vous permettent d’envoyer des messages éphémères ».

Source : next.ink

@Ashura a dit dans Cox Media Group (CMG) admet écouter les conversations pour du ciblage publicitaire :

Bordel et ça doit pas être les seuls, même chez toi tranquille ta plus de vie privée et les gens sont content

Et ça t’étonnes ?
Combien de personnes utilisant un smartphone se tiennent-elles au courant de ce qui se passe en lisant ce genre d’articles ?
On serait surpris du petit nombre d’entre eux et la toute grande majorité s’en foutent du moment qu’ils peuvent aller sur leurs réseaux asociaux mater toutes les conneries…
Pauvre monde…

@Raccoon a dit dans Tests ADN : les données d’un million d’utilisateurs de 23andMe fuitent :

Un échantillon d’1 millions de données concernant principalement des juifs

Ha comme quoi tout est lié, c’était ciblé

@Violence J’en ai vu une bonne partie sur des chaînes infos, et c’est vrai qu’ils ne manquent pas d’humour.

Accusées d’avoir accédé illégalement aux données personnelles de ses utilisateurs, la Fnac, SeLoger, et MyFitnessPal sont toutes trois visées par des plaintes de l’association Noyb.

L’association autrichienne de protection de la vie privée Noyb (None Of Your Business) a déposé trois plaintes auprès de la (Cnil Commission nationale de l’informatique et des libertés) contre les applications mobiles de la Fnac, SeLoger et myFitnessPal. L’association demande au gendarme des données personnelles d’ordonner aux trois sociétés de « supprimer toutes les données ayant fait l’objet d’un traitement illicite », écrit-elle dans son communiqué.

Il est reproché aux trois applications d’accéder « illégalement », dès l’ouverture de l’application par l’utilisateur, à certaines de ses données comme l’identifiant publicitaire unique de Google (AdID), le modèle et la marque de l’appareil et l’adresse IP locale et de les partager à des fins d’analyse. L’AdID est un identifiant unique à chaque appareil et permet aux annonceurs d’identifier les utilisateurs et de mieux cerner leur profil de consommateur afin de faire apparaître des publicités et campagnes marketing personnalisées.

Absence de consentement

Problème,  dans le cas des applications Fnac, SeLoger, et MyFitnessPal : « les utilisateurs n’ont même pas le choix de consentir ou d’empêcher le partage de leurs données. Cette approche est illégale. », fait remarquer Noyb. Ce qui constitue selon elle une violation de la directive européenne « vie privée communications électroniques », qui impose de recueillir le consentement des utilisateurs. Au regard des faits, l’association suggère que le régulateur inflige des amendes aux trois entreprises.

Selon Noyb, ces trois exemples ne sont que quelques illustrations de la manière dont les applications contournent les lois européennes sur la protection de la vie privée comme le RGPD, « afin de monétiser les données de leurs utilisateurs ». Selon une étude  étude menée par des chercheurs de l’Université d’Oxford, seules 3,5% des applications demandent effectivement leur consentement des utilisateurs.

Source : linformaticien.com

@duJambon a dit dans En Europe, on se bat pour continuer de payer en espèces :

@noctambule75 Venez changer en Suisse, les banques vous attendent les bras ouverts 🙂

La Suisse c’est trop loin pour le change, par contre c’est parfait pour l’achat et le stockage d’or ainsi que pour le trading boursier :haha:

Internet c’est pour certaines choses bien pratique :mrgreen:

Les autorités américaines ont infligé plus de 500 millions de dollars d’amende à une dizaine de banques, dont BNP Paribas et la Société Générale, au motif qu’elles n’avaient pas conservé les messages échangés par leurs employés dans le cadre de leurs activités professionnelles, rapportent AGEFI - Dow Jones et awp/afp.

Dans son communiqué, la Securities and Exchange Commission (SEC), qui a infligé des amendes de 35 millions de dollars à BNP Paribas, la Société Générale et 9 autres banques, précise en effet que « leurs employés communiquaient souvent via diverses plateformes de messagerie sur leurs appareils personnels, notamment iMessage, WhatsApp et Signal, au sujet des activités de leurs employeurs » et ce, « en violation des lois fédérales » qui obligent les banques à pouvoir conserver les messages de leurs employés afin de pouvoir les mettre à disposition des autorités.

La Commodity Futures Trading Commission (CFTC), chargée de la régulation des bourses de commerce et qui a infligé des amendes de 75 millions de dollars aux deux banques françaises, ainsi qu’à Wells Fargo et la Banque de Montréal, leur reproche également de ne pas avoir « empêché leurs employés, y compris ceux des niveaux supérieurs, de communiquer à la fois en interne et en externe en utilisant des méthodes de communication non approuvées, y compris des messages envoyés par SMS ou WhatsApp ».

La CFTC précise avoir d’ores et déjà imposé 1,091 milliard de dollars en sanctions pécuniaires civiles à 18 institutions financières « pour leur utilisation de méthodes de communication non approuvées » depuis décembre 2021, et la SEC 1,5 milliard de dollars, « pour faire passer ce message fondamental ».

Source : nextinpact.com

faudra attendre l’année prochaine pour la st Patrick

Un développeur suggère de passer à Jitsi

Capture d’écran 2023-08-08 à 23.48.08.png

Zoom, la plateforme de visioconférence populaire, a récemment mis à jour ses conditions d’utilisation pour permettre l’utilisation des données des utilisateurs pour entraîner et améliorer ses algorithmes et modèles d’intelligence artificielle (IA). Cette décision a suscité des critiques et des inquiétudes de la part des défenseurs de la vie privée et des experts juridiques, qui estiment qu’elle constitue une atteinte aux droits et au consentement des utilisateurs. Face à cette situation, certains utilisateurs ont choisi de se tourner vers des offres concurrentes, parmi lesquelles Jitsi.

Capture d’écran 2023-08-08 à 23.48.16.png

Selon les nouvelles conditions d’utilisation, Zoom se réserve le droit de collecter, de stocker, de traiter, de partager et d’utiliser les données générées par le service (Service Generated Data), qui comprennent les données de télémétrie, les données d’utilisation du produit, les données de diagnostic et d’autres données similaires liées à l’utilisation des services ou du logiciel de Zoom par les utilisateurs. Zoom conserve tous les droits sur ces données et peut les utiliser pour tout objectif, dans la mesure et de la manière permises par la loi applicable.

Ce qui soulève l’alarme, c’est la mention explicite du droit de Zoom d’utiliser ces données pour le machine learning et l’IA, y compris l’entraînement et le réglage des algorithmes et des modèles. Cela permet à Zoom d’entraîner son IA sur le contenu des clients sans offrir la possibilité de s’y opposer, une décision qui devrait susciter un débat important sur la vie privée et le consentement des utilisateurs.

Citation Envoyé par Zoom

10.2 Données générées par le service ; consentement à l’utilisation. Le Contenu client ne comprend aucune donnée de télémétrie, donnée d’utilisation des produits ou donnée de diagnostic, ni aucun contenu ou donnée similaire collecté ou généré par Zoom en lien avec votre utilisation des Services ou des Logiciels ou avec celle de vos Utilisateurs finaux (les « Données générées par le service »). En vertu de l’accord conclu entre vous et Zoom, tous les droits, titres et intérêts relatifs aux Données générées par le service, ainsi que tous les Droits exclusifs y afférents, sont exclusivement détenus et conservés par Zoom. Vous acceptez que Zoom compile et puisse compiler des Données générées par le service basées sur le Contenu client et l’utilisation des Services et des Logiciels. Vous consentez à l’accès, à l’utilisation, à la collecte, à la création, à la modification, à la distribution, au traitement, au partage, à la maintenance et au stockage des Données générées par le Service à quelque fin que ce soit, dans la mesure et de la manière autorisée par la Loi applicable, y compris à des fins de développement de produits et de services, de marketing, d’analyse des données, d’assurance qualité, d’apprentissage automatique ou d’intelligence artificielle (y compris à des fins d’entraînement et de réglage des algorithmes et des modèles), de formation, de test et d’amélioration des Services, des Logiciels ou d’autres produits, services et logiciels de Zoom, ou de toute combinaison de ceux-ci, et sauf disposition contraire du présent Accord. Dans le cadre de ce qui précède, si, pour quelque raison que ce soit, Zoom ne bénéficie pas de certains droits sur lesdites Données générées par le Service en vertu de la présente Section 10.2 ou sauf disposition contraire du présent Accord, vous cédez et acceptez par les présentes de céder à Zoom en votre nom, inconditionnellement et irrévocablement, et vous veillerez à ce que vos Utilisateurs finaux cèdent et acceptent de céder à Zoom, inconditionnellement et irrévocablement, tous les droits, titres et intérêts liés aux Données générées par le Service, y compris tous les Droits exclusifs y afférents.

En outre, selon la section 10.4 des nouvelles conditions d’utilisation, Zoom s’est assuré une licence perpétuelle, mondiale, non exclusive, libre de droits, sous-licenciable et transférable pour redistribuer, publier, accéder, utiliser, stocker, transmettre, examiner, divulguer, préserver, extraire, modifier, reproduire, partager, utiliser, afficher, copier, distribuer, traduire, transcrire, créer des œuvres dérivées et traiter le contenu des clients (Customer Content). Zoom justifie ces actions comme nécessaires pour fournir des services aux clients, soutenir les services et améliorer ses services, son logiciel ou d’autres produits.

Citation Envoyé par Zoom

10.4 Octroi de licence par le client. Vous acceptez d’octroyer et octroyez à Zoom par les présentes une licence perpétuelle, non exclusive, libre de redevances, susceptible d’être cédée en sous-licence, transférable et entièrement libérée dans le monde entier, ainsi que tous les autres droits requis ou nécessaires pour redistribuer, publier, importer, utiliser, stocker, transmettre, consulter, divulguer, conserver, extraire, modifier, reproduire, partager, utiliser, présenter, copier, distribuer, traduire, transcrire et traiter le Contenu client, et pour accéder à ce dernier, en créer des œuvres dérivées ou exécuter toutes les actions s’y rapportant : (i) de toutes les manières nécessaires pour permettre à Zoom de vous fournir les Services, y compris d’en assurer l’assistance ; (ii) à des fins de développement de produits et de services, de marketing, d’analyse des données, d’assurance qualité, d’apprentissage automatique, d’intelligence artificielle, de formation, de test et d’amélioration des Services, des Logiciels ou d’autres produits, services et logiciels de Zoom, ou de toute combinaison de ceux-ci ; et (iii) dans tout autre but en lien avec une quelconque utilisation ou une autre action autorisée conformément à la Section 10.3. Si vous détenez des Droits exclusifs sur des Données générées par le service ou des Données anonymes agrégées, vous octroyez à Zoom par les présentes une licence perpétuelle, irrévocable, non exclusive, libre de redevances, susceptible d’être cédée en sous-licence, transférable et entièrement libérée dans le monde entier, ainsi que tous les autres droits requis ou nécessaires pour permettre à Zoom d’exercer ses droits relatifs aux Données générées par le service et aux Données anonymes agrégées, selon le cas, conformément au présent Accord.

L’analyse de Simon Phipps

Simon Phipps est un expert en logiciels libres et en standards ouverts. Il partage ses réflexions sur divers sujets liés à l’informatique, à la politique, à la culture et à la société. Il évoque parfois ses différents projets et activités en ligne, comme son rôle de directeur des standards et des politiques à l’Open Source Initiative, son ancien poste de responsable des logiciels libres chez Sun Microsystems, ou encore son implication dans le Fediverse, un réseau social décentralisé basé sur le protocole ActivityPub.

Il s’est intéressé à la situation de Zoom. Voici ce qu’il a indiqué à ce sujet :

Dans les termes, « les données, le contenu, les fichiers, les documents ou d’autres matériaux » que vous utilisez dans une session Zoom (“Entrée du client”), ainsi que les enregistrements et les transcriptions, et tout autre paillettes que Zoom saupoudre dessus, sont appelés « Contenu client ».

10.4(ii) vous voit ensuite accorder une large licence au Contenu Client « à des fins de développement de produits et de services, de marketing, d’analyse, d’assurance qualité, d’apprentissage automatique, d’intelligence artificielle, de formation, de test, d’amélioration des Services, du Logiciel ou de Zoom. d’autres produits, services et logiciels, ou toute combinaison de ceux-ci ». 10.5 explique que cela peut très bien être effectué par un tiers.

Si les éléments que vous avez partagés appartiennent à quelqu’un d’autre, 10.6 vous voit accepter que « vous êtes seul responsable du contenu client » et notamment d’obtenir le consentement des tiers et de fournir des avis conformément aux lois applicables à la combinaison de personnes impliquées. Marquer des choses comme confidentielles n’aide pas - 17.1 indique clairement que « le contenu du client n’est pas une information confidentielle du client » (c’est-à-dire qu’il n’est pas traité par Zoom comme partagé en toute confidentialité).

En plus de tout cela, dans 10.6, vous « déclarez et garantissez que vous avez le droit de télécharger l’Entrée Client et que Zoom vous fournit, crée ou met à votre disposition tout Contenu Client, et que cette utilisation ou fourniture par vous, votre Fin L’utilisateur ou Zoom ne viole ni n’enfreint aucun droit d’un tiers. » Donc, selon 25(i) & (iii), vous les indemnisez s’ils entraînent leur IA avec l’IP de quelqu’un d’autre que vous possédez - par exemple, un dossier client dont vous discutez en interne, ou une affaire juridique sur laquelle vous travaillez sous privilège.

Il n’y a pas de possibilité d’opt-out ou de contrôle de la portée à utiliser dans les conditions de formation à l’IA. Le directeur de l’exploitation de Zoom affirme que l’utilisation réelle des fonctionnalités d’IA est facultative, mais cela ne semble pas pertinent car les conditions accordent à Zoom ces autorisations indépendamment et le contenu client existe, que vous utilisiez ou non les fonctionnalités d’IA.

Ma lecture non-avocate suggère que c’est une chose exceptionnellement risquée pour quiconque d’accepter s’il est en possession d’une propriété intellectuelle ou sous NDA concernant les secrets de quelqu’un d’autre, et j’éviterai Zoom (même s’ils annulent les termes - ne peut pas prendre le chance sur les futurs changements comme celui-ci).

Simon Phipps recommande Jitsi à la place de Zoom

Jitsi est un logiciel libre et open source qui permet de faire des visioconférences en ligne. Il est compatible avec les navigateurs web et les applications mobiles. Il offre des fonctionnalités comme le chiffrement, le partage d’écran, le chat, les réactions, les sondages, et plus encore. Jitsi est utilisé par de nombreuses organisations et personnes pour communiquer à distance, que ce soit pour le travail, l’éducation, ou le divertissement.

Jitsi est divisé en plusieurs composants, dont les principaux sont :

Jitsi Meet : l’interface web et mobile qui permet de créer et de rejoindre des réunions. Jitsi Videobridge : le serveur qui gère les flux vidéo entre les participants. Jitsi Jicofo : le serveur qui coordonne les sessions et les ressources. Jitsi Jigasi : le serveur qui permet de se connecter à des services de téléphonie. Jitsi SIP Communicator : le client de bureau qui permet de faire des appels audio et vidéo.

Capture d’écran 2023-08-08 à 23.48.16.png

Jitsi peut être installé sur son propre serveur ou utilisé via un service hébergé comme Jitsi as a Service (JaaS) qui propose une solution clé en main pour intégrer Jitsi dans son site web ou son application1. Jitsi est également disponible sur Google Play et App Store4 pour les utilisateurs mobiles.

Suite au tollé, Zoom fait des modifications dans sa communication

Zoom ne forme pas ses modèles d’intelligence artificielle sur des chats audio, vidéo ou textuels à partir de l’application « sans le consentement du client », selon un article de blog publié lundi par le directeur des produits de Zoom, Smita Hashim.

Dans son message, Hashim écrit également que « nos clients continuent de posséder et de contrôler leur contenu ». Hashim écrit que « notre intention était de préciser que les clients créent et possèdent leur propre contenu vidéo, audio et chat. Nous sommes autorisés à utiliser ce contenu client pour fournir des services à valeur ajoutée basés sur ce contenu, mais nos clients continuent de posséder et de contrôler leur contenu ».

Après la première publication de cet article, Zoom a mis à jour ses conditions d’utilisation avec une déclaration similaire dans sa section 10.4 :

« Nonobstant ce qui précède, Zoom n’utilisera pas de contenu audio, vidéo ou de chat pour former nos modèles d’intelligence artificielle sans votre consentement ».

Sources : Simon Phipps, Zoom, intelligence-artificielle.developpez.com

Et vous ?

Quelle lecture en faites-vous ?

Voir aussi: https://planete-warez.net/topic/3696/cette-tv-4k-est-gratuite-mais-vous-n-en-voudrez-pas?_=1690449018777

J’avoue que, pareillement, je ne vois pas comment empêcher ces compagnies de récolter nos “préférences” lorsqu’on s’y ballade…

La seule chose que je vois, c’est que ça rajoute une “couche” qui ne doit pas tomber en panne lorsqu’on en aurait besoin. Et qui ne doit pas se faire “attaquer” histoire que nos datas ne se retrouvent pas sur un marché quelconque.

Après un an d’attente, la CNIL prononce enfin sa décision finale sur le dossier de violations du RGPD par Criteo. Si le montant de l’amende infligée, 40 millions d’euros, peut paraître une somme importante, elle n’en est pas moins réduite d’un tiers par rapport à ce qu’avait proposé le rapporteur de l’autorité l’année dernière. Sur le fond, cette décision pointe notamment le fait que l’entreprise est responsable du bon respect du RGPD par ses sous-traitants.

La CNIL a donc rendu sa décision : Criteo doit payer une amende de 40 millions d’euros pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Le montant peut paraître important, mais cette somme reste bien inférieure à celle proposée par le rapporteur de la CNIL l’an passé, à savoir 60 millions d’euros.

L’association plaignante, Privacy International, estime cependant, dans un communiqué de presse transmis à Next INpact, que la CNIL « a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD ».

Violations du RGPD : la CNIL propose une amende de 60 millions d’euros contre Criteo RGPD : la CNIL enquête sur Criteo

La formation restreinte de la CNIL, dans sa décision prise le 15 juin et publiée ce jour au Journal officiel, suit le rapporteur sur les constats d’infraction au RGPD et évoque cette première proposition d’amende, mais ne donne pas d’explication claire à propos de la différence entre celle-ci et le montant finalement décidé.

L’affaire remonte à novembre 2018, quand l’organisation britannique Privacy International a attaqué sept sociétés dont Criteo, le spécialiste français du reciblage publicitaire, suivi un mois après par l’association None of Your Business (noyb) de Max Schrems.

Non-conformité avec le RGPD et formalisme abusif pour s’opposer au traitement des données

Dans sa plainte, Privacy International soulignait notamment que Criteo ne traitait pas les données conformément au RGPD. De son côté, noyb dénonçait « le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après “le plaignant”). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l’exercice des droits », explique la CNIL dans sa décision.

Dans sa décision, la CNIL explique avoir mené son enquête pendant 2 ans entre 2019 et 2020, échangeant des courriers avec Criteo puis chargeant une délégation pour effectuer des contrôles aussi bien par l’envoi d’un questionnaire que par un contrôle sur place, dans les locaux de la société « au cours duquel elle a notamment procédé à des vérifications sur le site web de deux partenaires de la société ».

Cette délégation a mené un contrôle en ligne de plusieurs des principaux sites à partir desquels Criteo collecte le plus de données « pour vérifier notamment les modalités du dépôt du cookie Criteo dans le terminal des utilisateurs et le dispositif mis en œuvre pour recueillir leur consentement ».

Six articles du RGPD violés

Le rapporteur, François Pellegrini, en a conclu que Criteo manquait à six des articles du RGPD : 7, 12, 13, 15, 17 et 26. Rien que ça ! Ces articles concernent le consentement de la personne concernée à ce que ses données soient collectées et utilisées, la transparence des informations et les informations à fournir lorsque les informations ont été collectées auprès de la personne concernée et quand ce n’est pas le cas, mais aussi le « droit à l’oubli » et enfin l’obligation de s’assurer que les partenaires respectent aussi le RGPD.

Responsable aussi du bon respect du règlement par les sous-traitants

En effet, le cookie que Criteo utilise pour cibler les publicités ne peut être déposé sur le terminal de l’utilisateur sans son consentement. Or, certains partenaires de l’entreprise déposaient ce cookie sans donner d’information sur celui-ci ni demander l’autorisation.

La CNIL a constaté que Criteo n’avait rien fait pour s’assurer que ça soit le cas. Les contrats signés par l’entreprise avec ses partenaires ne contenaient aucune clause spécifique demandant explicitement la preuve de l’obtention du consentement des internautes. Elle pointe aussi le fait que le fleuron français de la publicité en ligne n’avait fait aucun audit de ses sous-traitants.

«  La société avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires », relève la CNIL.

L’Autorité explique que Criteo a ajouté dans ses versions ultérieures à ses contrôles une «  clause relative à la preuve du consentement selon laquelle le partenaire s’engage à “fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire” ».

Depuis lors, la CNIL considère que Criteo s’est mise en conformité sur ce sujet, tout en soulignant que celle-ci est « intervenue tardivement » et qu’elle a bien traité des données à caractère personnel « sans être en mesure de démontrer [que les internautes concernés] ont valablement consenti au traitement ayant pour finalité l’affichage d’une publicité personnalisée ».

Cette remarque de la CNIL met en lumière que les entreprises qui traitent des données à caractère personnel doivent pouvoir apporter la preuve, a posteriori, du consentement des internautes, et ce même si le cookie a été déposé par un sous-traitant.

Manques d’information et termes « vagues et larges »

La CNIL a aussi inspecté la politique de confidentialité de Criteo. Elle juge que celle-ci créait « une incertitude quant à la base juridique du traitement en ce qu’elle ne [permettait] pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données [reposait] sur leur consentement ». Certaines finalités étaient aussi « exprimées dans des termes vagues et larges qui ne [permettaient] pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs ».

L’Autorité pointe aussi que cette politique de confidentialité affirmait des choses contradictoires, faisant reposer les finalités relatives aux publicités et au financement des activités des éditeurs tantôt sur la base juridique de l’intérêt légitime, tantôt sur celle du consentement. Elle ajoute « qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée  ».

Elle observe néanmoins que, depuis son investigation, Criteo a modifié sa politique de confidentialité pour inclure les mentions manquantes et utiliser des termes plus simples et compréhensibles.

La CNIL a aussi pu constater que Criteo ne fournissait aux internautes que les données extraites de trois des six tables de sa base de données. Le rapporteur a considéré qu’il aurait fallu que la totalité des tables soient transmises.

Critéo a fait remarquer à la CNIL, suite à la finalisation du rapport, que l’une d’entre elles « s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès », ce qui a convaincu l’autorité que cette table n’était pas communicable. Pour le reste, Criteo s’est engagée à fournir l’ensemble des données dont elle dispose en réponse aux demandes d’internautes.

Pas de suppression du traçage lors du retrait du consentement

Si Criteo arrêtait l’affichage de publicité lorsqu’une personne demandait à exercer son droit de retrait du consentement ou l’effacement de ses données, l’entreprise ne supprimait pas son identifiant et n’effaçait pas les évènements de navigation liés. Un autre point que la CNIL ne pouvait pas laisser passer.

Depuis, Criteo a mis en place une procédure de demande plus claire. Elle peut néanmoins continuer à traiter certaines données pour d’autres finalités, mais seulement en le justifiant au cas par cas.

Mais la CNIL fait remarquer que « la société a également tiré un avantage financier du fait de ne pas procéder à l’effacement des données en continuant à utiliser les données qui ne sont pas effacées à des fins d’amélioration de ses technologies, ce qui participe à sa compétitivité sur le marché de la publicité ciblée ».

Une amende conséquente bien que pas maximale

Comme dit plus haut, le rapporteur avait proposé une amende de 60 millions d’euros. Celle-ci peut, en effet, atteindre un montant maximum de 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise visée.

La CNIL indiquant que le chiffre d’affaires mondial de Criteo en 2022 était de 1,9 milliard, ce montant était tout à fait dans les clous. L’autorité a cependant choisi un montant un peu moins élevé de 40 millions d’euros, remarquant que celui-ci constitue « près de 2 % du chiffre d’affaires mondial ».

Privacy International fait remarquer que « Criteo avait mis en avant son bénéfice net de 10 millions d’euros en 2022 pour plaider en faveur d’une réduction de sa peine » pendant l’audience qui s’est tenue en mars dernier. La décision de la CNIL rappelle quand même que « le montant de l’amende peut être supérieur au bénéfice généré par le responsable de traitement, dans la mesure où cela serait nécessaire afin d’assurer le caractère dissuasif de la sanction ».

Les deux associations plaignantes se félicitent de cette décision. « Nous sommes très heureux de la décision de la CNIL. C’est un signal fort envoyé à l’industrie de l’ad-tech, qui devra faire face à des conséquences désastreuses si elle enfreint la loi », exulte Romain Robert, avocat spécialiste de la protection des données chez noyb dans un communiqué.

Privacy International

, dans son communiqué, que cette sanction « met en cause le système de surveillance généralisée dont les sociétés de l’AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles ».

Criteo n’a, pour l’instant, pas communiqué sur cette sanction.

La CNIL rappelle, comme toujours, que Criteo peut faire un recours devant le Conseil d’État dans un délai de deux mois.

Source : nextinpact.com

@Indigostar Un silence qui risque de perdurer.

Durant la période du covid l’URSSAF avait déjà fait fort. En effet l’URSSAF était censé proposer aux entreprises qui le souhaitaient la possibilité de différer les paiements de leurs charges. Sauf que l’URSSAF sans rien demander à personne sans l’accord des entreprises a suspendu des prélèvements pour pas mal de petites entreprises certains s’en sont rendu compte assez tardivement et se sont retrouvés avec par la suite une année de cotisations à rattraper en plus de celle de l’année en cours.

Le nouveau gouvernement allemand souhaite modifier le règlement allemand sur la conservation des données afin qu’il soit conforme aux droits constitutionnels européens et allemands en matière de protection de la vie privée. Selon le ministre allemand de la Justice, la rétention de données ou « le stockage de données de télécommunications sans raison » pourrait bientôt prendre fin. La plus haute juridiction européenne a décidé qu’un tel changement est nécessaire au plus vite.

La Cour de justice des Communautés européennes (CJCE) a rendu un arrêt étonnant sur la conservation des données : « vos données de communication téléphonique et en ligne ne doivent pas être stockées sans motif, ce qui rend la rétention de données illégale en Allemagne - et par conséquent dans toute l’Europe. » Cet arrêt fait suite à une action en justice intentée par les fournisseurs de télécommunications allemands Deutsche Telekom et SpaceNet. Cette décision confirme - une fois de plus - la voie du nouveau gouvernement allemand composé du SPD, de Grüne et du FDP, qui, dans leur accord de coalition, ont déjà décidé d’abolir la rétention des données.

La Cour de justice de l’Union européenne (CJUE) a déclaré le 21 septembre que la loi allemande sur la conservation des données est contraire au droit communautaire, portant ainsi un coup dur aux États membres qui misent sur la collecte généralisée de données pour lutter contre la criminalité et préserver la sécurité nationale. La CJUE note que la loi ne peut être appliquée que dans des circonstances où il existe une menace grave pour la sécurité nationale, définie en termes très stricts. Par le passé, la CJUE avait également soutenu que les lois sur la conservation des données en Suède, en France et en Belgique étaient incompatibles avec le droit européen.

Toutefois, la version la plus récente de la loi a été suspendue par les tribunaux allemands, car elle viole le droit européen. En conséquence, l’Agence fédérale des réseaux s’abstient d’émettre des ordonnances et d’engager des procédures d’amende pour non-respect de l’obligation de conservation. La CJUE a déclaré que la loi allemande sur la conservation générale des données est contraire au droit communautaire. Selon la CJUE, la législation ne s’applique que lorsqu’il existe une menace grave pour la sécurité nationale, énoncée en termes précis. La décision de la CJUE était attendue depuis plusieurs mois dans toute l’Union.

« Je rejette la rétention des données sans aucune raison et je voudrais la supprimer de la loi une fois pour toutes. Elle viole les droits fondamentaux. Si chacun doit s’attendre à ce que beaucoup de choses sur ses communications soient stockées sans raison, alors plus personne ne se sentira libre », a déclaré le ministre fédéral de la Justice dans une interview accordée au Funke Mediengruppe.

Fondamentalement, la conservation des données consiste à collecter des données qui permettent de savoir qui a contacté qui, à partir de quel endroit et sous quelle forme. En Allemagne, l’histoire récente de la conservation des données peut être décrite par un parcours en zigzag : les politiciens ont adopté à plusieurs reprises des lois sur la conservation des données, et la Haute Cour allemande a déclaré à plusieurs reprises que ces lois n’étaient pas valables, au motif que des mesures de surveillance aussi étendues porteraient atteinte au droit constitutionnel à la vie privée de tous les citoyens.

En France, des sociétés privées ont l’obligation légale de conserver pendant un an

Des sociétés privées comme SFR, Orange, Bouygues ou encore Free ont l’obligation légale de conserver pendant un an en France les données de connexion Internet ou téléphoniques de leurs clients. Selon le code des postes et des communications électroniques, cette obligation qui concerne les données relatives à l’identité, la date, l’heure ou la localisation des communications, ne touche pas au contenu. Avec l’arrêt de la Cour de justice de l’Union européenne (CJUE), cette contrainte pourrait être allégée ou tout simplement supprimée dans certains cas.

La discussion au niveau européen est très similaire à ce qui se passe actuellement en Allemagne. Par exemple, Moritz Körner, membre du Parlement européen pour le Parti démocratique libre (FDP), pense qu’il est temps de mettre un terme aux obligations de conservation des données actuellement requises : « Ces dernières années, la Commission européenne et les États membres ont échoué à plusieurs reprises devant la Cour européenne de justice et n’ont pas réussi à adopter une forme juridiquement sûre de conservation des données. C’est pourquoi il faut repenser la politique de sécurité, en s’éloignant de la conservation des données sans raison spécifique. »

En effet, Free aurait demandé au Conseil d’État d’annuler purement et simplement l’article R10-13 du code des postes et des télécommunications. L’article R10-13, qui figure dans la section consacrée à la protection de la vie privée des utilisateurs de réseaux et services de communications électroniques, contraint les opérateurs de communications électroniques à conserver « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », toute une série de données d’un client. En d’autres termes, elle s’oppose à la coopération telle qu’elle s’effectue aujourd’hui entre services enquêteurs et opérateurs de téléphonie (fixe ou mobile), fournisseurs d’accès à Internet ou hébergeurs (de type Facebook ou réseaux sociaux).

Fondamentalement, la conservation des données consiste à collecter des données qui permettent de savoir qui a contacté qui, à partir de quel endroit et sous quelle forme.

Autres informations concernées :

les informations d’identité personnelle ; les données relatives aux équipements de communication utilisés ; les données permettant d’identifier le destinataire de la communication ; les données relatives aux services complémentaires demandés et leurs fournisseurs ; les caractéristiques techniques, ainsi que la date, l’horaire et la durée de chaque communication.
Marco Buschmann, le nouveau ministre fédéral de la Justice, veut abolir un instrument de surveillance qui suscite la controverse en Allemagne depuis des années.
Actuellement, des dispositions prévoyant la conservation des données pendant plusieurs semaines figurent dans la loi allemande sur les télécommunications récemment modifiée, mais elles sont actuellement suspendues en raison de décisions de tribunaux administratifs. La Cour de justice des Communautés européennes (CJCE) a déclaré à plusieurs reprises que l’enregistrement des données téléphoniques et Internet sans distinction est incompatible avec les droits fondamentaux à la vie privée garantis dans l’UE. Conservation des données uniquement après décision judiciaire

Buschmann préconise donc la procédure de gel rapide, dans laquelle les fournisseurs devraient geler virtuellement les données de connexion et de localisation à l’instigation des forces de l’ordre. Afin de renforcer les droits civils, Buschmann propose que les données ne soient stockées que « s’il existe un soupçon que des crimes graves ont été commis ». Les fournisseurs de télécommunications devraient rapidement les sécuriser « s’il existe une raison concrète de le faire sur la base d’une décision de justice », « afin que la police et le ministère public puissent ensuite les évaluer » - mais pas à l’avance et en général, donc pas sans enquête pénale.
La nouvelle proposition ne concernerait donc que certaines personnes et ne devrait « être possible qu’en cas de suspicion de l’existence de crimes graves ».

Buschmann a fait valoir que sa proposition était plus conforme à l’État de droit et qu’elle serait donc « un gain pour la liberté et la sécurité en même temps ».
Il a également déclaré que l’un de ses principaux objectifs est de renforcer les droits civils. Pour y parvenir, il veut lancer une évaluation indépendante des lois allemandes sur la surveillance. Avec sa nouvelle collègue au ministère fédéral de l’Intérieur, Nancy Faeser (SPD), il a été convenu que les nombreuses lois de sécurité existantes seraient évaluées de manière indépendante et scientifique pendant cette période électorale.

En Allemagne, la loi sur la conservation des données adoptée en octobre 2015 oblige - en théorie - les fournisseurs de services de télécommunications tels que Telekom ou Telefónica à stocker régulièrement et pour chaque personne pendant plusieurs semaines les données de localisation, les adresses IP et les listes d’appels (y compris les numéros de téléphone, la durée et l’heure de l’appel), et à les remettre aux autorités publiques telles que la police et les procureurs, l’Office de protection de la Constitution, le Service fédéral de renseignement, etc. sur demande justifiée.

En Allemagne, la loi sur la conservation des données adoptée en octobre 2015 oblige - en théorie - les fournisseurs de services de télécommunications tels que Telekom ou Telefónica à stocker régulièrement et pour chaque personne pendant plusieurs semaines les données de localisation, les adresses IP et les listes d’appels (y compris les numéros de téléphone, la durée et l’heure des appels), et à les remettre aux autorités publiques telles que la police et les procureurs, l’Office de protection de la Constitution, le Service fédéral de renseignement, etc. sur demande justifiée.

Toutefois, la loi la plus récente a été suspendue par les tribunaux allemands, car elle viole le droit européen. En conséquence, l’Agence fédérale des réseaux s’abstient d’émettre des ordonnances et d’engager des procédures d’amende pour non-respect de l’obligation de conservation. Une décision de la Cour de justice des Communautés européennes (CJCE) concernant la loi allemande sur la conservation des données est toujours en attente.

Actuellement, par exemple, la Deutsche Telekom ne conserve les adresses IP, c’est-à-dire les adresses des utilisateurs sur Internet, que pendant une semaine à des fins de facturation. La loi allemande sur la conservation des données autoriserait la conservation de ces données pendant dix semaines. Mais cette réglementation est en suspens depuis quatre ans, l’Agence fédérale des réseaux l’ayant suspendue à la suite de la décision de justice susmentionnée.

Une bataille juridique avait été prévue

Cette bataille juridique autour de la loi allemande sur la conservation des données avait été prédite par les experts en protection des données avant même que la loi ne soit adoptée par les politiciens en 2015. Pour éviter cela, les politiciens avaient exclu de cette loi le courrier électronique en tant que forme de communication très privée. Cela signifie que les fournisseurs d’emails tels que n’avaient jamais été contraints de se conformer à la loi allemande sur la rétention des données.

Cependant, le plan des politiciens selon lequel, en excluant la conservation des données sur les courriels, la loi ne serait pas remise en question par les tribunaux n’a pas fonctionné comme prévu. Il n’était pas compréhensible - ni pour les citoyens ni pour les tribunaux - que la communication par téléphone ou par SMS soit considérée comme moins privée.

La situation européenne

La discussion au niveau européen est très similaire à ce qui se passe actuellement en Allemagne. Par exemple, Moritz Körner, membre du Parlement européen pour le Parti démocratique libre (FDP), pense qu’il est temps de mettre un terme aux obligations de conservation des données actuellement requises :

« Ces dernières années, la Commission européenne et les États membres ont échoué à plusieurs reprises devant la Cour européenne de justice et n’ont pas réussi à adopter une forme juridiquement sûre de conservation des données. C’est pourquoi il faut repenser la politique de sécurité, en s’éloignant de la conservation des données sans raison spécifique. »

Perspectives d’avenir

Aujourd’hui, un nouveau gouvernement (SPD, Grüne, FDP) est au pouvoir en Allemagne, et il semble que le nouveau gouvernement veuille remettre les choses en ordre et mettre fin à cette controverse juridique une fois pour toutes. Le projet du gouvernement actuel de revoir la loi allemande sur la conservation des données et de l’actualiser de manière à respecter les droits civils et le droit à la vie privée des citoyens est une perspective très prometteuse pour l’Allemagne.

Et vous ?

 Quel est votre avis sur le sujet ?

Sources: Ministre allemand de la Justice, droit.developpez.com

@Raccoon merci je suis rassuré

Hélas, voeu pieu!!! La CNIL ne fournit que des avis consultatifs et la loi reste superieure a ses avis…

Ce qui me gene surtout, c’est l’utilisation de plateformes de stockage gerees et implantées hors de france, louées par les gestionnaires de données de santé. Meme la CPAM avec leur DMP ne stocke rien en France… La France n’est meme pas capable de fabriquer et de gerer un datacenter dédié a la santé sur son propre sol, pour avoir la souveraineté sur les données médicales de la population.