Planète Warez

Un développeur suggère de passer à Jitsi

Capture d’écran 2023-08-08 à 23.48.08.png

Zoom, la plateforme de visioconférence populaire, a récemment mis à jour ses conditions d’utilisation pour permettre l’utilisation des données des utilisateurs pour entraîner et améliorer ses algorithmes et modèles d’intelligence artificielle (IA). Cette décision a suscité des critiques et des inquiétudes de la part des défenseurs de la vie privée et des experts juridiques, qui estiment qu’elle constitue une atteinte aux droits et au consentement des utilisateurs. Face à cette situation, certains utilisateurs ont choisi de se tourner vers des offres concurrentes, parmi lesquelles Jitsi.

Capture d’écran 2023-08-08 à 23.48.16.png

Selon les nouvelles conditions d’utilisation, Zoom se réserve le droit de collecter, de stocker, de traiter, de partager et d’utiliser les données générées par le service (Service Generated Data), qui comprennent les données de télémétrie, les données d’utilisation du produit, les données de diagnostic et d’autres données similaires liées à l’utilisation des services ou du logiciel de Zoom par les utilisateurs. Zoom conserve tous les droits sur ces données et peut les utiliser pour tout objectif, dans la mesure et de la manière permises par la loi applicable.

Ce qui soulève l’alarme, c’est la mention explicite du droit de Zoom d’utiliser ces données pour le machine learning et l’IA, y compris l’entraînement et le réglage des algorithmes et des modèles. Cela permet à Zoom d’entraîner son IA sur le contenu des clients sans offrir la possibilité de s’y opposer, une décision qui devrait susciter un débat important sur la vie privée et le consentement des utilisateurs.

Citation Envoyé par Zoom

10.2 Données générées par le service ; consentement à l’utilisation. Le Contenu client ne comprend aucune donnée de télémétrie, donnée d’utilisation des produits ou donnée de diagnostic, ni aucun contenu ou donnée similaire collecté ou généré par Zoom en lien avec votre utilisation des Services ou des Logiciels ou avec celle de vos Utilisateurs finaux (les « Données générées par le service »). En vertu de l’accord conclu entre vous et Zoom, tous les droits, titres et intérêts relatifs aux Données générées par le service, ainsi que tous les Droits exclusifs y afférents, sont exclusivement détenus et conservés par Zoom. Vous acceptez que Zoom compile et puisse compiler des Données générées par le service basées sur le Contenu client et l’utilisation des Services et des Logiciels. Vous consentez à l’accès, à l’utilisation, à la collecte, à la création, à la modification, à la distribution, au traitement, au partage, à la maintenance et au stockage des Données générées par le Service à quelque fin que ce soit, dans la mesure et de la manière autorisée par la Loi applicable, y compris à des fins de développement de produits et de services, de marketing, d’analyse des données, d’assurance qualité, d’apprentissage automatique ou d’intelligence artificielle (y compris à des fins d’entraînement et de réglage des algorithmes et des modèles), de formation, de test et d’amélioration des Services, des Logiciels ou d’autres produits, services et logiciels de Zoom, ou de toute combinaison de ceux-ci, et sauf disposition contraire du présent Accord. Dans le cadre de ce qui précède, si, pour quelque raison que ce soit, Zoom ne bénéficie pas de certains droits sur lesdites Données générées par le Service en vertu de la présente Section 10.2 ou sauf disposition contraire du présent Accord, vous cédez et acceptez par les présentes de céder à Zoom en votre nom, inconditionnellement et irrévocablement, et vous veillerez à ce que vos Utilisateurs finaux cèdent et acceptent de céder à Zoom, inconditionnellement et irrévocablement, tous les droits, titres et intérêts liés aux Données générées par le Service, y compris tous les Droits exclusifs y afférents.

En outre, selon la section 10.4 des nouvelles conditions d’utilisation, Zoom s’est assuré une licence perpétuelle, mondiale, non exclusive, libre de droits, sous-licenciable et transférable pour redistribuer, publier, accéder, utiliser, stocker, transmettre, examiner, divulguer, préserver, extraire, modifier, reproduire, partager, utiliser, afficher, copier, distribuer, traduire, transcrire, créer des œuvres dérivées et traiter le contenu des clients (Customer Content). Zoom justifie ces actions comme nécessaires pour fournir des services aux clients, soutenir les services et améliorer ses services, son logiciel ou d’autres produits.

Citation Envoyé par Zoom

10.4 Octroi de licence par le client. Vous acceptez d’octroyer et octroyez à Zoom par les présentes une licence perpétuelle, non exclusive, libre de redevances, susceptible d’être cédée en sous-licence, transférable et entièrement libérée dans le monde entier, ainsi que tous les autres droits requis ou nécessaires pour redistribuer, publier, importer, utiliser, stocker, transmettre, consulter, divulguer, conserver, extraire, modifier, reproduire, partager, utiliser, présenter, copier, distribuer, traduire, transcrire et traiter le Contenu client, et pour accéder à ce dernier, en créer des œuvres dérivées ou exécuter toutes les actions s’y rapportant : (i) de toutes les manières nécessaires pour permettre à Zoom de vous fournir les Services, y compris d’en assurer l’assistance ; (ii) à des fins de développement de produits et de services, de marketing, d’analyse des données, d’assurance qualité, d’apprentissage automatique, d’intelligence artificielle, de formation, de test et d’amélioration des Services, des Logiciels ou d’autres produits, services et logiciels de Zoom, ou de toute combinaison de ceux-ci ; et (iii) dans tout autre but en lien avec une quelconque utilisation ou une autre action autorisée conformément à la Section 10.3. Si vous détenez des Droits exclusifs sur des Données générées par le service ou des Données anonymes agrégées, vous octroyez à Zoom par les présentes une licence perpétuelle, irrévocable, non exclusive, libre de redevances, susceptible d’être cédée en sous-licence, transférable et entièrement libérée dans le monde entier, ainsi que tous les autres droits requis ou nécessaires pour permettre à Zoom d’exercer ses droits relatifs aux Données générées par le service et aux Données anonymes agrégées, selon le cas, conformément au présent Accord.

L’analyse de Simon Phipps

Simon Phipps est un expert en logiciels libres et en standards ouverts. Il partage ses réflexions sur divers sujets liés à l’informatique, à la politique, à la culture et à la société. Il évoque parfois ses différents projets et activités en ligne, comme son rôle de directeur des standards et des politiques à l’Open Source Initiative, son ancien poste de responsable des logiciels libres chez Sun Microsystems, ou encore son implication dans le Fediverse, un réseau social décentralisé basé sur le protocole ActivityPub.

Il s’est intéressé à la situation de Zoom. Voici ce qu’il a indiqué à ce sujet :

Dans les termes, « les données, le contenu, les fichiers, les documents ou d’autres matériaux » que vous utilisez dans une session Zoom (“Entrée du client”), ainsi que les enregistrements et les transcriptions, et tout autre paillettes que Zoom saupoudre dessus, sont appelés « Contenu client ».

10.4(ii) vous voit ensuite accorder une large licence au Contenu Client « à des fins de développement de produits et de services, de marketing, d’analyse, d’assurance qualité, d’apprentissage automatique, d’intelligence artificielle, de formation, de test, d’amélioration des Services, du Logiciel ou de Zoom. d’autres produits, services et logiciels, ou toute combinaison de ceux-ci ». 10.5 explique que cela peut très bien être effectué par un tiers.

Si les éléments que vous avez partagés appartiennent à quelqu’un d’autre, 10.6 vous voit accepter que « vous êtes seul responsable du contenu client » et notamment d’obtenir le consentement des tiers et de fournir des avis conformément aux lois applicables à la combinaison de personnes impliquées. Marquer des choses comme confidentielles n’aide pas - 17.1 indique clairement que « le contenu du client n’est pas une information confidentielle du client » (c’est-à-dire qu’il n’est pas traité par Zoom comme partagé en toute confidentialité).

En plus de tout cela, dans 10.6, vous « déclarez et garantissez que vous avez le droit de télécharger l’Entrée Client et que Zoom vous fournit, crée ou met à votre disposition tout Contenu Client, et que cette utilisation ou fourniture par vous, votre Fin L’utilisateur ou Zoom ne viole ni n’enfreint aucun droit d’un tiers. » Donc, selon 25(i) & (iii), vous les indemnisez s’ils entraînent leur IA avec l’IP de quelqu’un d’autre que vous possédez - par exemple, un dossier client dont vous discutez en interne, ou une affaire juridique sur laquelle vous travaillez sous privilège.

Il n’y a pas de possibilité d’opt-out ou de contrôle de la portée à utiliser dans les conditions de formation à l’IA. Le directeur de l’exploitation de Zoom affirme que l’utilisation réelle des fonctionnalités d’IA est facultative, mais cela ne semble pas pertinent car les conditions accordent à Zoom ces autorisations indépendamment et le contenu client existe, que vous utilisiez ou non les fonctionnalités d’IA.

Ma lecture non-avocate suggère que c’est une chose exceptionnellement risquée pour quiconque d’accepter s’il est en possession d’une propriété intellectuelle ou sous NDA concernant les secrets de quelqu’un d’autre, et j’éviterai Zoom (même s’ils annulent les termes - ne peut pas prendre le chance sur les futurs changements comme celui-ci).

Simon Phipps recommande Jitsi à la place de Zoom

Jitsi est un logiciel libre et open source qui permet de faire des visioconférences en ligne. Il est compatible avec les navigateurs web et les applications mobiles. Il offre des fonctionnalités comme le chiffrement, le partage d’écran, le chat, les réactions, les sondages, et plus encore. Jitsi est utilisé par de nombreuses organisations et personnes pour communiquer à distance, que ce soit pour le travail, l’éducation, ou le divertissement.

Jitsi est divisé en plusieurs composants, dont les principaux sont :

Jitsi Meet : l’interface web et mobile qui permet de créer et de rejoindre des réunions. Jitsi Videobridge : le serveur qui gère les flux vidéo entre les participants. Jitsi Jicofo : le serveur qui coordonne les sessions et les ressources. Jitsi Jigasi : le serveur qui permet de se connecter à des services de téléphonie. Jitsi SIP Communicator : le client de bureau qui permet de faire des appels audio et vidéo.

Capture d’écran 2023-08-08 à 23.48.16.png

Jitsi peut être installé sur son propre serveur ou utilisé via un service hébergé comme Jitsi as a Service (JaaS) qui propose une solution clé en main pour intégrer Jitsi dans son site web ou son application1. Jitsi est également disponible sur Google Play et App Store4 pour les utilisateurs mobiles.

Suite au tollé, Zoom fait des modifications dans sa communication

Zoom ne forme pas ses modèles d’intelligence artificielle sur des chats audio, vidéo ou textuels à partir de l’application « sans le consentement du client », selon un article de blog publié lundi par le directeur des produits de Zoom, Smita Hashim.

Dans son message, Hashim écrit également que « nos clients continuent de posséder et de contrôler leur contenu ». Hashim écrit que « notre intention était de préciser que les clients créent et possèdent leur propre contenu vidéo, audio et chat. Nous sommes autorisés à utiliser ce contenu client pour fournir des services à valeur ajoutée basés sur ce contenu, mais nos clients continuent de posséder et de contrôler leur contenu ».

Après la première publication de cet article, Zoom a mis à jour ses conditions d’utilisation avec une déclaration similaire dans sa section 10.4 :

« Nonobstant ce qui précède, Zoom n’utilisera pas de contenu audio, vidéo ou de chat pour former nos modèles d’intelligence artificielle sans votre consentement ».

Sources : Simon Phipps, Zoom, intelligence-artificielle.developpez.com

Et vous ?

Quelle lecture en faites-vous ?

Voir aussi: https://planete-warez.net/topic/3696/cette-tv-4k-est-gratuite-mais-vous-n-en-voudrez-pas?_=1690449018777

J’avoue que, pareillement, je ne vois pas comment empêcher ces compagnies de récolter nos “préférences” lorsqu’on s’y ballade…

La seule chose que je vois, c’est que ça rajoute une “couche” qui ne doit pas tomber en panne lorsqu’on en aurait besoin. Et qui ne doit pas se faire “attaquer” histoire que nos datas ne se retrouvent pas sur un marché quelconque.

Après un an d’attente, la CNIL prononce enfin sa décision finale sur le dossier de violations du RGPD par Criteo. Si le montant de l’amende infligée, 40 millions d’euros, peut paraître une somme importante, elle n’en est pas moins réduite d’un tiers par rapport à ce qu’avait proposé le rapporteur de l’autorité l’année dernière. Sur le fond, cette décision pointe notamment le fait que l’entreprise est responsable du bon respect du RGPD par ses sous-traitants.

La CNIL a donc rendu sa décision : Criteo doit payer une amende de 40 millions d’euros pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Le montant peut paraître important, mais cette somme reste bien inférieure à celle proposée par le rapporteur de la CNIL l’an passé, à savoir 60 millions d’euros.

L’association plaignante, Privacy International, estime cependant, dans un communiqué de presse transmis à Next INpact, que la CNIL « a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD ».

Violations du RGPD : la CNIL propose une amende de 60 millions d’euros contre Criteo RGPD : la CNIL enquête sur Criteo

La formation restreinte de la CNIL, dans sa décision prise le 15 juin et publiée ce jour au Journal officiel, suit le rapporteur sur les constats d’infraction au RGPD et évoque cette première proposition d’amende, mais ne donne pas d’explication claire à propos de la différence entre celle-ci et le montant finalement décidé.

L’affaire remonte à novembre 2018, quand l’organisation britannique Privacy International a attaqué sept sociétés dont Criteo, le spécialiste français du reciblage publicitaire, suivi un mois après par l’association None of Your Business (noyb) de Max Schrems.

Non-conformité avec le RGPD et formalisme abusif pour s’opposer au traitement des données

Dans sa plainte, Privacy International soulignait notamment que Criteo ne traitait pas les données conformément au RGPD. De son côté, noyb dénonçait « le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après “le plaignant”). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l’exercice des droits », explique la CNIL dans sa décision.

Dans sa décision, la CNIL explique avoir mené son enquête pendant 2 ans entre 2019 et 2020, échangeant des courriers avec Criteo puis chargeant une délégation pour effectuer des contrôles aussi bien par l’envoi d’un questionnaire que par un contrôle sur place, dans les locaux de la société « au cours duquel elle a notamment procédé à des vérifications sur le site web de deux partenaires de la société ».

Cette délégation a mené un contrôle en ligne de plusieurs des principaux sites à partir desquels Criteo collecte le plus de données « pour vérifier notamment les modalités du dépôt du cookie Criteo dans le terminal des utilisateurs et le dispositif mis en œuvre pour recueillir leur consentement ».

Six articles du RGPD violés

Le rapporteur, François Pellegrini, en a conclu que Criteo manquait à six des articles du RGPD : 7, 12, 13, 15, 17 et 26. Rien que ça ! Ces articles concernent le consentement de la personne concernée à ce que ses données soient collectées et utilisées, la transparence des informations et les informations à fournir lorsque les informations ont été collectées auprès de la personne concernée et quand ce n’est pas le cas, mais aussi le « droit à l’oubli » et enfin l’obligation de s’assurer que les partenaires respectent aussi le RGPD.

Responsable aussi du bon respect du règlement par les sous-traitants

En effet, le cookie que Criteo utilise pour cibler les publicités ne peut être déposé sur le terminal de l’utilisateur sans son consentement. Or, certains partenaires de l’entreprise déposaient ce cookie sans donner d’information sur celui-ci ni demander l’autorisation.

La CNIL a constaté que Criteo n’avait rien fait pour s’assurer que ça soit le cas. Les contrats signés par l’entreprise avec ses partenaires ne contenaient aucune clause spécifique demandant explicitement la preuve de l’obtention du consentement des internautes. Elle pointe aussi le fait que le fleuron français de la publicité en ligne n’avait fait aucun audit de ses sous-traitants.

«  La société avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires », relève la CNIL.

L’Autorité explique que Criteo a ajouté dans ses versions ultérieures à ses contrôles une «  clause relative à la preuve du consentement selon laquelle le partenaire s’engage à “fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire” ».

Depuis lors, la CNIL considère que Criteo s’est mise en conformité sur ce sujet, tout en soulignant que celle-ci est « intervenue tardivement » et qu’elle a bien traité des données à caractère personnel « sans être en mesure de démontrer [que les internautes concernés] ont valablement consenti au traitement ayant pour finalité l’affichage d’une publicité personnalisée ».

Cette remarque de la CNIL met en lumière que les entreprises qui traitent des données à caractère personnel doivent pouvoir apporter la preuve, a posteriori, du consentement des internautes, et ce même si le cookie a été déposé par un sous-traitant.

Manques d’information et termes « vagues et larges »

La CNIL a aussi inspecté la politique de confidentialité de Criteo. Elle juge que celle-ci créait « une incertitude quant à la base juridique du traitement en ce qu’elle ne [permettait] pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données [reposait] sur leur consentement ». Certaines finalités étaient aussi « exprimées dans des termes vagues et larges qui ne [permettaient] pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs ».

L’Autorité pointe aussi que cette politique de confidentialité affirmait des choses contradictoires, faisant reposer les finalités relatives aux publicités et au financement des activités des éditeurs tantôt sur la base juridique de l’intérêt légitime, tantôt sur celle du consentement. Elle ajoute « qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée  ».

Elle observe néanmoins que, depuis son investigation, Criteo a modifié sa politique de confidentialité pour inclure les mentions manquantes et utiliser des termes plus simples et compréhensibles.

La CNIL a aussi pu constater que Criteo ne fournissait aux internautes que les données extraites de trois des six tables de sa base de données. Le rapporteur a considéré qu’il aurait fallu que la totalité des tables soient transmises.

Critéo a fait remarquer à la CNIL, suite à la finalisation du rapport, que l’une d’entre elles « s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès », ce qui a convaincu l’autorité que cette table n’était pas communicable. Pour le reste, Criteo s’est engagée à fournir l’ensemble des données dont elle dispose en réponse aux demandes d’internautes.

Pas de suppression du traçage lors du retrait du consentement

Si Criteo arrêtait l’affichage de publicité lorsqu’une personne demandait à exercer son droit de retrait du consentement ou l’effacement de ses données, l’entreprise ne supprimait pas son identifiant et n’effaçait pas les évènements de navigation liés. Un autre point que la CNIL ne pouvait pas laisser passer.

Depuis, Criteo a mis en place une procédure de demande plus claire. Elle peut néanmoins continuer à traiter certaines données pour d’autres finalités, mais seulement en le justifiant au cas par cas.

Mais la CNIL fait remarquer que « la société a également tiré un avantage financier du fait de ne pas procéder à l’effacement des données en continuant à utiliser les données qui ne sont pas effacées à des fins d’amélioration de ses technologies, ce qui participe à sa compétitivité sur le marché de la publicité ciblée ».

Une amende conséquente bien que pas maximale

Comme dit plus haut, le rapporteur avait proposé une amende de 60 millions d’euros. Celle-ci peut, en effet, atteindre un montant maximum de 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise visée.

La CNIL indiquant que le chiffre d’affaires mondial de Criteo en 2022 était de 1,9 milliard, ce montant était tout à fait dans les clous. L’autorité a cependant choisi un montant un peu moins élevé de 40 millions d’euros, remarquant que celui-ci constitue « près de 2 % du chiffre d’affaires mondial ».

Privacy International fait remarquer que « Criteo avait mis en avant son bénéfice net de 10 millions d’euros en 2022 pour plaider en faveur d’une réduction de sa peine » pendant l’audience qui s’est tenue en mars dernier. La décision de la CNIL rappelle quand même que « le montant de l’amende peut être supérieur au bénéfice généré par le responsable de traitement, dans la mesure où cela serait nécessaire afin d’assurer le caractère dissuasif de la sanction ».

Les deux associations plaignantes se félicitent de cette décision. « Nous sommes très heureux de la décision de la CNIL. C’est un signal fort envoyé à l’industrie de l’ad-tech, qui devra faire face à des conséquences désastreuses si elle enfreint la loi », exulte Romain Robert, avocat spécialiste de la protection des données chez noyb dans un communiqué.

Privacy International

, dans son communiqué, que cette sanction « met en cause le système de surveillance généralisée dont les sociétés de l’AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles ».

Criteo n’a, pour l’instant, pas communiqué sur cette sanction.

La CNIL rappelle, comme toujours, que Criteo peut faire un recours devant le Conseil d’État dans un délai de deux mois.

Source : nextinpact.com

@Indigostar Un silence qui risque de perdurer.

Durant la période du covid l’URSSAF avait déjà fait fort. En effet l’URSSAF était censé proposer aux entreprises qui le souhaitaient la possibilité de différer les paiements de leurs charges. Sauf que l’URSSAF sans rien demander à personne sans l’accord des entreprises a suspendu des prélèvements pour pas mal de petites entreprises certains s’en sont rendu compte assez tardivement et se sont retrouvés avec par la suite une année de cotisations à rattraper en plus de celle de l’année en cours.

Le nouveau gouvernement allemand souhaite modifier le règlement allemand sur la conservation des données afin qu’il soit conforme aux droits constitutionnels européens et allemands en matière de protection de la vie privée. Selon le ministre allemand de la Justice, la rétention de données ou « le stockage de données de télécommunications sans raison » pourrait bientôt prendre fin. La plus haute juridiction européenne a décidé qu’un tel changement est nécessaire au plus vite.

La Cour de justice des Communautés européennes (CJCE) a rendu un arrêt étonnant sur la conservation des données : « vos données de communication téléphonique et en ligne ne doivent pas être stockées sans motif, ce qui rend la rétention de données illégale en Allemagne - et par conséquent dans toute l’Europe. » Cet arrêt fait suite à une action en justice intentée par les fournisseurs de télécommunications allemands Deutsche Telekom et SpaceNet. Cette décision confirme - une fois de plus - la voie du nouveau gouvernement allemand composé du SPD, de Grüne et du FDP, qui, dans leur accord de coalition, ont déjà décidé d’abolir la rétention des données.

La Cour de justice de l’Union européenne (CJUE) a déclaré le 21 septembre que la loi allemande sur la conservation des données est contraire au droit communautaire, portant ainsi un coup dur aux États membres qui misent sur la collecte généralisée de données pour lutter contre la criminalité et préserver la sécurité nationale. La CJUE note que la loi ne peut être appliquée que dans des circonstances où il existe une menace grave pour la sécurité nationale, définie en termes très stricts. Par le passé, la CJUE avait également soutenu que les lois sur la conservation des données en Suède, en France et en Belgique étaient incompatibles avec le droit européen.

Toutefois, la version la plus récente de la loi a été suspendue par les tribunaux allemands, car elle viole le droit européen. En conséquence, l’Agence fédérale des réseaux s’abstient d’émettre des ordonnances et d’engager des procédures d’amende pour non-respect de l’obligation de conservation. La CJUE a déclaré que la loi allemande sur la conservation générale des données est contraire au droit communautaire. Selon la CJUE, la législation ne s’applique que lorsqu’il existe une menace grave pour la sécurité nationale, énoncée en termes précis. La décision de la CJUE était attendue depuis plusieurs mois dans toute l’Union.

« Je rejette la rétention des données sans aucune raison et je voudrais la supprimer de la loi une fois pour toutes. Elle viole les droits fondamentaux. Si chacun doit s’attendre à ce que beaucoup de choses sur ses communications soient stockées sans raison, alors plus personne ne se sentira libre », a déclaré le ministre fédéral de la Justice dans une interview accordée au Funke Mediengruppe.

Fondamentalement, la conservation des données consiste à collecter des données qui permettent de savoir qui a contacté qui, à partir de quel endroit et sous quelle forme. En Allemagne, l’histoire récente de la conservation des données peut être décrite par un parcours en zigzag : les politiciens ont adopté à plusieurs reprises des lois sur la conservation des données, et la Haute Cour allemande a déclaré à plusieurs reprises que ces lois n’étaient pas valables, au motif que des mesures de surveillance aussi étendues porteraient atteinte au droit constitutionnel à la vie privée de tous les citoyens.

En France, des sociétés privées ont l’obligation légale de conserver pendant un an

Des sociétés privées comme SFR, Orange, Bouygues ou encore Free ont l’obligation légale de conserver pendant un an en France les données de connexion Internet ou téléphoniques de leurs clients. Selon le code des postes et des communications électroniques, cette obligation qui concerne les données relatives à l’identité, la date, l’heure ou la localisation des communications, ne touche pas au contenu. Avec l’arrêt de la Cour de justice de l’Union européenne (CJUE), cette contrainte pourrait être allégée ou tout simplement supprimée dans certains cas.

La discussion au niveau européen est très similaire à ce qui se passe actuellement en Allemagne. Par exemple, Moritz Körner, membre du Parlement européen pour le Parti démocratique libre (FDP), pense qu’il est temps de mettre un terme aux obligations de conservation des données actuellement requises : « Ces dernières années, la Commission européenne et les États membres ont échoué à plusieurs reprises devant la Cour européenne de justice et n’ont pas réussi à adopter une forme juridiquement sûre de conservation des données. C’est pourquoi il faut repenser la politique de sécurité, en s’éloignant de la conservation des données sans raison spécifique. »

En effet, Free aurait demandé au Conseil d’État d’annuler purement et simplement l’article R10-13 du code des postes et des télécommunications. L’article R10-13, qui figure dans la section consacrée à la protection de la vie privée des utilisateurs de réseaux et services de communications électroniques, contraint les opérateurs de communications électroniques à conserver « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », toute une série de données d’un client. En d’autres termes, elle s’oppose à la coopération telle qu’elle s’effectue aujourd’hui entre services enquêteurs et opérateurs de téléphonie (fixe ou mobile), fournisseurs d’accès à Internet ou hébergeurs (de type Facebook ou réseaux sociaux).

Fondamentalement, la conservation des données consiste à collecter des données qui permettent de savoir qui a contacté qui, à partir de quel endroit et sous quelle forme.

Autres informations concernées :

les informations d’identité personnelle ; les données relatives aux équipements de communication utilisés ; les données permettant d’identifier le destinataire de la communication ; les données relatives aux services complémentaires demandés et leurs fournisseurs ; les caractéristiques techniques, ainsi que la date, l’horaire et la durée de chaque communication.
Marco Buschmann, le nouveau ministre fédéral de la Justice, veut abolir un instrument de surveillance qui suscite la controverse en Allemagne depuis des années.
Actuellement, des dispositions prévoyant la conservation des données pendant plusieurs semaines figurent dans la loi allemande sur les télécommunications récemment modifiée, mais elles sont actuellement suspendues en raison de décisions de tribunaux administratifs. La Cour de justice des Communautés européennes (CJCE) a déclaré à plusieurs reprises que l’enregistrement des données téléphoniques et Internet sans distinction est incompatible avec les droits fondamentaux à la vie privée garantis dans l’UE. Conservation des données uniquement après décision judiciaire

Buschmann préconise donc la procédure de gel rapide, dans laquelle les fournisseurs devraient geler virtuellement les données de connexion et de localisation à l’instigation des forces de l’ordre. Afin de renforcer les droits civils, Buschmann propose que les données ne soient stockées que « s’il existe un soupçon que des crimes graves ont été commis ». Les fournisseurs de télécommunications devraient rapidement les sécuriser « s’il existe une raison concrète de le faire sur la base d’une décision de justice », « afin que la police et le ministère public puissent ensuite les évaluer » - mais pas à l’avance et en général, donc pas sans enquête pénale.
La nouvelle proposition ne concernerait donc que certaines personnes et ne devrait « être possible qu’en cas de suspicion de l’existence de crimes graves ».

Buschmann a fait valoir que sa proposition était plus conforme à l’État de droit et qu’elle serait donc « un gain pour la liberté et la sécurité en même temps ».
Il a également déclaré que l’un de ses principaux objectifs est de renforcer les droits civils. Pour y parvenir, il veut lancer une évaluation indépendante des lois allemandes sur la surveillance. Avec sa nouvelle collègue au ministère fédéral de l’Intérieur, Nancy Faeser (SPD), il a été convenu que les nombreuses lois de sécurité existantes seraient évaluées de manière indépendante et scientifique pendant cette période électorale.

En Allemagne, la loi sur la conservation des données adoptée en octobre 2015 oblige - en théorie - les fournisseurs de services de télécommunications tels que Telekom ou Telefónica à stocker régulièrement et pour chaque personne pendant plusieurs semaines les données de localisation, les adresses IP et les listes d’appels (y compris les numéros de téléphone, la durée et l’heure de l’appel), et à les remettre aux autorités publiques telles que la police et les procureurs, l’Office de protection de la Constitution, le Service fédéral de renseignement, etc. sur demande justifiée.

En Allemagne, la loi sur la conservation des données adoptée en octobre 2015 oblige - en théorie - les fournisseurs de services de télécommunications tels que Telekom ou Telefónica à stocker régulièrement et pour chaque personne pendant plusieurs semaines les données de localisation, les adresses IP et les listes d’appels (y compris les numéros de téléphone, la durée et l’heure des appels), et à les remettre aux autorités publiques telles que la police et les procureurs, l’Office de protection de la Constitution, le Service fédéral de renseignement, etc. sur demande justifiée.

Toutefois, la loi la plus récente a été suspendue par les tribunaux allemands, car elle viole le droit européen. En conséquence, l’Agence fédérale des réseaux s’abstient d’émettre des ordonnances et d’engager des procédures d’amende pour non-respect de l’obligation de conservation. Une décision de la Cour de justice des Communautés européennes (CJCE) concernant la loi allemande sur la conservation des données est toujours en attente.

Actuellement, par exemple, la Deutsche Telekom ne conserve les adresses IP, c’est-à-dire les adresses des utilisateurs sur Internet, que pendant une semaine à des fins de facturation. La loi allemande sur la conservation des données autoriserait la conservation de ces données pendant dix semaines. Mais cette réglementation est en suspens depuis quatre ans, l’Agence fédérale des réseaux l’ayant suspendue à la suite de la décision de justice susmentionnée.

Une bataille juridique avait été prévue

Cette bataille juridique autour de la loi allemande sur la conservation des données avait été prédite par les experts en protection des données avant même que la loi ne soit adoptée par les politiciens en 2015. Pour éviter cela, les politiciens avaient exclu de cette loi le courrier électronique en tant que forme de communication très privée. Cela signifie que les fournisseurs d’emails tels que n’avaient jamais été contraints de se conformer à la loi allemande sur la rétention des données.

Cependant, le plan des politiciens selon lequel, en excluant la conservation des données sur les courriels, la loi ne serait pas remise en question par les tribunaux n’a pas fonctionné comme prévu. Il n’était pas compréhensible - ni pour les citoyens ni pour les tribunaux - que la communication par téléphone ou par SMS soit considérée comme moins privée.

La situation européenne

La discussion au niveau européen est très similaire à ce qui se passe actuellement en Allemagne. Par exemple, Moritz Körner, membre du Parlement européen pour le Parti démocratique libre (FDP), pense qu’il est temps de mettre un terme aux obligations de conservation des données actuellement requises :

« Ces dernières années, la Commission européenne et les États membres ont échoué à plusieurs reprises devant la Cour européenne de justice et n’ont pas réussi à adopter une forme juridiquement sûre de conservation des données. C’est pourquoi il faut repenser la politique de sécurité, en s’éloignant de la conservation des données sans raison spécifique. »

Perspectives d’avenir

Aujourd’hui, un nouveau gouvernement (SPD, Grüne, FDP) est au pouvoir en Allemagne, et il semble que le nouveau gouvernement veuille remettre les choses en ordre et mettre fin à cette controverse juridique une fois pour toutes. Le projet du gouvernement actuel de revoir la loi allemande sur la conservation des données et de l’actualiser de manière à respecter les droits civils et le droit à la vie privée des citoyens est une perspective très prometteuse pour l’Allemagne.

Et vous ?

 Quel est votre avis sur le sujet ?

Sources: Ministre allemand de la Justice, droit.developpez.com

@Raccoon merci je suis rassuré

Hélas, voeu pieu!!! La CNIL ne fournit que des avis consultatifs et la loi reste superieure a ses avis…

Ce qui me gene surtout, c’est l’utilisation de plateformes de stockage gerees et implantées hors de france, louées par les gestionnaires de données de santé. Meme la CPAM avec leur DMP ne stocke rien en France… La France n’est meme pas capable de fabriquer et de gerer un datacenter dédié a la santé sur son propre sol, pour avoir la souveraineté sur les données médicales de la population.

je vois pas l’intérêt de réparer si on ne peut pas y jeter un coup d’œil :ange:

Avec tout ce qu’on apprend sur Facebook, les gens continuent de l’utiliser et ils sont toujours pas jugés

@violence J’ai vu quelques miettes qui restent (à gauche devant le canapé)!

@ashura a dit dans Facebook et des hôpitaux américains poursuivis pour avoir utilisé des données de santé :

Encore facebook, quand est ce que les gens vont comprendre

Jamais…
C’est des gnous, y suivent, point…

L’analyse par des chercheurs en technologie du code source de l’application de médias sociaux populaire TikTok a révélé des choses alarmantes sur l’accessibilité de vos données personnelles. L’application vidéo virale vérifie l’emplacement de l’appareil au moins une fois par heure, demande en permanence l’accès aux contacts, cartographie les applications en cours d’exécution d’un appareil et toutes les applications installées, et plus encore.

Suite à un aveu que le personnel en Chine peut accéder aux données de millions d’utilisateurs australiens « L’application mobile TikTok a été construite avec une culture qui ne place pas la confidentialité comme principe car la plupart des autorisations et des informations sur les appareils collectées sont au-dessus des autorisations nécessaires pour que l’application puisse fonctionner correctement », indique le rapport.

Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu’en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l’ancien président Donald Trump à menacer d’interdire l’application aux États-Unis.

Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d’un dirigeant de TikTok lors d’une audience au Sénat d’octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n’avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.

« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d’une réunion en septembre 2021. Lors d’une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».

Les enregistrements vont de réunions en petits groupes avec des chefs d’entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d’écran et d’autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d’employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l’application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.

En réponse à une liste exhaustive d’exemples et de questions sur l’accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C’est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».

«TikTok n’est pas qu’une simple application de partage de vidéos. C’est le loup déguisé en agneau. Elle recueille des masses de données sensibles qui, selon de nouveaux rapports, sont consultées à Pékin. Il est clair que TikTok pose un risque inacceptable pour la sécurité nationale en raison de sa collecte extensive de données combinée à l’accès apparemment incontrôlé de Pékin à ces données sensibles », a déclaré Brendan Carr – un responsable de la Commission fédérale des communications (FCC).

Et un nouveau rapport pourrait lui donner du crédit.

L’application qui entreprend une « récolte excessive de données »

Des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l’application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l’application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu’elle entreprend une « récolte excessive de données ».

Le rapport de 15 pages note certains cas où l’application vérifie l’emplacement de l’appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l’utilisateur.

Les chercheurs ont également découvert que l’application est capable d’évaluer toutes les autres applications en cours d’exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l’appareil.

Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l’application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.

« Au cours de l’analyse, nous n’avons pas pu déterminer avec une grande confiance le but de la connexion ou l’endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».

S’adressant au quotidien australien ABC, Robert Potter d’Internet 2.0 a déclaré qu’il n’y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n’avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées… tout ce que nous pouvons dire, c’est que TikTok s’autorise à extraire les données ».

Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l’application avec une connexion serveur à la Chine continentale « qui est gérée par l’une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».

Les chercheurs n’ont pas pu trouver une connexion similaire dans la version Android de l’application.

Robert Potter dit qu’il n’est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l’avons vu se connecter à des serveurs du monde entier, y compris en Chine ».

Il a également noté que d’autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n’avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu’alimenter les inquiétudes concernant l’application.

TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l’adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu’il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l’environnement de test approprié pour confirmer leurs affirmations sans fondement ».

Le Project Texas

En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l’époque, Donald Trump, a menacé d’interdire complètement l’application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d’informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d’accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu’il n’avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu’il ne le ferait pas si on le lui demandait.

La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données « protégées » ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.

Le projet Texas est la clé d’un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l’accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d’où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu’ils publient, ne seront pas incluses.

Sources : AFR, ABC, securite.developpez.com