Dernières actualités : données personnelles

L’Usine digitale

Le piratage de Microsoft par la Chine était “évitable”, assure un comité gouvernemental américain

Huit mois après la découverte par Microsoft d’une campagne d’espionnage visant sa solution de messagerie Exchange Online, le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, chargé d’enquêter sur l’intrusion, a publié ses conclusions de ce rapport mandaté par le président américain Joe Biden. Dans un communiqué cinglant mis en ligne le 2 avril, le CSRB dénonce les pratiques de cybersécurité de mauvaise qualité appliquées par Microsoft. Sont notamment pointées du doigt “une série de décisions opérationnelles et stratégiques”, mettant en évidence “une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise et une gestion des risques, en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations”. Le comité ajoute que l’intrusion du groupe de hackers était “évitable”.

Disponible sur: usine-digitale.fr

Politico

Les problèmes de TikTok aux Etats-Unis s’aggravent : la FTC pourrait également les poursuivre en justice

Selon Politico, la FTC examine les allégations selon lesquelles TikTok et sa société mère ByteDance, basée à Pékin, ont trompé leurs utilisateurs en niant que des personnes en Chine avaient accès à leurs données, et ont également violé une loi sur la protection de la vie privée des enfants, selon ces personnes, à qui l’anonymat a été accordé pour discuter d’une affaire confidentielle. L’agence, en partenariat avec le ministère de la justice, pourrait soit intenter une action en justice, soit conclure un accord avec l’entreprise, bien qu’aucun accord n’ait encore été conclu, ont déclaré ces personnes.

TikTok, que les Etats-Unis semblent actuellement vouloir bannir afin de préserver la sécurité nationale, ferait l’objet d’un examen minutieux de la part de la FTC pour ses pratiques en matière de confidentialité et de sécurité des données depuis au moins les deux dernières années. En 2019, une version précédente de l’application a réglé une affaire avec la FTC alléguant des violations de la loi sur la protection de la vie privée des enfants.

Disponible (en anglais) sur: politico.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Forbes

Les autorités fédérales ont ordonné à Google de démasquer certains utilisateurs de YouTube.

Dans une affaire du Kentucky qui vient d’être descellée et examinée par Forbes, des policiers en civil cherchent à identifier la personne qui se cache derrière le pseudonyme en ligne « elonmuskwhm », qu’ils soupçonnent de vendre des bitcoins contre de l’argent liquide, ce qui pourrait enfreindre les lois sur le blanchiment d’argent et les règles relatives à la transmission d’argent sans licence.
Lors de conversations avec l’utilisateur au début du mois de janvier, les agents infiltrés lui ont envoyé des liens vers des tutoriels YouTube sur la cartographie par drones et des logiciels de réalité augmentée, puis ont demandé à Google des informations sur les personnes qui avaient visionné les vidéos, qui ont été regardées collectivement plus de 30 000 fois. Les ordonnances du tribunal montrent que le gouvernement a demandé à Google de fournir les noms, adresses, numéros de téléphone et activités des utilisateurs de tous les comptes Google qui ont accédé aux vidéos de YouTube entre le 1er et le 8 janvier 2023. Le gouvernement souhaitait également obtenir les adresses IP des propriétaires de comptes non Google qui ont visionné les vidéos. Les policiers ont fait valoir qu' »il y a des raisons de croire que ces enregistrements seraient pertinents et importants pour une enquête criminelle en cours, y compris en fournissant des informations d’identification sur les auteurs ».

Des experts en protection de la vie privée issus de plusieurs groupes de défense des droits civils ont déclaré à Forbes qu’ils pensaient que ces ordonnances étaient inconstitutionnelles car elles menaçaient de transformer des spectateurs innocents de YouTube en suspects criminels.

Disponible (en anglais) sur: forbes.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Comité européen sur la protection des données (EDPB)

Comment notifier une violation de données à votre autorité de protection des données ?

Toutes les violations de données susceptibles de présenter un risque pour les personnes doivent être notifiées à l’autorité de protection des données compétente.
Si la violation a lieu dans le cadre d’un traitement transfrontalier, le responsable du traitement devra notifier l’autorité de protection des données chef de file ou, au minimum, l’autorité de protection des données locale où la violation a eu lieu. Lorsqu’un responsable du traitement n’a pas d’établissement principal dans l’EEE, la violation devra être notifiée à toutes les autorités de protection des données pour lesquelles les personnes concernées résident dans leur pays.

Pour faciliter la réalisation de ces notifications, les autorités de protection des données ont mis en place des procédures et des formulaires en ligne qui vous guident tout au long de ce processus, que le Comité européen a rassemblé sur la page accessible ci-dessous.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Global News

La police a besoin de mandats pour obtenir les adresses IP des Canadiens

Dans le cadre d’une enquête menée en 2017 par la police de Calgary sur des achats en ligne frauduleux auprès d’un magasin de spiritueux et au cours de laquelle la police avait demandé au magasin la fourniture des adresses IP sans mandat, la Cour suprême du Canada a statué vendredi que la police doit obtenir un mandat avant de demander l’adresse de protocole Internet d’un Canadien, ce qui constitue une victoire importante pour les défenseurs de la vie privée. La Cour suprême a affirmé que les Canadiens ont des droits à la vie privée protégés par la Charte lorsqu’il s’agit pour les policiers de demander des informations sur leurs activités en ligne.

« La vie privée est essentielle à la dignité, à l’autonomie et à l’épanouissement de l’individu. Sa protection est une condition préalable à l’épanouissement d’une démocratie libre et saine », peut-on lire dans la décision majoritaire.  L’Internet exige que les utilisateurs révèlent des informations sur leurs abonnés à leur fournisseur d’accès pour participer à cette nouvelle place publique, et les Canadiens ne sont pas obligés de devenir des reclus numériques pour maintenir un semblant de vie privée dans leur vie ».

Disponible (en anglais) sur: globalnews.ca
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

eWatchers

Les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ».

Comme annoncé hier sur le Portail RGPD, les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ». D’après eWatchers, le décret donnera le pouvoir à l’Administration états-unienne de s’opposer aux transferts de gros volumes de données personnelles vers certains pays jugés « préoccupants », la Chine (dont Hong Kong et Macao), la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela, lorsque le transfert « présente un risque inacceptable pour la sécurité nationale des États-Unis ». Les États-Unis jugent, en effet, que « les gouvernements de ces pays peuvent chercher à accéder à des données personnelles sensibles et à les utiliser d’une manière qui n’est pas conforme aux valeurs démocratiques, à la protection de la vie privée et aux autres droits et libertés de l’homme ».

Plus d’informations sont disponibles ci-dessous.

Disponible sur: ewatchers.org Le texte complet de l’Executive Order est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour de cassation

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse,  « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne.  » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.

Maison Blanche (via @GChampeau)

Le président Biden publie un décret (« Executive Order ») visant à protéger les données personnelles sensibles des Américains

Aujourd’hui, le président Biden publiera un décret visant à protéger les données personnelles sensibles des Américains contre l’exploitation par des pays dits « préoccupants ». Ce décret, qui constitue la mesure la plus importante jamais prise par un président pour protéger la sécurité des données des Américains, autorise le procureur général à empêcher le transfert à grande échelle de données personnelles d’Américains vers des pays préoccupants et prévoit des garanties pour d’autres activités susceptibles de permettre à ces pays d’accéder à des données sensibles d’Américains.

Selon la Maison Blanche, le décret se concentre sur les informations les plus personnelles et les plus sensibles des Américains, notamment les données génomiques, les données biométriques, les données de santé personnelle, les données de géolocalisation, les données financières et certains types d’informations personnelles identifiables. Les acteurs malveillants peuvent utiliser ces données pour suivre les Américains (y compris les militaires), s’immiscer dans leur vie privée et transmettre ces données à d’autres courtiers en données et à des services de renseignement étrangers. Ces données peuvent permettre une surveillance intrusive, des escroqueries, du chantage et d’autres violations de la vie privée.

Disponible sur: whitehouse.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée..

HAAS Avocats

Conseil d’Etat : La protection des données personnelles à l’épreuve du fichage des intervenants audiovisuels

Conseil d’Etat : La protection des données personnelles à l’épreuve du fichage des intervenants audiovisuels

Par Haas Avocats

Saisi par Reporter Sans Frontières, le Conseil d’Etat a rendu, le 13 février 2024, une décision qualifiée « d’historique » en matière de communication audiovisuelle1.

Disponible sur: haas-avocats.com

Retour en haut