Dernières actualités : données personnelles

La Quadrature du Net

La Quadrature du Net part à l’ « assaut contre la vidéosurveillance algorithmique dans nos villes »

La question de pérenniser ou non l’expérimentation de la vidéosurveillance algorithmique (VSA) fait actuellement beaucoup de bruit dans le débat public. Si l’on entend principalement les ministres et préfets au niveau national, c’est aussi – et surtout – à l’échelle locale que ces enjeux se cristallisent. Profitant de l’engouement des Jeux Olympiques et du cadre législatif créé à l’occasion de cet évènement, de nombreuses communes tentent de légitimer et normaliser leurs usages de cette technologie, qui restent pourtant totalement illégaux. Ces manœuvres, qui doivent être révélées et dénoncées, constituent aussi pour les habitant⋅es un levier d’action majeur pour faire entendre leurs voix et exiger l’interdiction de la VSA dans nos villes.

Lorsque nous avons lancé notre campagne contre la VSA au printemps dernier, nous l’affirmions haut et fort : ce qui se joue avec la loi sur les Jeux Olympiques est une grande hypocrisie. La vidéosurveillance algorithmique s’est déployée depuis quasiment une dizaine d’années en toute illégalité dans les villes et les collectivités locales, qui ont acheté des logiciels de VSA à des entreprises de surveillance en quête de profit. Marseille, Reims, Vannes ou encore Moirans… nous avons documenté au fil des mois comment les villes se dotaient de ces outils de surveillance en toute illégalité. La loi JO vient donc légitimer une pratique existante en masquant l’étendue de cette réalité. En effet, le périmètre prévu par la loi ne prévoit la détection que de huit types d’analyses d’images. Or, les entreprises de VSA n’ont jamais caché qu’elles savaient déjà faire bien plus : reconnaissance d’émotions, reconnaissance faciale ou encore suivi et identification des personnes au travers d’attributs physiques… Le rôle de la loi JO apparaît alors comme évident : il s’agissait surtout de créer une première étape pour sortir cette technologie de l’illégalité et amorcer un projet plus large de surveillance de l’espace public.

Disponible sur: laquadrature.net

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

California Privacy Protection Agency (CPPA)

L’assemblée législative de Californie adopte un projet de loi visant à faciliter l’exercice des droits en matière de protection de la vie privée

Dans un communiqué publié la semaine dernière, l’Agence californienne de protection de la vie privée (CPPA) félicite la législature de l’État de Californie pour avoir adopté l’AB 3048, dont l’auteur est le membre de l’Assemblée Josh Lowenthal. Ce projet de loi, parrainé par la CPPA, exige que les navigateurs prennent en charge les signaux de préférence de retrait (OOPS), ce qui permet aux utilisateurs de refuser la vente ou le partage de leurs informations personnelles en une seule étape. [Il s’agit, en substance, des options « Do not track », ou encore « Do not sell »].
Le projet de loi est maintenant soumis à l’examen du gouverneur. La Californie fait actuellement partie de la douzaine d’États qui exigent des entreprises qu’elles respectent les demandes de protection de la vie privée formulées par les consommateurs au moyen de signaux de préférence d’exclusion dans leur navigateur et leurs appareils. Si la loi est signée, la Californie sera le premier État à exiger que les navigateurs et les systèmes d’exploitation mobiles offrent aux consommateurs la possibilité d’exercer ces droits.

La CPPA ajoute que les entreprises qui reçoivent ces signaux doivent les considérer comme des refus valables de vente et de partage, conformément à la législation en vigueur. Des milliers d’entreprises collectent les informations personnelles des consommateurs lorsqu’ils naviguent en ligne, ce qui complique la tâche des consommateurs qui doivent exercer leur droit de retrait sur le site web de chaque entreprise. L’utilisation d’un OOPS envoie automatiquement le signal au nom du consommateur, ce qui simplifie grandement la tâche des Californiens.

Sur Linkedin (attention, lien tracké), Guillaume Champeau ajoute que  » Le California Consumer Privacy Act impose d’ores et déjà déjà que lorsqu’un tel signal est envoyé par le navigateur, les sites et régies publicitaires ont l’obligation de le prendre en compte en tant que mode d’exercice du droit d’opposition, à moins de proposer sur leur page d’accueil un lien « clair et visible » d’opt-out (cf la section 1798.135 (b)(1)).
En pratique il s’agit donc de généraliser la spécification technique Global Privacy Control (GPC), qui n’est actuellement supportée que par les navigateurs Firefox, Brave et celui de DuckDuckGo. La loi adoptée AB 3048 obligerait Google (Chrome), Microsoft (Edge) et Apple (Safari) à l’implémenter à leur tour, avec un effet sur l’industrie qui serait alors mondial, à condition que des lois nationales ou des directives régionales (qui a dit ePrivacy ?) imposent également la prise en compte de tels signaux. »

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour d’appel de Francfort

Selon la Cour d’appel de Francfort (Allemagne), Microsoft est responsable du stockage de cookies sans consentement via des sites web tiers

Dans une décision publiée le 23 juillet 2024, la Cour d’appel de Francfort estime que si les utilisateurs finaux ne consentent pas à l’enregistrement de cookies sur leurs terminaux vis-à-vis des exploitants de sites web qui utilisent des cookies, la filiale de Microsoft, mise en cause en l’espèce, est responsable de l’infraction commise avec son logiciel d’entreprise. Elle n’est pas déchargée par le fait que, selon ses conditions générales de vente, les exploitants de sites web sont responsables de l’obtention du consentement. Dans une décision publiée aujourd’hui, le tribunal régional supérieur de Francfort-sur-le-Main (OLG) a obligé Microsoft à s’abstenir d’utiliser des cookies sur les équipements terminaux de la requérante sans son consentement. La Cour d’appel de Francfort ajoute que « la filiale reste tenue de démontrer et de prouver que les utilisateurs finaux ont donné leur consentement avant le stockage des cookies sur leurs terminaux. C’est à elle qu’il appartient d’apporter cette preuve. Elle devrait toutefois s’assurer de l’existence de ce consentement. La loi part à juste titre du principe que cette preuve est techniquement – et juridiquement – possible pour la défenderesse. »

Dans cette affaire, la requérante a visité des sites web de tiers à Microsoft et fait valoir de manière circonstanciée que des cookies ont été placés sur son appareil sans son consentement et demande à la défenderesse de cesser d’utiliser des cookies sur ses terminaux sans son consentement. La défenderesse fait partie de Microsoft Corporation et propose le service « Microsoft Advertising », qui permet aux exploitants de sites web de placer des annonces dans les résultats de recherche du « Microsoft Search Network » et de mesurer le succès de leurs campagnes publicitaires en collectant des informations sur les visiteurs d’un site web et de diffuser des annonces ciblées pour ces visiteurs. 

Disponible (en allemand) sur: ordentliche-gerichtsbarkeit.hessen.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

NOYB – None of your business

Un tribunal norvégien confirme l’amende de 5,7 millions d’euros infligée à Grindr

Soutenu par noyb, le Conseil des consommateurs a déposé une plainte contre Grindr en 2020 après avoir découvert que l’application collectait et partageait des données personnelles sensibles sur ses utilisateurs avec un certain nombre d’autres organisations commerciales, qui à leur tour se réservaient le droit de les partager avec potentiellement des milliers d’autres entreprises à des fins de ciblage publicitaire. L’autorité norvégienne de protection des données et le conseil de protection des données ont tous deux estimé que l’entreprise avait enfreint la loi sur les données personnelles et ont condamné Grindr à une amende de 65 millions de couronnes norvégiennes (environ 5,7 millions d’euros), pour avoir transmis des données considérées comme sensibles aux annonceurs en l’absence de consentement valable.

Aujourd’hui, le tribunal de district confirme l’amende. Le tribunal de district a confirmé cette amende, ce qui constitue « Une victoire très importante dans la lutte pour garantir la sécurité des consommateurs en ligne », a déclaré le Conseil des consommateurs. Nous sommes très heureux que le tribunal de district déclare si clairement que le partage par Grindr de données personnelles sensibles avec des tiers est illégal ».

Grindr Appeal Published

Disponible sur: noyb.eu
Le communiqué de presse du Conseil des consommateurs est également disponible (en norvégien).

Commission européenne

Déclaration du commissaire Breton sur les mesures annoncées par LinkedIn pour se conformer aux dispositions du DSA sur la publicité ciblée

La Commission prend note de l’annonce faite par LinkedIn de la désactivation totale de la fonctionnalité permettant aux annonceurs de cibler les utilisateurs de LinkedIn avec des publicités sur la base de leur appartenance à des groupes LinkedIn dans le marché unique de l’UE.

Cette décision fait suite à la demande d’information de la Commission visant à vérifier la conformité de cette fonctionnalité avec la loi sur les services numériques, à la suite d’une plainte déposée par des organisations de la société civile. Selon la plainte, grâce à cette fonctionnalité, LinkedIn pourrait avoir donné aux annonceurs la possibilité de cibler les utilisateurs de LinkedIn sur la base de catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement général sur la protection des données, telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, telles qu’elles ressortent de la participation des utilisateurs à des groupes LinkedIn. Si elle était confirmée, cette possibilité aurait pu constituer une violation de l’interdiction de présenter des publicités ciblées fondées sur des catégories particulières de données à caractère personnel prévue par le règlement général sur la protection des données.

Thierry Breton, commissaire européen chargé du marché intérieur, a déclaré :
« À la suite d’une plainte de la société civile, nous avons demandé en mars à LinkedIn d’expliquer comment il respecte l’interdiction de présenter des publicités ciblées fondées sur des données personnelles sensibles, telles que l’orientation sexuelle, les opinions politiques ou la race, imposée par la DSA. En conséquence, LinkedIn interrompt volontairement la fonctionnalité en question. La Commission surveillera la mise en œuvre effective de l’engagement public de LinkedIn afin de garantir le respect total de l’ASD. Nous resterons vigilants, mais il est positif de voir que l’ASD apporte des changements qu’aucune autre loi n’a atteints jusqu’à présent, en Europe et au-delà. »

Disponible (en anglais) sur: ec.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour européenne des droits de l’Homme

Secret professionnel des avocats : l’extraction massive et l’exploitation des données personnelles (même celles effacées) du téléphone portable d’une avocate est disproportionnée.

Le 6 juin 2024, la Cour Européenne des Droits de l’Homme (CEDH) a rendu sa décision dans l’affaire « BERSHEDA ET RYBOLOVLEV c. MONACO », affaire à propos d’une avocate inculpée pour avoir enregistré une conversation privée réalisé dans le but de rassembler des éléments de preuve et qu’elle a envoyé à la Sureté Publique pour qu’il soit ajouté au dossier. La personne visée a alors déposé plainte, dénonçant le fait que la conversation avait été enregistrée à son insu, afin d’être utilisée contre elle dans le cadre de l’information principale. L’avocate a ainsi été auditionnée et a remis son téléphone portable quelques temps plus tard. Néanmoins, sa fouille n’a pas été limitée à l’enregistrement concerné et a concerné l’appareil dans son intégralité : tous les messages, emails, appels ont été extraits. 

Dans cette affaire, la Cour, qui a été saisie par l’avocate, a estimé que  « la nécessaire protection du secret professionnel, et la portée du consentement donné par la requérante à une expertise limitée à un enregistrement d’une dizaine de minutes, auraient dû, à tout le moins, conduire le juge d’instruction à prendre des mesures garantissant une protection des données de la requérante au nom et en vertu de sa qualité d’avocate. Il aurait ainsi assuré une conduite de la procédure pénale et de l’expertise respectueuse d’une mise en balance de la protection du secret professionnel et des nécessités de l’enquête. Tel n’a cependant pas été le cas en l’espèce« .

Elle ajoute que « les juridictions internes ont ignoré le risque d’atteinte au secret professionnel de la requérante, tout en écartant expressément et sans justification les dispositions légales relatives aux perquisitions et aux interceptions de correspondance, ainsi que les garanties y afférentes, en particulier les articles 99-1 et 106-8 du CPP relatif à l’information du Bâtonnier (paragraphe 45 ci-dessus). Le juge d’instruction, conforté dans son analyse par les juridictions ayant statué sur les recours de la requérante, a considéré inapplicables les régimes de protection relatifs aux saisies, perquisitions, et interceptions téléphoniques, en raison de la remise sans contrainte du téléphone et du fait que les données récupérées et exploitées étaient « stockées » sur cet appareil et n’avaient pas été captées au moment même où les conversations s’étaient tenues. Une approche mettant en balance la protection des données téléphoniques de l’avocate et les nécessités de l’enquête aurait dû conduire à un redressement du cadre et des contours des investigations. »

Conclusion: « la Cour estime dès lors que les saisines de la chambre du conseil de la cour d’appel et de la Cour de révision par la requérante étaient certes, sur le principe, constitutives de recours adéquats et effectifs, mais n’ont pas permis, dans la pratique, dans les circonstances de l’espèce, un redressement approprié des mesures ordonnées, hors du cadre de sa saisine, par le juge d’instruction. La requérante n’a ainsi bénéficié d’aucune des garanties qu’appelait le respect du secret professionnel attaché à sa qualité d’avocate dans la procédure par laquelle l’expertise de son téléphone portable a été ordonnée et mise en œuvre (voir, mutatis mutandisBykov, précité, § 78). Dès lors, la la Cour estime que l’ingérence dans l’exercice par la requérante de son droit au respect de sa correspondance et de sa vie privée n’était pas proportionnée aux buts légitimes poursuivis et que, dès lors, elle n’était pas « nécessaire dans une société démocratique« .

Disponible (en anglais) sur: hudoc.echr.coe.int
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la condamnation de VOODOO à payer 3 millions d’euros d’amende

Par une décision du 14 mai 2024, le Conseil d’Etat a confirmé la sanction prononcée par la CNIL le 29 décembre 2022 contre la société VOODOO, qui a été condamnée à payer 3 millions d’euros d’amende pour avoir réalisé du tracking publicitaire dans ses applications de jeux mobile sans consentement de l’utilisateur.

Le Conseil d’Etat estime en effet qu’ « Il résulte de l’instruction et particulièrement du contrôle effectué par la CNIL, le 18 juillet 2022, à partir d’un téléphone mobile de marque Apple, que, lorsque l’utilisateur, après avoir ouvert l’une des onze applications éditées par la société requérante et présentées par celle-ci comme les plus téléchargées, refusait d’autoriser le suivi de ses activités à des fins publicitaires, au titre du dispositif de recueil de consentement mis en place sur ses appareils par la société Apple, appelé  » sollicitation ATT  » ( » App Tracking Transparency « ), il lui était délivré une information, sans dispositif de recueil de son consentement, selon laquelle des données techniques pourraient être collectées, par lecture de l’IDFV, identifiant unique attribué à chaque téléphone mobile par le système d’exploitation de la société Apple, pour lui proposer des  » publicités non personnalisées en fonction de ses habitudes de navigation « . Il n’est pas contesté par la société requérante que les utilisateurs ne disposaient d’aucun moyen pour s’opposer au recueil de ces informations, alors qu’il avait une finalité publicitaire, de sorte qu’il ne pouvait relever des exceptions prévues par l’article 82 de la loi du 6 janvier 1978, autorisant la lecture de données par les cookies ou autres traceurs sans le consentement de l’utilisateur lorsque cette opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par suite, c’est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l’article 82 de la loi du 6 janvier 1978 était caractérisé, faute de recueil du consentement des utilisateurs à la collecte de leurs données. Il suit de là que doit être écarté le moyen tiré de ce que ce manquement ne serait pas établi. »

Autre point intéressant dans cette affaire: selon le Conseil d’Etat, « il ne résulte d’aucune disposition [selon laquelle la CNIL] devrait procéder à une explicitation du montant des sanctions qu’elle prononce. Par suite, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits et des peines. » En l’espèce, le montant de l’amende était contesté au motif le calcul n’était pas explicité.

Disponible sur: legifrance.gouv.fr

Center for Democracy & Technology

🚨 Fausse alerte :  La Chambre a adopté une prolongation de deux ans de la Section 702 de la FISA à l’occasion un vote extrêmement serré (une égalité 212-212 ), et a rejeté des réformes essentielles pour mettre fin à l’abus rampant de la loi qui a été bien documenté.

Selon l’association, la surveillance sans mandat prévue par la FISA 702 est censée ne viser que des sujets étrangers, mais dans la pratique, elle englobe un très grand nombre de communications d’Américains. Cela permet aux agences de renseignement d’exploiter une faille dans les recherches : le FBI, la CIA et la NSA effectuent des « recherches sur des personnes américaines » dans les dossiers FISA 702 afin d’extraire délibérément des messages privés d’Américains, le tout sans mandat ni approbation d’un tribunal. Cette faille a conduit à des abus systémiques, impliquant des milliers de requêtes inappropriées chaque année, y compris celles visant des manifestants, des donateurs de campagne, des journalistes, des législateurs et, dans un cas, les rencontres en ligne d’un analyste.

Disponible (en anglais) sur: cdt.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut