Dernières actualités : données personnelles

Forbes

Les législateurs de la Chambre des représentants rejettent la mesure de renouvellement de la loi FISA

Le 10 avril, les législateurs de la Chambre des représentants ont voté contre une mesure de procédure qui aurait lancé le débat sur la réautorisation de l’article 702 de la loi sur la surveillance du renseignement étranger, quelques heures après que l’ancien président Donald Trump a encouragé les législateurs à « TUER FISA ».

L’article rappelle que le « Congrès a autorisé pour la première fois la section 702 de la FISA en 2008, selon le bureau du directeur du renseignement national, dans le but de surveiller les non-citoyens en dehors des États-Unis. La loi est devenue de plus en plus controversée depuis sa création, les critiques affirmant que sa nature à large portée peut conduire à la collecte de données sur les citoyens américains, selon NBC News. Un rapport de mai 2023 de la Cour de surveillance du renseignement étranger a révélé que le FBI avait abusé de l’outil près de 300 000 fois entre 2020 et début 2021, notamment en collectant des informations sur les émeutiers du 6 janvier et les manifestants de Black Lives Matter. »

[Ajout contextuel Portail RGPD: Il y a quelques mois, la loi FISA a fait l’objet d’un renouvellement jusqu’au 19 avril 2024, qui a été l’occasion de déposer projet de réforme prévoyant de l’étendre considérablement (qui n’a finalement pas été voté).  S’il s’avérait que la loi FISA était effectivement abandonnée, il est possible que la décision d’adéquation dont bénéficie actuellement les Etats-Unis, le « Data Privacy Framework », ne soit pas une fois de plus annulé par la Cour de Justice de l’UE (dans les années qui viennent).  Reste toutefois la question de l’Executive Order 12333 n qui permet aux Etats-Unis d’accéder à toutes les données en transit vers les Etat-Unis, en particulier via les câbles sous-marins permettant de relier les différents continents. ]

Disponible (en anglais) sur: forbes.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Daily dot

Une compagnie aérienne américaine divulgue accidentellement une « No Fly List » sur un serveur non sécurisé

Un serveur non sécurisé découvert la semaine dernière par un chercheur en sécurité contenait les identités de centaines de milliers de personnes figurant dans la base de données du gouvernement américain sur le dépistage du terrorisme et la liste des personnes interdites de vol. Localisé par le pirate informatique suisse, le serveur géré par la compagnie aérienne nationale américaine CommuteAir, a été laissé exposé sur l’internet public. Il a révélé une grande quantité de données sur l’entreprise, y compris des informations privées sur près de 1 000 employés de la compagnie aérienne CommuteAir.

Pire : l’analyse du serveur a permis de découvrir un fichier texte intitulé « NoFly.csv », faisant référence à un groupe de personnes figurant dans la base de données sur le contrôle des activités terroristes et interdites de vol en raison de liens présumés ou avérés avec des organisations terroristes. Cette liste contiendrait plus d’1 million d’entrées au total, et comporterait des noms, des dates de naissances, mais également des pseudonymes.

Disponible (en anglais) sur: dailydot.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le piratage de Microsoft par la Chine était “évitable”, assure un comité gouvernemental américain

Huit mois après la découverte par Microsoft d’une campagne d’espionnage visant sa solution de messagerie Exchange Online, le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, chargé d’enquêter sur l’intrusion, a publié ses conclusions de ce rapport mandaté par le président américain Joe Biden. Dans un communiqué cinglant mis en ligne le 2 avril, le CSRB dénonce les pratiques de cybersécurité de mauvaise qualité appliquées par Microsoft. Sont notamment pointées du doigt “une série de décisions opérationnelles et stratégiques”, mettant en évidence “une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise et une gestion des risques, en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations”. Le comité ajoute que l’intrusion du groupe de hackers était “évitable”.

Disponible sur: usine-digitale.fr

Politico

Les problèmes de TikTok aux Etats-Unis s’aggravent : la FTC pourrait également les poursuivre en justice

Selon Politico, la FTC examine les allégations selon lesquelles TikTok et sa société mère ByteDance, basée à Pékin, ont trompé leurs utilisateurs en niant que des personnes en Chine avaient accès à leurs données, et ont également violé une loi sur la protection de la vie privée des enfants, selon ces personnes, à qui l’anonymat a été accordé pour discuter d’une affaire confidentielle. L’agence, en partenariat avec le ministère de la justice, pourrait soit intenter une action en justice, soit conclure un accord avec l’entreprise, bien qu’aucun accord n’ait encore été conclu, ont déclaré ces personnes.

TikTok, que les Etats-Unis semblent actuellement vouloir bannir afin de préserver la sécurité nationale, ferait l’objet d’un examen minutieux de la part de la FTC pour ses pratiques en matière de confidentialité et de sécurité des données depuis au moins les deux dernières années. En 2019, une version précédente de l’application a réglé une affaire avec la FTC alléguant des violations de la loi sur la protection de la vie privée des enfants.

Disponible (en anglais) sur: politico.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Zataz

Un pirate affirme avoir récupéré les informations relatives à 200 millions de comptes X (Twitter).

Un pirate informatique a publié une nouvelle base de données qu’il affirme appartenir à Twitter\X. Selon les informations de ZATAZ, des millions de données ont été extraites via un accès non divulgué par le pirate, datant du 14 mars 2024. La base de données SQL mise en avant par le malveillant indique, par exemple, « 10.3.36-MariaDB » et compte 5 661 457 utilisateurs ! Le pirate a mentionné que l’accès découvert lui a permis d’extraire environ 200 millions de lignes, représentant quelque 500 Go d’informations. Quant à la véracité de cette base de données, ZATAZ se base sur trois éléments pour affirmer qu’elle pourrait être authentique.

[Ajout contextuel Portail RGPD: Au vu des données concernées (ID, pseudonyme, données métriques, géolocalisation, nombre de followers, … ), à savoir des données publiques, il est possible que cette base ait été constituée au moyen de scraping. ]

Disponible sur: zataz.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

California Privacy Protection Agency

Le registre californien des courtiers en données (« Data brokers ») 2024 est désormais en ligne !

Les résidents de Californie peuvent consulter la liste des courtiers en données enregistrés auprès de l’Agence sur le site de la CCPA (ci-dessous). Vous y trouverez l’identité de plus de 400 (!) courtiers en données, les catégories de données pouvant être traitées, de même que les coordonnées des personnes à contacter pour demander la suppression de vos informations et exercer les autres droits prévus par la loi sur la protection des données.  L’agence indique cependant qu’il sera possible de lui demander de supprimer vos informations personnelles « non exemptées » détenues par tous les courtiers en données, plutôt que de les contacter individuellement. Bémol : ce service ne sera disponible qu’en .. 2026!

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courtlistener (via @LuizaJarovsky)

Nouvelle plainte contre OpenAI déposée par un résident de Floride dans le cadre d’une « class action », notamment fondée sur la violation de la loi sur la confidentialité des communications électroniques, de la loi californienne sur la vie privée (CIPA), ou encore sur la loi concernant la concurrence déloyale. Sont également reprochés à OpenAI : de la négligence, l’atteinte à la vie privée des personnes, le vol ou encore un enrichissement sans cause.

Sur Twitter, Luiza Jarovsky reprend les arguments clés (attention, lien tracké), traduits ci-dessous :

  • « Avec le scraping par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, ainsi qu’il y a 15 ans – les défendeurs ont maintenant suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Avec le grattage par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, mais aussi il y a 15 ans – les défendeurs disposent désormais de suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Cela anéantirait la vie privée telle que nous la connaissons et souligne l’importance de la vie privée, de la propriété et d’autres droits légaux que cette action en justice cherche à défendre » (page 7). »
  • « L’orientation soudaine d’OpenAI vers le profit et son alignement sur Microsoft, une entreprise géante qui a tout intérêt à créer et à dominer un marché commercial de l’IA, ont marqué le début de la fin de l’engagement d’OpenAI en faveur de l’humanité. L’entreprise a commencé à rechercher des profits au détriment de la vie privée, de la sécurité et de l’éthique, en commençant par la collecte de données » (page 14)
  • « L’intégration de la technologie ChatGPT dans les principaux produits de Microsoft amplifie considérablement les préoccupations existantes en matière de confidentialité des données. Cette évolution permet effectivement de collecter des informations sur les consommateurs à travers un large éventail de systèmes et de plateformes, englobant une gamme complète d’interactions avec les utilisateurs. La collecte de données étendues sur les consommateurs qui en résulte contribue à l’élaboration de profils d’utilisateurs étendus. » (page 26)
  • « Une autre raison pour laquelle les utilisateurs conservent un intérêt pour leurs données personnelles sur l’internet, même lorsqu’elles sont techniquement « publiques », est l’attente raisonnable d' »obscurité », c’est-à-dire « la notion selon laquelle lorsque nos activités ou nos informations ont peu de chances d’être trouvées, vues ou mémorisées, elles sont, dans une certaine mesure, sûres ». Les experts en matière de protection de la vie privée notent que les utilisateurs s’attendent raisonnablement à ce que la majeure partie de l’internet ignore tout simplement leurs messages individuels. En outre, « [l]e passage du temps rend également les informations obscures : personne ne se souvient de vos photos MySpace d’il y a quinze ans » (page 53).

Une affaire à suivre !

Disponible (en anglais) sur: storage.courtlistener.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut