Dernières actualités : données personnelles – Page 4

IAPP

8 avril 2024

Présentation d’un nouveau projet de loi fédérale sur la protection de la vie privée aux États-Unis

À la surprise générale, deux membres importants du Congrès américain ont rendu public, le 5 avril, un projet de loi fédérale bipartisane et bicamérale sur la protection de la vie privée.

Un peu plus de deux ans après la dernière tentative significative d’élaboration d’une loi nationale sur la protection de la vie privée, la présidente de la commission de l’énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers, et la sénatrice Maria Cantwell, présidente de la commission sénatoriale du commerce, des sciences et des transports, se sont exprimées officiellement dimanche sur le projet de loi nouvellement publié. Le projet de loi est également disponible sous la forme d’un projet de discussion section par section. Dans un développement surprenant rapporté pour la première fois fin avril, deux membres clés du Congrès américain ont rendu public un projet de loi fédéral bipartisan et bicaméral sur la protection de la vie privée.

Avec ses 53 pages, la proposition de loi américaine sur les droits à la vie privée comprend des exigences sur la minimisation des données, les droits des consommateurs à refuser la publicité ciblée et à consulter, corriger, exporter ou supprimer leurs données. En outre, le projet de loi contient des dispositions relatives à la sécurité des données, une section sur la « responsabilité exécutive » et un registre national des courtiers en données (également appelés « data brokers »). Des dispositions sont également prévues pour empêcher les organisations d’imposer des arbitrages obligatoires en cas d’atteinte importante à la vie privée.

Disponible (en anglais) sur: iapp.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Daily dot

4 avril 2024

Une compagnie aérienne américaine divulgue accidentellement une « No Fly List » sur un serveur non sécurisé

Un serveur non sécurisé découvert la semaine dernière par un chercheur en sécurité contenait les identités de centaines de milliers de personnes figurant dans la base de données du gouvernement américain sur le dépistage du terrorisme et la liste des personnes interdites de vol. Localisé par le pirate informatique suisse, le serveur géré par la compagnie aérienne nationale américaine CommuteAir, a été laissé exposé sur l’internet public. Il a révélé une grande quantité de données sur l’entreprise, y compris des informations privées sur près de 1 000 employés de la compagnie aérienne CommuteAir.

Pire : l’analyse du serveur a permis de découvrir un fichier texte intitulé « NoFly.csv », faisant référence à un groupe de personnes figurant dans la base de données sur le contrôle des activités terroristes et interdites de vol en raison de liens présumés ou avérés avec des organisations terroristes. Cette liste contiendrait plus d’1 million d’entrées au total, et comporterait des noms, des dates de naissances, mais également des pseudonymes.

Disponible (en anglais) sur: dailydot.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

3 avril 2024

Le piratage de Microsoft par la Chine était “évitable”, assure un comité gouvernemental américain

Huit mois après la découverte par Microsoft d’une campagne d’espionnage visant sa solution de messagerie Exchange Online, le Cyber Safety Review Board (CSRB), comité consultatif rattaché au département de la Sécurité intérieure des États-Unis, chargé d’enquêter sur l’intrusion, a publié ses conclusions de ce rapport mandaté par le président américain Joe Biden. Dans un communiqué cinglant mis en ligne le 2 avril, le CSRB dénonce les pratiques de cybersécurité de mauvaise qualité appliquées par Microsoft. Sont notamment pointées du doigt “une série de décisions opérationnelles et stratégiques”, mettant en évidence “une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise et une gestion des risques, en contradiction avec le niveau de confiance que les clients accordent à l’entreprise pour protéger leurs données et opérations”. Le comité ajoute que l’intrusion du groupe de hackers était “évitable”.

Disponible sur: usine-digitale.fr

Politico

27 mars 2024

Les problèmes de TikTok aux Etats-Unis s’aggravent : la FTC pourrait également les poursuivre en justice

Selon Politico, la FTC examine les allégations selon lesquelles TikTok et sa société mère ByteDance, basée à Pékin, ont trompé leurs utilisateurs en niant que des personnes en Chine avaient accès à leurs données, et ont également violé une loi sur la protection de la vie privée des enfants, selon ces personnes, à qui l’anonymat a été accordé pour discuter d’une affaire confidentielle. L’agence, en partenariat avec le ministère de la justice, pourrait soit intenter une action en justice, soit conclure un accord avec l’entreprise, bien qu’aucun accord n’ait encore été conclu, ont déclaré ces personnes.

TikTok, que les Etats-Unis semblent actuellement vouloir bannir afin de préserver la sécurité nationale, ferait l’objet d’un examen minutieux de la part de la FTC pour ses pratiques en matière de confidentialité et de sécurité des données depuis au moins les deux dernières années. En 2019, une version précédente de l’application a réglé une affaire avec la FTC alléguant des violations de la loi sur la protection de la vie privée des enfants.

Disponible (en anglais) sur: politico.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Zataz

25 mars 2024

Un pirate affirme avoir récupéré les informations relatives à 200 millions de comptes X (Twitter).

Un pirate informatique a publié une nouvelle base de données qu’il affirme appartenir à Twitter\X. Selon les informations de ZATAZ, des millions de données ont été extraites via un accès non divulgué par le pirate, datant du 14 mars 2024. La base de données SQL mise en avant par le malveillant indique, par exemple, « 10.3.36-MariaDB » et compte 5 661 457 utilisateurs ! Le pirate a mentionné que l’accès découvert lui a permis d’extraire environ 200 millions de lignes, représentant quelque 500 Go d’informations. Quant à la véracité de cette base de données, ZATAZ se base sur trois éléments pour affirmer qu’elle pourrait être authentique.

[Ajout contextuel Portail RGPD: Au vu des données concernées (ID, pseudonyme, données métriques, géolocalisation, nombre de followers, … ), à savoir des données publiques, il est possible que cette base ait été constituée au moyen de scraping. ]

Disponible sur: zataz.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Forbes

24 mars 2024

Les autorités fédérales ont ordonné à Google de démasquer certains utilisateurs de YouTube.

Dans une affaire du Kentucky qui vient d’être descellée et examinée par Forbes, des policiers en civil cherchent à identifier la personne qui se cache derrière le pseudonyme en ligne « elonmuskwhm », qu’ils soupçonnent de vendre des bitcoins contre de l’argent liquide, ce qui pourrait enfreindre les lois sur le blanchiment d’argent et les règles relatives à la transmission d’argent sans licence.
Lors de conversations avec l’utilisateur au début du mois de janvier, les agents infiltrés lui ont envoyé des liens vers des tutoriels YouTube sur la cartographie par drones et des logiciels de réalité augmentée, puis ont demandé à Google des informations sur les personnes qui avaient visionné les vidéos, qui ont été regardées collectivement plus de 30 000 fois. Les ordonnances du tribunal montrent que le gouvernement a demandé à Google de fournir les noms, adresses, numéros de téléphone et activités des utilisateurs de tous les comptes Google qui ont accédé aux vidéos de YouTube entre le 1er et le 8 janvier 2023. Le gouvernement souhaitait également obtenir les adresses IP des propriétaires de comptes non Google qui ont visionné les vidéos. Les policiers ont fait valoir qu' »il y a des raisons de croire que ces enregistrements seraient pertinents et importants pour une enquête criminelle en cours, y compris en fournissant des informations d’identification sur les auteurs ».

Des experts en protection de la vie privée issus de plusieurs groupes de défense des droits civils ont déclaré à Forbes qu’ils pensaient que ces ordonnances étaient inconstitutionnelles car elles menaçaient de transformer des spectateurs innocents de YouTube en suspects criminels.

Disponible (en anglais) sur: forbes.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Global News

6 mars 2024

La police a besoin de mandats pour obtenir les adresses IP des Canadiens

Dans le cadre d’une enquête menée en 2017 par la police de Calgary sur des achats en ligne frauduleux auprès d’un magasin de spiritueux et au cours de laquelle la police avait demandé au magasin la fourniture des adresses IP sans mandat, la Cour suprême du Canada a statué vendredi que la police doit obtenir un mandat avant de demander l’adresse de protocole Internet d’un Canadien, ce qui constitue une victoire importante pour les défenseurs de la vie privée. La Cour suprême a affirmé que les Canadiens ont des droits à la vie privée protégés par la Charte lorsqu’il s’agit pour les policiers de demander des informations sur leurs activités en ligne.

« La vie privée est essentielle à la dignité, à l’autonomie et à l’épanouissement de l’individu. Sa protection est une condition préalable à l’épanouissement d’une démocratie libre et saine », peut-on lire dans la décision majoritaire. L’Internet exige que les utilisateurs révèlent des informations sur leurs abonnés à leur fournisseur d’accès pour participer à cette nouvelle place publique, et les Canadiens ne sont pas obligés de devenir des reclus numériques pour maintenir un semblant de vie privée dans leur vie ».

Disponible (en anglais) sur: globalnews.ca
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

California Privacy Protection Agency

4 mars 2024

Le registre californien des courtiers en données (« Data brokers ») 2024 est désormais en ligne !

Les résidents de Californie peuvent consulter la liste des courtiers en données enregistrés auprès de l’Agence sur le site de la CCPA (ci-dessous). Vous y trouverez l’identité de plus de 400 (!) courtiers en données, les catégories de données pouvant être traitées, de même que les coordonnées des personnes à contacter pour demander la suppression de vos informations et exercer les autres droits prévus par la loi sur la protection des données. L’agence indique cependant qu’il sera possible de lui demander de supprimer vos informations personnelles « non exemptées » détenues par tous les courtiers en données, plutôt que de les contacter individuellement. Bémol : ce service ne sera disponible qu’en .. 2026!

Disponible (en anglais) sur: cppa.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Courtlistener (via @LuizaJarovsky)

29 février 2024

Nouvelle plainte contre OpenAI déposée par un résident de Floride dans le cadre d’une « class action », notamment fondée sur la violation de la loi sur la confidentialité des communications électroniques, de la loi californienne sur la vie privée (CIPA), ou encore sur la loi concernant la concurrence déloyale. Sont également reprochés à OpenAI : de la négligence, l’atteinte à la vie privée des personnes, le vol ou encore un enrichissement sans cause.

Sur Twitter, Luiza Jarovsky reprend les arguments clés (attention, lien tracké), traduits ci-dessous :

« Avec le scraping par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, ainsi qu’il y a 15 ans – les défendeurs ont maintenant suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Avec le grattage par les défendeurs de nos empreintes numériques – les commentaires, les conversations que nous avons eues en ligne hier, mais aussi il y a 15 ans – les défendeurs disposent désormais de suffisamment d’informations pour créer nos clones numériques, y compris la capacité de reproduire notre voix et notre image et de prédire et manipuler notre prochaine action en utilisant la technologie sur laquelle les produits ont été construits. Ils peuvent également s’approprier nos compétences et encourager notre propre obsolescence professionnelle. Cela anéantirait la vie privée telle que nous la connaissons et souligne l’importance de la vie privée, de la propriété et d’autres droits légaux que cette action en justice cherche à défendre » (page 7). »
« L’orientation soudaine d’OpenAI vers le profit et son alignement sur Microsoft, une entreprise géante qui a tout intérêt à créer et à dominer un marché commercial de l’IA, ont marqué le début de la fin de l’engagement d’OpenAI en faveur de l’humanité. L’entreprise a commencé à rechercher des profits au détriment de la vie privée, de la sécurité et de l’éthique, en commençant par la collecte de données » (page 14)
« L’intégration de la technologie ChatGPT dans les principaux produits de Microsoft amplifie considérablement les préoccupations existantes en matière de confidentialité des données. Cette évolution permet effectivement de collecter des informations sur les consommateurs à travers un large éventail de systèmes et de plateformes, englobant une gamme complète d’interactions avec les utilisateurs. La collecte de données étendues sur les consommateurs qui en résulte contribue à l’élaboration de profils d’utilisateurs étendus. » (page 26)
« Une autre raison pour laquelle les utilisateurs conservent un intérêt pour leurs données personnelles sur l’internet, même lorsqu’elles sont techniquement « publiques », est l’attente raisonnable d' »obscurité », c’est-à-dire « la notion selon laquelle lorsque nos activités ou nos informations ont peu de chances d’être trouvées, vues ou mémorisées, elles sont, dans une certaine mesure, sûres ». Les experts en matière de protection de la vie privée notent que les utilisateurs s’attendent raisonnablement à ce que la majeure partie de l’internet ignore tout simplement leurs messages individuels. En outre, « [l]e passage du temps rend également les informations obscures : personne ne se souvient de vos photos MySpace d’il y a quinze ans » (page 53).

Une affaire à suivre !

Disponible (en anglais) sur: storage.courtlistener.com
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

eWatchers

29 février 2024

Les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ».

Comme annoncé hier sur le Portail RGPD, les États-Unis ont publié le décret présidentiel pour empêcher l’export des données personnelles des Américains vers certains pays jugés « préoccupants ». D’après eWatchers, le décret donnera le pouvoir à l’Administration états-unienne de s’opposer aux transferts de gros volumes de données personnelles vers certains pays jugés « préoccupants », la Chine (dont Hong Kong et Macao), la Russie, l’Iran, la Corée du Nord, Cuba et le Venezuela, lorsque le transfert « présente un risque inacceptable pour la sécurité nationale des États-Unis ». Les États-Unis jugent, en effet, que « les gouvernements de ces pays peuvent chercher à accéder à des données personnelles sensibles et à les utiliser d’une manière qui n’est pas conforme aux valeurs démocratiques, à la protection de la vie privée et aux autres droits et libertés de l’homme ».

Plus d’informations sont disponibles ci-dessous.

Disponible sur: ewatchers.org Le texte complet de l’Executive Order est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.