Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

IMY (autorité suédoise)

IMY donne son avis sur les changements proposés aux règles de surveillance des caméras de police

En suède, à la suite d’une enquête commandée par le Ministère de la Justice, il a été proposé de donner à la police des possibilités accrues d’utiliser la surveillance par caméra et la technologie de reconnaissance faciale automatique (DS 2024:11), notamment s’agissant de la surveillance des routes ou encore s’agissant à des fins de maintien de l’ordre (au moyen d’identification biométrique à distance). L’Autorité suédoise (IMY) a publié ce jour ses commentaires concernant les propositions et souligne qu’une réglementation supplémentaire est nécessaire pour limiter l’atteinte à la vie privée afin que les propositions répondent à l’exigence de proportionnalité.

L’IMY estime qu’il est important de donner à la police de meilleures conditions pour lutter contre le crime organisé, tout en garantissant le droit à la vie privée. Dans son avis, l’IMY souligne que la proposition d’accroître les possibilités de surveillance par caméra risque de permettre une collecte générale de données sur les mouvements des individus dans tout le pays. IMY estime donc qu’une réglementation supplémentaire est nécessaire pour limiter ce risque.

« Nous pensons qu’il est possible de donner à la police de meilleures possibilités de surveillance par caméra, mais des mesures supplémentaires sont nécessaires pour protéger la vie privée. Nous estimons que la proposition actuelle ne répond pas à l’exigence d’un équilibre entre les intérêts des forces de l’ordre et la protection de la vie privée », déclare Jenny Bård, chef d’unité chez IMY.

S’agissant de la reconnaissance faciale automatique dans les lieux publics, l’autorité ajoute être d’accord avec l’évaluation du mémorandum selon laquelle des réglementations supplémentaires sont nécessaires pour protéger la vie privée et d’autres droits et libertés fondamentaux des individus . Ce n’est que lorsqu’il y aura des propositions pour de telles réglementations supplémentaires qu’il sera possible d’évaluer si la proposition remplit l’exigence de proportionnalité.

Disponible (en suédois) sur: imy.se
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

HAAS Avocats

Doctolib : L’IA transforme le secteur de la santé, mais à quel prix ?

Doctolib : L'IA transforme le secteur de la santé, mais à quel prix ?

Par Haas Avocats

L’intelligence artificielle (IA) est en train de redéfinir le secteur de la santé, en apportant des solutions novatrices qui améliorent la qualité des soins et la relation entre les patients et les professionnels de santé. Doctolib, à la pointe de cette révolution, développe des outils IA prometteurs qui pourraient redéfinir la pratique médicale.

Disponible sur: haas-avocats.com

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Régulation de l’IA : les autorités de protection des données européennes veulent être chargées des systèmes à haut risque

Lors de la dernière plénière du Comité européen de la protection des données (CEPD) en date du 16 juillet, les autorités de protection des données ont souhaité avoir une position commune sur leur rôle dans la mise en œuvre du règlement européen sur l’IA (RIA) publié le 12 juillet et qui entrera en application à partir du 1er août 2024. En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Selon la CNIL, une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.

Disponible sur: CNIL.fr

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

Retour en haut