Dernières actualités : données personnelles

Datatilsynet (autorité danoise)

La police danoise interrogée sur ses systèmes de reconnaissance faciale par Datatilsynet

Ce jour, l’autorité danoise de protection des données (Datatilsynet) a annoncé avoir, courant septembre, posé des questions sur les considérations de la police nationale danoise concernant la protection des données dans le cadre de l’utilisation prévue par la police de la reconnaissance faciale. Ces questions ont été soulevées à la suite de la décision du gouvernement et d’un certain nombre de partis politiques de donner à la police des possibilités accrues d’utiliser la reconnaissance faciale dans le cadre d’enquêtes. Par exemple, parmi les questions posées figuraient la préparation d’une analyse d’impact et la consultation préalable de l’autorité.

Dans sa réponse à Datatilsynet, la police nationale danoise indique qu’aucune évaluation d’impact n’a encore été préparée pour le projet pilote impliquant la reconnaissance faciale, étant donné que l’acquisition du système concerné n’en est qu’à ses débuts. Toutefois, la police nationale danoise souligne que l’analyse d’impact sera lancée dès que les bases nécessaires seront présentes dans le projet et que l’autorité sera informée du résultat.

Dans ses échanges avec la police, l’autorité a rappelé que tout traitement de données à caractère personnel couvert par la loi danoise sur l’application de la loi – y compris le traitement pour les tests et les projets pilotes – doit être conforme aux règles du RGPD. Cela signifie, entre autres, que si le traitement de données à caractère personnel nécessite une analyse d’impact, cette analyse doit être effectuée avant le début du traitement.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une option « reconnaissance faciale » qui, d’après Disclose, serait « activement utilisée ». Après avoir tenté d’étouffer l’affaire, le ministère de l’Intérieur a enfin publié le rapport d’inspection commandé à l’époque par Gérald Darmanin pour tenter d’éteindre la polémique. Ce rapport, rédigé par des membres de l’Inspection générale de l’administration, de l’Inspection générale de la police nationale et de l’Inspection de la Gendarmerie nationale, permet d’étayer les révélations de Disclose. Fondé sur la seule bonne foi des forces de l’ordre, il s’apparente toutefois à une tentative choquante de couvrir des faits passibles de sanctions pénales.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL

Traitement d’antécédents judiciaires : la CNIL rappelle à l’ordre deux ministères

Le traitement d’antécédents judiciaires (TAJ) est un fichier de police judiciaire recensant des informations relatives aux victimes d’infractions et aux personnes mises en cause et prévenues dans le cadre d’enquêtes pénales. Outre l’infraction en cause, il contient des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie.

Ce fichier est notamment utilisé dans le cadre d’enquêtes judiciaires pour la recherche des auteurs d’infractions, mais également dans le cadre d’enquêtes administratives, en vue de l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles, ou encore pour l’examen de demandes d’obtention de la nationalité française. À l’issue d’une procédure de contrôle auprès des représentants des deux ministères et de plusieurs parquets de tribunaux judiciaires et de cours d’appel, la CNIL a relevé l’existence de plusieurs manquements en lien avec les conditions dans lesquelles sont traitées les données personnelles figurant dans le TAJ (données inexactes, absence d’information des personnes et refus d’exercice des droits, …).

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a rappelé à l’ordre le ministère de l’Intérieur et des Outre-mer et le ministère de la Justice. En complément de ces sanctions qu’elle a souhaité rendre publiques, la formation restreinte a également enjoint aux ministères de se mettre en conformité avec la loi Informatique et Libertés.

Disponible sur: CNIL.fr

La Quadrature du Net

La Quadrature du Net part à l’ « assaut contre la vidéosurveillance algorithmique dans nos villes »

La question de pérenniser ou non l’expérimentation de la vidéosurveillance algorithmique (VSA) fait actuellement beaucoup de bruit dans le débat public. Si l’on entend principalement les ministres et préfets au niveau national, c’est aussi – et surtout – à l’échelle locale que ces enjeux se cristallisent. Profitant de l’engouement des Jeux Olympiques et du cadre législatif créé à l’occasion de cet évènement, de nombreuses communes tentent de légitimer et normaliser leurs usages de cette technologie, qui restent pourtant totalement illégaux. Ces manœuvres, qui doivent être révélées et dénoncées, constituent aussi pour les habitant⋅es un levier d’action majeur pour faire entendre leurs voix et exiger l’interdiction de la VSA dans nos villes.

Lorsque nous avons lancé notre campagne contre la VSA au printemps dernier, nous l’affirmions haut et fort : ce qui se joue avec la loi sur les Jeux Olympiques est une grande hypocrisie. La vidéosurveillance algorithmique s’est déployée depuis quasiment une dizaine d’années en toute illégalité dans les villes et les collectivités locales, qui ont acheté des logiciels de VSA à des entreprises de surveillance en quête de profit. Marseille, Reims, Vannes ou encore Moirans… nous avons documenté au fil des mois comment les villes se dotaient de ces outils de surveillance en toute illégalité. La loi JO vient donc légitimer une pratique existante en masquant l’étendue de cette réalité. En effet, le périmètre prévu par la loi ne prévoit la détection que de huit types d’analyses d’images. Or, les entreprises de VSA n’ont jamais caché qu’elles savaient déjà faire bien plus : reconnaissance d’émotions, reconnaissance faciale ou encore suivi et identification des personnes au travers d’attributs physiques… Le rôle de la loi JO apparaît alors comme évident : il s’agissait surtout de créer une première étape pour sortir cette technologie de l’illégalité et amorcer un projet plus large de surveillance de l’espace public.

Disponible sur: laquadrature.net

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

CNIL (via legifrance)

Journal officiel : traitement relatif aux étrangers sollicitant la délivrance d’un visa dénommé France-Visas

Dans son avis (disponible ci-dessous) la CNIL écrit: mis en œuvre par le ministère de l’intérieur et le ministère de l’Europe et des affaires étrangères, le traitement « France-Visas » a pour finalité principale de permettre l’instruction des demandes de visas. Il a été créé initialement par un arrêté du 26 septembre 2017 pour remplacer progressivement le traitement dénommé « réseau mondial visas 2 » (RMV 2), qui permet la collecte des données nécessaires à cette instruction. La CNIL a déjà eu l’occasion de se prononcer sur ce projet d’évolution (CNIL, SP, 18 mai 2017, avis sur projet d’arrêté, France-Visas, n° 2017-151, publié). D’autres traitements relatifs aux visas sont, en parallèle, mis en œuvre (détaillés dans l’avis de la CNIL).

Dans son avis, la CNIL accueille favorablement ces évolutions et souligne que les échanges avec le ministère ont conduit à préciser certaines caractéristiques du traitement.
Néanmoins, elle émet des observations sur :
* l’articulation entre France-Visas et d’autres traitements relatifs aux visas, s’agissant notamment de l’enregistrement, dans ces traitements, de données biométriques ;
* le traitement de certaines catégories de données, enregistrées dans France-Visas, qui seront issues d’autres fichiers.

Par ailleurs, elle formule des recommandations sur les modalités d’information des personnes concernées par le traitement de leurs données et sur les mesures de sécurité.

Disponible (en anglais) sur: legifrance.gouv.fr L’avis de la CNIL est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Datatilsynet (auorité danoise)

Respect des durées de conservation : le ministère de l’immigration et de l’intégration danois rappelé à l’ordre

Lors d’une inspection du ministère de l’immigration et de l’intégration, l’agence danoise de protection des données a constaté que le ministère avait mis en place une pratique de suppression dans le système national d’information sur les visas, où les dossiers de visa sont automatiquement supprimés à partir de cinq ans après, par exemple, l’expiration d’un visa, la date d’un refus, etc. Toutefois, il a également été constaté qu’il n’existe aucun contrôle permettant de s’assurer que la pratique de suppression automatique fonctionne comme prévu. L’autorité a également constaté que le ministère de l’immigration et de l’intégration ne supprime pas immédiatement les données lorsqu’un demandeur de visa enregistré obtient la citoyenneté d’un État membre de l’UE avant l’expiration de la période de cinq ans.

Conformément à l’article 25, paragraphe 1, du règlement relatif au VIS [système d’information sur les visas], si le demandeur de visa acquiert la nationalité d’un État membre avant l’expiration de la période de suppression, les données figurant dans un dossier de demande de visa sont immédiatement supprimées du VIS. Toutefois, le ministère de l’immigration et de l’intégration a pour pratique de conseiller à la personne concernée de contacter elle-même le service danois de l’immigration pour que ses données soient supprimées du système, au lieu que le ministère supprime les données de sa propre initiative. L’agence danoise de protection des données estime que cette procédure ne satisfait pas à l’exigence d’effacement prématuré prévue à l’article 25, paragraphe 1, du règlement VIS.

Sur cette base, l’Agence danoise de protection des données a dressé un blâme au ministère danois.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-470/21

Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE, réunie en assemblée plénière, a jugé que les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée. En effet, elle estime que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.

La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. Les États membres doivent néanmoins garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés.

Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave. Ce contrôle doit toutefois être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.. Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Contre l’empire de la vidéosurveillance algorithmique, La Quadrature du Net contre-attaque

Selon l’association de défense de la vie privée, l’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA (en particulier le projet mis en œuvre par la SNCF) et pointer l’incurie de l’autorité de protection des données personnelles.

Disponible sur: laquadrature.net

Cour de cassation

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse,  « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne.  » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.

Retour en haut