Dernières actualités : données personnelles

Numerama – Cyberguerre

Telegram : Pavel Durov s’engage à livrer les adresses IP aux autorités en cas de délit

pavel durov

La sulfureuse application mobile Telegram fait volte-face sur la modération. Depuis l’arrestation de Pavel Durov, plusieurs changements ont été annoncés. Désormais, « les adresses IP et les numéros de téléphone de celles et ceux qui enfreignent les règles [de l’application] peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valides », a-t-il prévenu. Cette règle, qui vise à « dissuader davantage les criminels d’abuser » de l’application, s’applique dans le monde entier.

Disponible sur: numerama.com

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

La Quadrature du Net

Première victoire contre l’audiosurveillance algorithmique devant la justice

Plus de trois ans après le recours, le tribunal administratif d’Orléans vient de confirmer que l’audiosurveillance algorithmique (ASA) installée par l’actuelle mairie d’Orléans – des micros installés dans l’espace public et couplés à la vidéosurveillance, destinés à repérer des situations dites anormales – est illégale. Ce jugement constitue la première victoire devant les tribunaux en France contre ce type de surveillance sonore et constitue un rappel fort des exigences en matière de droits fondamentaux pour les autres communes qui seraient tentées par de tels dispositifs.

Dans son jugement, le tribunal administratif […] commence par battre en brèche l’argument de la commune qui affirmait qu’il n’y avait pas de traitement de données personnelles, en rappelant que les dispositifs de micros couplés aux caméras de vidéosurveillance « collectent et utilisent ainsi des informations se rapportant à des personnes susceptibles, au moyen des caméras avec lesquelles ils sont couplés, d’être identifiées par l’opérateur ». Il en tire alors naturellement la conclusion que ce dispositif est illégal parce qu’il n’a pas été autorisé par la loi.

Alors que l’adjoint à la commune d’Orléans chargé de la sécurité, Florent Montillot, affirmait […] que cette surveillance permettrait de « sauver des vies », la justice remet les pendules à l’heure : « à […] supposer [le dispositif d’audiosurveillance algorithmique] utile pour l’exercice des pouvoirs de police confiés au maire […], il ne peut être regardé comme nécessaire à l’exercice de ces pouvoirs ». Autrement dit : « utilité » ne signifie ni proportionnalité ni légalité en matière de surveillance. Cela va à rebours de tout le discours politique déployé ces dernières années qui consiste à déclarer légitime tout ce qui serait demandé par les policiers dès lors que cela est utile ou plus simple sur le terrain. Cela a été la justification des différentes lois de ces dernières années telle que la loi Sécurité Globale ou la LOPMI.

Disponible sur: laquadrature.net

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

CJUE – Arrêt C-470/21

Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE, réunie en assemblée plénière, a jugé que les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée. En effet, elle estime que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.

La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. Les États membres doivent néanmoins garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés.

Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave. Ce contrôle doit toutefois être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.. Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Contre l’empire de la vidéosurveillance algorithmique, La Quadrature du Net contre-attaque

Selon l’association de défense de la vie privée, l’« expérimentation » de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi « Jeux Olympiques » adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France. Pour contrer cette stratégie, La Quadrature du Net lance aujourd’hui une campagne visant à nourrir l’opposition populaire à la VSA, une technologie basée sur des techniques d’« Intelligence Artificielle » qui s’assimile à un contrôle constant et automatisé des espaces publics, et qui marque un tournant historique dans la surveillance d’État. Une plainte a également été déposée devant la CNIL afin de dénoncer l’hypocrisie des promoteurs de la VSA (en particulier le projet mis en œuvre par la SNCF) et pointer l’incurie de l’autorité de protection des données personnelles.

Disponible sur: laquadrature.net

HAAS Avocats

La CNIL dévoile son référentiel dédié à l’IA

La CNIL dévoile son référentiel dédié à l’IA

Par Haas Avocats

Le 8 avril 2024, la CNIL a publié ses premières recommandations concernant le développement des dispositifs, outils et applications utilisant de l’intelligence artificielle (IA)[1].

Disponible sur: haas-avocats.com

CNIL

Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE

Le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE.STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. HUBSIDE.STORE est une société qui procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.). Les données des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société HUBSIDE.STORE ne pouvait donc procéder légalement à ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD). En outre, la formation restreinte a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informés, en violation de l’article 14 du RGPD.

Elle a donc prononcé à son encontre une amende de 525 000 euros rendue publique.

Disponible sur: CNIL.fr

Cour de cassation

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse,  « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne.  » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.

Retour en haut