Archives du mot-clé données personnelles

L’appli étudiante #izly à l’épreuve des données personnelles

Lancée par le Cnous en 2014, en collaboration avec la BPCE, l’application izly se retrouve malgré elle au cœur d’une polémique sur la protection des données personnelles.

IZLY

C’est le souci de dématérialiser les paiements dans les restaurants universitaires qui a donné naissance à l’application izly. Une fois téléchargée, (et le compte alimenté), elle permet de régler son repas au restaurant universitaire avec sa carte étudiant ou son smartphone, via l’utilisation d’un QR Code. L’application a donc toute sa raison d’être. Le Cnous en fait la promotion auprès des étudiants et futurs étudiants, allant jusqu’à offrir un repas gratuit en cas de téléchargement. Et la promesse d’izly est rassurante :

« Le paiement sur le campus –

simple et sécurisé »

Mais dans son édition du 20 octobre, Le Monde jette le trouble en révélant que certaines données personnelles sont transmises à des sociétés de marketing et risquent donc d’être utilisées dans des opérations de publicité ciblée. Les données personnelles en cause concernent les éléments de  géolocalisation de l’utilisateur (dans le cas bien-sûr où ce dernier l’a acceptée).

Même si les données transmises à des sociétés tiers se limitent à la géolocalisation, elles sont néanmoins susceptibles de révéler des éléments de la vie privée de l’étudiant : ses habitudes de consommation à la faculté, sa localisation, le temps qu’il consacre à sa restauration ou plus banalement ses déplacements…

Et toujours selon Le Monde, l’étudiant ne serait pas clairement averti des transferts de données, et n’aurait donc pu donner son accord en toute connaissance de cause – comme le veut la loi.

Le cas d’izly est révélateur d’une société chaque jour plus numérique. Une prise de conscience s’impose quant aux conséquences de ces options de géolocalisation. Les accepter n’est jamais neutre. Car nous sommes entrée de plain pied dans l’ère du profilage marketing.

Mais saluons la décision du Cnous qui a fait preuve et de rapidité dans la gestion de cette crise, et de sagesse en annonçant, dès le lendemain de l’article du Monde, la suppression de l’option de géolocalisation. Comme le prouve le site de promotion de la version 2.2 mise à jour en date du 24 octobre :

« Nouveautés de la version 2.2

Cette version d’Izly n’utilise plus la fonction de géolocalisation du téléphone.
Dans les précédentes versions, l’activation de la fonction de géolocalisation était possible sur Izly et soumise à l’autorisation de l’utilisateur. »

Dont-acte !

 

#ePrivacy, le projet qui divise

Lancé par la Commission Européenne en janvier dernier, le projet ePrivacy doit compléter le RGPD. Il vise à mieux protéger la vie privée, notamment dans les communications électroniques. Un projet qui est loin de faire l’unanimité.

bruxelles

Actuellement, quand un internaute se connecte pour la 1ère fois à un site, il voit apparaître en bas de son écran le bandeau l’informant que la poursuite de la navigation entrainera le dépôt de cookies. Cookies qui permettront le profilage. Si le projet ePrivacy est adopté, le consentement de l’internaute sera donné non plus au cas par cas, mais de manière globale. Il devra toutefois être confirmé tous les 6 mois.

Ce consentement sera géré directement depuis le navigateur qui permettra alors à l’internaute de choisir entre différents niveaux de confidentialité. En cas d’utilisation commerciale des données, la charge de la preuve de l’existence du consentement pèsera sur le responsable du traitement.

Le principe vient d’être adopté par la commission LIBE (Libertés Civiles). Le projet devra ensuite passer en commission plénière. En cas d’adoption, l’ePrivacy entrera en application à la même date que le RGPD, soit le 25 mai prochain. En cas de non respect les peines d’amendes seront identiques à celles prévues par le RGPD – donc particulièrement lourdes – pouvant aller jusqu’à 4% du CA mondial.

Si ce projet vise à mieux protéger les données personnelles de l’internaute, il inquiète certains acteurs économiques. Les annonceurs sont bien-sûr soucieux de la réduction qui peut en résulter de la publicité ciblée. Nous pensons particulièrement à certaines catégories de sites : les médias, le E-commerce notamment. L’Iab ardent défenseur d’un internet libre et au service de tous, exprime aussi son inquiétude.

ePrivacy peut-il remettre en cause l’existence de certains sites éditeurs comme certains le craignent ? La question mérite d’être posée.

Données personnelles : conscients des risques, les 18-24 ans ont cependant un comportement à risques

Le CSA a publié le 19 septembre dernier son rapport 2017 sur les Français et les données personnelles. Un rapport qui montre un certain paradoxe dans le comportement des 18-24 ans.

CSA

On sait les Français en général inquiets pour leurs données personnelles sur internet. 85% se déclarent, dans cette enquête du CSA conduite fin août, préoccupés. Mais c’est peut-être le comportement des 18-24 ans qui peut inquiéter.

Nés avec internet, beaucoup de ces jeunes en font leur terrain d’expression favori. Pour preuve, 72% reconnaissent y publier régulièrement des informations ou des photos personnelles, notamment sur les réseaux sociaux. 41% n’hésitent pas à laisser des données personnelles dans les forums.

Cette pratique quotidienne (pour la plupart) ne signifie pourtant pas que ces mêmes jeunes en ignorent les risques. Ainsi, ils se disent à 93% inquiets pour la protection de leurs données personnelles et à 48% très inquiets. Ils sont 61% à avoir déjà tenté d’effacer d’internet des données . 75% déclarent rechercher régulièrement des informations les concernant en tapant leurs nom et prénoms sur un moteur de recherche.

Un constat implacable qui prouve, s’il en était besoin, qu’une sensibilisation aux risques de l’outil est une nécessité. Certes, les dernières évolutions du droit national, le règlement européen applicable dans quelques mois, les décisions de la CJCE vont dans le bon sens. Mais la vigilance demeure de mise.

Affichage : le Conseil d’Etat entend protéger les données personnelles

C’est une affaire qui a débuté maintenant depuis 2 ans et qui vient de trouver son aboutissement dans la décision du Conseil d’Etat de ce 8 février. Elle met en jeu le n°1 de l’affichage, JC Decaux, et la CNIL.

conseil-detat

Source visuel : conseil-etat.fr

Tout débute en février 2015 lorsque la Société JC Decaux demande à la CNIL l’autorisation de capter, par wifi les adresses MAC des portables des passants de l’esplanade de la Défense, dans un rayon de 25 mètres. L’objectif louable est de mieux connaître les flux piétonniers, donc de mieux maîtriser la mesure d’audience au profit des annonceurs qui investissent dans les nouveaux panneaux d’affichage connectés de la Défense. La demande est présentée à titre expérimental, pour un test de 4 semaines.

En juillet 2015, la CNIL refuse, estimant que la condition première d’anonymisation n’est pas réunie, le système permettant une individualisation, notamment des passants traversant plusieurs fois par jour l’esplanade. Elle refuse également parce que les passants ne sont pas avertis (ou mal) comme la loi le rend obligatoire.

JC Decaux saisit alors le Conseil d’Etat pour contester la décision de la CNIL. La haute juridiction vient de confirmer le refus, retenant à son tour que les conditions d’une réelle anonymisation des données nétaient pas réunies.

Dans un monde de plus en plus connecté, une décision qui rassurera sans doute pas mal de consommateurs.

La reconnaissance faciale de Facebook devant les juges

numerama.com

source visuel : numerama.com

Facebook et son application Messenger sont traduits par 3 utilisateurs américains pour collecte illégale de données personnelles.  La justice de San Francisco vient de leur accorder la 1ère manche.

C’est donc à nouveau la technologie de la reconnaissance faciale lancée par Facebook en 2010, qui est en cause. Pour comprendre les enjeux, un peu de technique. Les photos des utilisateurs identifiés sont scannées. Avec les données biométriques ainsi récoltées, Facebook propose d’identifier par ressemblance les utilisateurs sur les nouvelles photos téléchargées. La technologie a été récemment étendue à Messenger.

Mais ce procédé n’est pas du goût de tout le monde. 3 utilisateurs ont saisi la justice californienne en demande d’indemnisation pour collecte illégale de données personnelles. Les demandeurs avancent un argument de poids : le réseau social n’a pas sollicité leur accord. Le juge vient de leur donner raison en rejetant le recours en irrecevabilité intenté par le réseau social.

Alors, la reconnaissance faciale telle que la pratique Facebook aux Etats-Unis est-elle illégale? Deux points essentiels sont à considérer. En premier lieu, scanner les données biométriques d’un utilisateur de Facebook est bel et bien une collecte de données personnelles, données protectrices de la vie privée et donc en tant que telles protégées. Sur ce point il ne semble pas y avoir place à la discussion.

Mais cette collecte se fait-elle sans l’accord de l’utilisateur? Au pied de la lettre, non. L’utilisateur est prévenu dans les conditions générales d’utilisation qui, comme chacun le sait sont longues, souvent austères, et que personne (ou presque) ne lit. Mais surtout, l’accord de l’internaute est par défaut puisque le réglage d’identification est pré-réglé sur l’accord de l’utilisateur. C’est principalement sur ce point que le débat va se situer. Il appartient désormais au juge américain de dire si la législation américaine nécessite un accord expresse et en toute connaissance de cause… Comme c’est le cas en Europe.

En Europe où justement Facebook a supprimé depuis 2012 la reconnaissance faciale…

La technologie de reconnaissance faciale a déjà quelques années. Elle peut être utilisée à bien d’autres causes. Notamment dans le commerce aux fins de mieux identifier le client entrant dans une boutique ou passant devant un écran interactif. Elle peut aussi être utilisée pour des raisons de sécurité. On se rappelle que dernièrement le Maire de Nice à sollicité la possibilité d’y recourir dans le cadre de l’Euro2016. L’application Heystay, dédiée aux rencontres l’utilise également pour « marier » les couples potentiels… On le voit, l’enjeu dépasse largement le cadre de Facebook. Nous suivrons donc avec intérêt la décision des juges sur le fond…

Bras de fer entre la CNIL et Facebook

numerama.com

La tension entre la CNIL et Facebook monte encore d’un cran avec une mise en demeure de la CNIL, à l’encontre du réseau social, de se conformer à la loi française dans un délai de 3 mois, soit avant le 8 mai prochain. Quels sont les griefs de la CNIL?

Pour la CNIL, Facebook manque de clarté et de transparence. L’internaute n’est pas suffisamment et clairement informé de l’usage possible de ses données. Les reproches sont nombreux et convergents :

  • Facebook suit la navigation des internautes sur des sites tiers. Même si l’internaute n’a pas de compte Facebook, il pourra être suivi dès-lors qu’il aura visité une page Facebook publique. L’internaute n’est pas informé
  • Facebook recueille certaines données qui en France sont classées « sensibles » : opinions politiques, religieuses, orientation sexuelle. Certes rien ne peut empêcher un membre de révéler cette part de son identité, mais le réseau devrait avertir l’internaute des risques
  • Facebook ne sollicite pas l’accord de l’internaute lors du dépôt de cookies à des fins publicitaires
  • Le réseau social n’informe pas clairement ses membres de la combinaison de ses données personnelles aux fins de proposer des publicités ciblées
  • Le choix du password n’est pas assez exigeant et en conséquence l’internaute peut être trop aisément exposé à des risques de récupération de ses données personnelles
  • Facebook exporte les données des membres aux Etats-Unis en se basant sur le Safe Harbor. Or, cet accord a été invalidé par la CJCE en octobre dernier. La Cour a en effet estimé que la protection des données aux Etats-Unis n’était pas suffisante.

Quelle sera la réaction de Facebook? En cas de sourde oreille – ce qui est loin d’être exclu – de quels moyens de pression dispose la CNIL? Une question que doivent se poser les 30 millions de Français titulaires d’un compte… Rendez-vous au printemps!

Accord européen sur le « paquet données personnelles »

drapeau

source visuel : gralon.fr

En discussion depuis 2012, les mesures de protection des données personnelles ont reçu, mardi, un accord tripartite du Parlement européen, de la Commission et du Conseil des Ministres. Accord que le Gouvernement français qualifie, sur son site d’information, d’historique.

Les organismes gestionnaires des données seront tenus d’assurer une meilleure information sur le traitement réservé aux données. L’internaute pourra exercer un droit à la portabilité, c’est-à-dire demander le transfert de ses données d’un service à un autre.

L’accord confirme le droit à l’oubli lorsqu’aucun motif légitime ne s’y oppose. Les GAFA devront se conformer à la réglementation européenne, sous peine d’une amende pouvant atteindre 4% de leur chiffre d’affaires annuel!

Enfin, les internautes pourront contester la publicité ciblée.

Par contre, la fixation de l’âge à partir duquel un jeune peut s’inscrire à un réseau social sans l’accord de ses parents reste de la compétence de chaque État.

Ces différentes mesures devraient être définitivement adoptées au cours du 1et trimestre 2016, pour ne rentrer en vigueur qu’en 2018.

Le pot de terre contre le pot de fer

numerama.com

C’est avec une dimension internationale impliquant l’Autriche, l’Irlande, la Californie, mais aussi l’Europe, qu’un avocat autrichien se bat depuis plusieurs années contre Facebook. Il s’agit de Max Schrems. Vous avez probablement déjà entendu parler de lui. Il a en effet déclaré la guerre à Facebook. Plus de 20 procès et la création d’Europe vs Facebook.

Entre autres reproches, celui de transmettre aux services américains, dans le cadre du programme Prism, des données personnelles des membres européens de Facebook. Et l’enjeu est important puisqu’en Europe, le réseau social compte plusieurs centaines de millions d’adhérents.

Rejeté dans un premier temps par la justice irlandaise (c’est du siège européen irlandais que partiraient les fameuses données), la plainte vient d’être admise par une Cour d’Appel.

Bien-sûr, ce n’est pas encore la victoire. L’action en justice étant déclarée recevable, on peut imaginer qu’une enquête va être ordonnée, aux fins de savoir la vérité sur les modalités et le contenu de ces éventuels transferts. Et d’emblée on peut penser que cette enquête sera longue et difficile, les GAFA n’ayant pas vraiment l’habitude de se montrer collaboratifs.

Outre la complexité de l’enquête, l’imbrication de multiples législations applicables ne va pas arranger le débat. En attendant un éventuel droit international d’internet..

Max Schrems a aussi appelé tous ceux qui le souhaitent à se joindre à son action dans une sorte d’action collective autorisée par le droit autrichien (vous suivez?). Mais la Cour d’Appel a refusé cette action collective, n’acceptant pour l’heure que l’action individuelle de notre avocat.

En faveur de cette action, la prise de position de la CJUE qui avait dernièrement déclaré le cadre des transferts de données « non valide »…

Que nos données personnelles sur internet soient récupérées, les internautes en sont désormais bien avertis. On le sait, toute action laisse des traces sur la toile. A chacun d’être vigilant. Ce qui ne supprime pas pour autant l’intérêt de l’action de Monsieur Schrems! D’autant qu’à notre connaissance il s’agira du 1er procès civil en Europe contre Facebook. A suivre donc…

AFFICHAGE NUMERIQUE, LA CNIL VEILLE AU GRAIN

 sans-titre 2

source visuel : http://www.jcdecaux.fr

JC Decaux exploite sur le parvis de la Défense des mâts « Agora Digitale« , dont la vocation est double, à la fois espaces publicitaires et espaces d’information du public. La Société a présenté une demande à la CNIL pour être autorisée à capter les adresses des mobiles des passants dans un rayon de 25 mètres. Dans une décision du 16 juillet publiée seulement fin septembre, la CNIL reconnaît d’abord le bien fondé de cette demande. En effet, pour bien vendre un espace publicitaire par affichage, les annonceurs ont besoin de connaître le passage.

Mais sur le fond, la CNIL rejette la demande au motif que, selon elle, l’anonymat des données récoltées n’est pas respecté. Techniquement, c’est un peu compliqué, mais on va faire simple. Les données captées sont envoyées toutes les 2 mn à Francfort, où elles sont tronquées puis effacées des archives. Mais les adresses des personnes qui passent plusieurs fois devant les mâts génèrent un même identifiant. La CNIL considère donc qu’un individu peut ainsi être isolé d’un ensemble, ce qui est contraire à un total anonymat.

En conséquence, selon la loi, les passants doivent être avertis et pouvoir s’opposer au captage de leur adresse mobile. JC Decaux avait installé un avis d’information, mais celui-ci étant au format A4, la CNIL considère qu’il ne peut être visible dans un rayon de 25 mètres.

 

Une plainte « monstre » contre Facebook

numerama.comsource visuel : numerama.com

60 000 européens ont demandé (via un site internet) à ralier la plainte contre Facebook déposée par Maximilian SCHREMS devant le Tribunal de Commerce de Vienne.

Même si dans un premier temps l'auteur de la plainte dit ne pouvoir retenir que 25 000 des 60 000 demandes, voici une "class action" qui va sans doute faire couler beaucoup d'encre!

A l'origine de cette plainte, cet avocat autrichien, Maximilian Schrems qui avait découvert il y a quelques années que son compte Facebook (ouvert en 2007) représentait quelques 1222 pages de données collectées par le réseau social

Quel enjeu?

Il faut d'abord comprendre que les législations américaine et européenne sont très différentes en la matière. Le droit européen est plus protecteur des données personnelles de l'utilisateur.

Monsieur Schrems s'en prend notamment au Graph search, au tracking à travers les like, et à la transmission, non autorisée par le membre, de données personnelles.

Au-delà, on peut aussi faire le rapport avec les récentes décisions de Bruxelles en matière de droit à l'oubli. Et on se souvient que Bruxelles a obtenu récemment plusieurs succès en la matière, y compris contre Google.

Financièrement, il y a aussi un petit enjeu pour le réseau social puisque 500€ de dommages et intérêts sont demandés par plaignant.

Enfin, si cette plainte est déposée présentement contre Facebook, c'est bien sûr l'ensemble des réseaux sociaux qui pourrait demain être concerné. Et n'oublions bien-sûr pas Google…