Link list
Les « conditions juridiques nécessaires » ne « semblent pas réunies » pour confier le mégafichier des données de santé françaises « à une entreprise non soumise exclusivement au droit européen », a estimé vendredi l’Assurance maladie, désignant ainsi implicitement Microsoft. La pilule ne passe toujours pas : saisi une nouvelle fois pour avis, sur le projet de décret devant graver dans le marbre les « modalités de mise en oeuvre » du gigantesque « système national des données de santé », le conseil d’administration de la Caisse nationale d’Assurance maladie (CNAM) ne s’est pas privé d’exprimer ses désaccords.
« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen (…) indépendamment de garanties contractuelles qui auraient pu être apportées », écrit cette instance dans une délibération adoptée à l’unanimité des membres qui ont pris position. La charge vise évidemment le géant américain Microsoft, choisi sans appel d’offres début 2019 pour héberger le Health Data Hub, gestionnaire désigné de ce fichier agrégeant les données de la Sécu, des hôpitaux ou des soignants libéraux, entre autres.
« Seul un dispositif souverain et uniquement soumis au RGPD (le règlement européen qui garantit aux usagers certains droits sur leurs données, ndlr) permettra de gagner la confiance des assurés », ajoute le conseil d’administration. L’instance juge qu’en attendant cette solution, les données « ne seraient mises à disposition du Health Data Hub qu’au cas par cas », uniquement pour « des recherches nécessaires à la prévention, au traitement et à la prise en charge de la Covid-19 ».
Google sait où vous êtes, les annonceurs aussi.
Avec un milliard d'utilisateurs actifs par mois, Google Maps sait tout. Non seulement les noms de toutes les rues, cafés, bars et magasins, mais aussi les endroits où les gens se rendent. Mais s’il a le pouvoir de suivre chacun de nos pas, cela ne veut pas forcément dire qu'il abuse de ce pouvoir. Mais il pourrait le faire s’il le voulait, ce qui est un problème en soi, d'autant plus que le siège de Google se trouve aux États-Unis, où la législation sur la vie privée est moins stricte qu'en Europe et où les agences de renseignement ont l'habitude de surveiller les particuliers (on vous voit, la NSA).
Oui, Google Maps est incroyablement utile. Mais voici quelques raisons qui vous inciteront à vérifier vos paramètres de confidentialité et à vous demander quelle quantité de données personnelles vous êtes prêt à sacrifier au nom de la commodité.
Google Maps veut accéder à l'historique de vos recherches
Dans les paramètres, il est dit que l’option « Activité sur le Web et les applications » permet à l’utilisateur de bénéficier d’une expérience plus rapide et plus personnalisée. En clair, cela signifie que chaque endroit que vous consultez dans l'application – qu'il s'agisse d'un club de strip-tease, d'un kebab ou de la localisation de votre dealer – est enregistré et intégré dans l'algorithme du moteur de recherche de Google pendant une période de 18 mois.
Google sait bien que tout cela est un peu flippant. C'est pourquoi l'entreprise utilise des dark patterns, c'est-à-dire des interfaces utilisateur conçues pour nous tromper ou nous manipuler, par exemple en mettant en évidence une option avec certaines polices ou des couleurs plus vives.
Nous avons donc créé un nouveau compte Google pour tenter de repérer ces dark patterns. Après avoir cliqué sur « Créer un compte », une fenêtre pop-up nous indique que le compte est « configuré pour inclure des fonctions de personnalisation » en petites lettres grises. En cliquant sur « Confirmer », nous acceptons d’activer l’option « Activité sur le Web et les applications » mentionnée ci-dessus. L’autre bouton, « Plus d'options », est moins visible et redirige vers une nouvelle page avec des explications denses et compliquées. Nous devons désactiver l’option manuellement.
Google Maps limite ses fonctionnalités si vous ne partagez pas votre historique de recherche
Si vous ouvrez l’application Google Maps, vous verrez un cercle avec votre photo de profil dans le coin supérieur droit qui indique que vous êtes connecté à votre compte Google. Ce n'est pas nécessaire, et il vous suffit de vous déconnecter. Évidemment, le bouton pour se déconnecter de votre compte est légèrement caché, mais vous pouvez le trouver comme ceci : cliquez sur le cercle > Paramètres > faites défiler vers le bas > Se déconnecter de Google Maps.
Google Maps peut vous balancer
Autre fonctionnalité problématique : « Vos trajets Google Maps » qui « affiche une estimation des lieux que vous avez visités et des itinéraires que vous avez empruntés d’après l’historique de vos positions. » Cette fonction vous permet de consulter les informations figurant dans vos trajets, y compris les modes de transports utilisés, comme en voiture ou à vélo. L'inconvénient, bien sûr, est que tous vos déplacements sont connus de Google et de toute personne ayant accès à votre compte.
Et il n’y a pas seulement les hackers dont vous devez vous méfier ; Google peut aussi fournir vos données à des agences gouvernementales comme la police. Sur sa page FAQ à ce sujet, Google indique que son équipe juridique évalue chaque cas individuellement. Tous les six mois, l'entreprise publie un rapport de transparence, mais rien n'est disponible pour 2020. Entre juillet et décembre 2019, Google a reçu 81 785 demandes de divulgation d'informations concernant 175 715 comptes dans le monde entier et a répondu favorablement à 74 % d’entre elles.
Si votre « historique des positions » est activé, votre téléphone « indique les positions des appareils sur lesquels vous êtes connecté à votre compte ». Cette fonction est utile si vous perdez votre téléphone, mais elle en fait surtout un véritable dispositif de suivi.
Google Maps veut connaître vos habitudes
Les avis Google peuvent être très utiles, mais une recherche rapide peut révéler des informations sensibles que les utilisateurs ont oubliées par inadvertance. Un exemple est celui d'un utilisateur (qui semble utiliser son vrai nom) qui a écrit la critique suivante sur un supermarché à Berlin : « Depuis quatre ans, j'y vais deux ou trois fois par semaine pour faire les courses pour ma famille. » Il va sans dire que le fait de partager ce type d'informations avec tout le monde peut être risqué.
Google Maps demande souvent aux utilisateurs de partager une évaluation publique rapide. « Comment était le Berlin Burger ? », demande l’application après votre dîner. Cette question a priori désinvolte et légère donne l’impression d’aider les autres, mais toutes ces informations sont stockées sur votre profil Google et toute personne qui le lira pourra facilement savoir si vous avez été quelque part pendant une courte période (par exemple en vacances) ou si vous vivez à proximité.
Si vous finissez par regretter un avis, Google vous donne au moins la possibilité de le rendre privé après l’avoir publié. Pour ce faire : Photo de profil > Modifier le profil > Profil et confidentialité > Faites défiler vers le bas > Profil limité. Si vous activez cette option, vous devrez approuver les personnes qui peuvent suivre votre profil et voir vos avis.
Google Maps n'aime pas que vous soyez déconnecté
Vous vous souvenez de la navigation GPS ? Elle était peut-être maladroite et lente, mais il n’était pas nécessaire d'être connecté à Internet pour être dirigé. En fait, d'autres applications offrent une navigation sans connexion Internet. Dans l'application Google, vous pouvez télécharger les cartes, mais la navigation hors ligne n'est disponible que pour les voitures. Il semble assez improbable que le géant de la technologie ne soit pas en mesure de guider les piétons et les cyclistes sans Internet.
Google donne l'impression que tout cela est pour votre bien
« La mission de Google consiste à proposer des expériences utiles et enrichissantes, pour lesquelles les données de localisation jouent un rôle essentiel », explique l'entreprise sur son site. Elle utilise ces données pour toutes sortes de choses utiles, comme la « sécurité » ou les « paramètres linguistiques ». Et, bien sûr, pour vendre des annonces. Google offre également aux annonceurs la possibilité de « mesurer le degré de notoriété de leur marque ».
Parfois, il existe de bonnes alternatives aux applications problématiques. C'est vrai pour WhatsApp, par exemple, mais pas pour Google Maps. Apple Maps a une politique de confidentialité plus stricte, mais elle n'est pas disponible pour Android. Des applications comme Here WeGo collectent aussi des données et ne sont pas aussi bonnes, mais si vous êtes un marcheur qui préfère rester hors ligne, OsmAnd et Maps.me peuvent au moins vous montrer le chemin sans passer par Internet.
La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. L’évolution des règles applicables marque un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
01 octobre 2020
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
Les grandes étapes
En 2013, la CNIL adoptait une première recommandation pour guider les acteurs dans la mise en œuvre des textes régissant à l’époque les opérations de lecture et d’écritures par des cookies.
Le 25 mai 2018, l’entrée en application du règlement général sur la protection des données (RGPD) est venue renforcer les exigences en matière de validité du consentement, rendant obsolète une partie de cette recommandation.
Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a donc entrepris d’actualiser en deux temps ses cadres de référence.
Le 4 juillet 2019, la CNIL a ainsi adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
En parallèle, la CNIL a également décidé d’établir, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation. Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute.
Ce projet a été soumis, le 14 janvier dernier, à une consultation publique, dont les apports ont permis d’enrichir la version finalement adoptée le 17 septembre 2020.
L’évolution des règles applicables
L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
Les grands principes confirmés par la CNIL
Concernant le consentement des utilisateurs :
la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
Refuser les traceurs doit être aussi aisé que de les accepter.Concernant l’information des personnes :
- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.Les traceurs exemptés du recueil de consentement
Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
Les recommandations de la CNIL
Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.
En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
Afin de répondre aux questions des acteurs concernés et des internautes, la CNIL propose une FAQ accompagnement la publication des lignes directrices et de la recommandation.
Vers une mise en conformité des acteurs concernés
La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy.
Comme elle l’avait annoncé, elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
Si la CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.
SauteNuage est un site qui traite de la vie privée sur internet. Il explique simplement pourquoi et comment vous échapper du pistage et autres atteintes à la vie privée sur internet à travers des guides colorés dans une interface très épurée.
Le site est divisé en 2 catégories :
- Pratique
- Pourquoi ?
Dans la première catégorie, on trouve des articles comme :
- Utiliser Windows 10 sans se faire Pister
- Utiliser son Clavier sans se faire Pister
- Lire les conditions d’utilisation, sans les lire
- Diviser pour mieux Naviguer (et moins vous faire Pister)
- Prendre des Notes sans se faire Pister
- etc
Dans la seconde catégorie, on trouve d'autres thèmes comme :
- Collecte de Données : le problème de la Dictature
- Snowden, NSA, Surveillance de Masse… Késako ?
- Voilà pourquoi la Publicité Ciblée n’est pas saine
- Revente, partage… Qui a vraiment vos Données sous les yeux ?
- Employés indiscrets… Qui a vraiment vos Données sous les yeux ?
- etc
L'auteur a aussi prévu des guides (appelés Nuages) pour vous guider étape par étape pour améliorer votre vie privée sur internet. Pour l'instant, seul le Nuage 1 (guide 1) est paru, le Nuage 2 (guide 2) est prévu pour plus tard.
Ce site est un peu mystérieux car on ne sait pas qui en est l'auteur et il n'y a pas de page "A propos", comme de coutume sur la plupart des sites web. Les articles n'en demeurent pas moins intéressants, mais le fait qu'il n'y ait aucune info sur le site et l'auteur des articles est un peu surprenant.
Une note interne du Pentagone avertit les soldats américains des dangers des tests génétiques. Les données des militaires pourraient fuiter et être utilisées par des gouvernements hostiles aux États-Unis.
“Donner des informations détaillées sur son patrimoine génétique à des sociétés privées peut avoir de graves conséquences pour les forces militaires”, avertit une note interne du Pentagone dévoilée par le site Yahoo News. Les plus hauts gradés de l’armée américaine estiment que les données génétiques collectées par des entreprises comme 23 And Me, ne sont pas régulées et pourraient être revendues ou fuiter vers des gouvernements hostiles aux États-Unis.
Si le Pentagone ne détaille pas plus précisément les menaces sur la diffusion de ces données génétiques, certains scénarios possibles sont décrits dans cette note interne. Des agences d’espionnage étrangères pourraient avoir accès à des données compromettantes sur un officier américain comme une maladie héréditaire par exemple et le faire chanter pour qu’il soit obligé de donner des informations clefs à l’ennemi. Une inquiétude fondée. En février 2019, l’entreprise FamilyTreeDNA a révélé qu’elle laissait régulièrement le FBI fouiller dans ses banques de données de ses clients afin de résoudre plus facilement des crimes. Les clients FamilyTreeDNA n’avaient jamais donner leur accord pour que leurs données soient partagées.
Les hauts gradés de l’US Army affirment également que les kits pour analyser son patrimoine génétique peuvent donner des résultats imprécis sur des prédispositions à certaines maladies. Ces données erronées pourraient engendrer de faux diagnostics sur la condition médicale d’un militaire et peut-être freiner sa carrière. Certains officiers appellent même à une loi visant à mieux réguler ces entreprises de tests génétiques pour éviter de futures fuites et de mieux protéger la vie privée des citoyens américains.