GuiGui's Show

La CNIL publie de la documentation (lignes directrices, recommandations, guide, référentiel) afin d’orienter les responsables de traitement, sa famélique action répressive, et, plus rarement, les personnes concernées.

Durant la préparation, la CNIL réalise des consultations du public… et/ou des concertations privées et opaques sur invitation à sa discrétion, souvent avec les seuls représentants des industriels, ou selon des modalités favorables à ceux-ci (périmètre élargi et/ou flexible, durée, format des réponses, etc.).

[…]

Mais, la CNIL ne s’est pas arrêtée en si bon chemin !

[…]

Donc, deux des plus importants représentants des entités qui nous fliquent le plus [l'Alliance Digitale et le GESTE] ont été de nouveau auditionnés par la CNIL, par son organe de décision, juste avant son examen d’un projet de recommandation lourdement contesté et issu d’une concertation privée de quasiment un an qui leur a fait la part belle. « Un format inhabituel » auquel PURR, et plus largement la société civile, n’a pas été conviée.

La CNIL se renferme toujours plus dans son opacité, sa compromission avec les acteurs qu’elle est censée réguler n’en est que toujours plus évidente, et elle s’éloigne toujours plus des personnes concernées qu’elle est censée protéger qui, dès lors ne peuvent plus avoir confiance en elle.

PURR s’oppose vivement à ces pratiques délétères de la CNIL.

Étonnamment, quand notre Association avait, elle, demandé à rencontrer la CNIL, nous avions été explicitement refusé au motif d’un manque de disponibilité de son Secrétaire Général, puis totalement ignoré par sa Présidente qui n’avait même pas répondu à notre courrier.

Rigolez pas, c'est avec votre pognon que la CNIL fait ça, environ 30 millions d'euros par an. 😡️

Vache… 😭️

Les dimanches début d'aprem en famille devant Walker Texas Ranger… Les films… Les personnages extrêmement solitaires et débrouillards… Les Chuck Norris Facts… 😭️

+ Yubico Authenticator sur F-Droid

Logiciel libre (licence Apache) pour de la 2FA / MFA standard (TOTP) avec une Yubikey (j'insiste, la clé ne sera pas utilisée comme une clé d'accès physique via les normes WebAuthn/FIDO2).

Comme FreeOTP ou Aegis Authenticator, mais protégé par la détention d'une Yubikey en sus.

L'arrêt rendu par la chambre criminelle de la Cour de cassation le 17 mars 2026 élargit le secret des sources des journalistes, au-delà des espaces habituellement protégés. Une évolution se fait donc sentir vers une protection fonctionnelle de ce secret.

[…]

L'article 56-2 du code de procédure pénale (cpp) définit des modalités particulières de perquisition, dans le cas où la presse est visée par les investigations. Une motivation très précise est exigée ainsi que la présence d'un magistrat. Mais en l'espèce la difficulté n'est pas là. Elle réside exclusivement dans l'applicabilité de l'article 56-2. Il énonce en effet que ces perquisitions se déroulent "dans les locaux d'une entreprise de presse ou de communication (...), dans le véhicule professionnel ou au domicile du journaliste". Dans l'affaire jugée le 17 mars, les documents ont été saisis dans un restaurant, c'est-à-dire en dehors des lieux protégés par le code de procédure pénale.

La loi du 4 janvier 1993, premier texte en la matière, introduit dans le code de procédure pénale un article 109 qui énonce que "tout journaliste, entendu comme témoin sur des informations recueillies dans l'exercice de son activité, est libre de ne pas en révéler l'origine". Certes, mais ces dispositions figurent dans le titre III du code, consacré à l'instruction. Le secret des sources ne peut alors être invoqué que dans le cabinet du juge d'instruction, mais la loi n'interdit pas à ce dernier d'obtenir des informations par d'autres moyens. Cette possibilité a toutefois été sanctionnée par la Cour européenne des droits de l'homme (CEDH) dans deux arrêts successifs Martin c. France du 12 avril 2012 et Ressiot c. France du 28 juin 2013. La loi du 4 janvier 2010 intervient ensuite pour définir les lieux concernés, ceux-là mêmes qui figurent dans l'article 56-2 du code de procédure pénale.

Si récent 😮️.

[…]

Au nombre de ces garanties procédurales figure la possibilité de susciter un contrôle préventif par un juge compétent pour vérifier que la remise des pièces saisies répond à un "impératif prépondérant d'intérêt public". La chambre criminelle constate qu'en l'espèce le JLD est effectivement compétent, mais qu'il est saisi par le procureur pour obtenir la communication des pièces. Le journaliste, quant à lui, n'a pas la possibilité de s'opposer à cette communication de manière préventive, et il ne peut que contester a posteriori l'autorisation donnée par le JLD. Aux yeux de la cour de cassation, cette procédure n'est pas conforme à la Convention européenne des droits de l'homme, surtout dans la mesure où la CEDH, notamment dans l'arrêt du 30 août 2022 Sergei Sorokin c. Russie, exige un contrôle préalable à toute communication de données électroniques appartenant à un journaliste.

[…]

Un nouveau texte ne doit cependant pas être rédigé par des lobbies. On se souvient que, le 10 novembre 2016, le Conseil constitutionnel a censuré une disposition législative qui supprimait la notion "d'impératif prépondérant d'intérêt public" pour la remplacer par une énumération des infractions susceptibles de justifier une atteinte au secret des sources. Sur ce point, le lobby de la presse s'était manifesté de manière quelque peu excessive et il était ainsi affirmé qu'en matière correctionnelle on ne pouvait porter atteinte au secret que pour prévenir une infraction, et pas pour réprimer un délit. Il devenait ainsi impossible de se livrer à des investigations concernant des faits constitutifs d'une association de malfaiteurs en vue d'actes de terrorisme. Pour le Conseil constitutionnel, le législateur n'avait pas assuré "une conciliation équilibrée entre la liberté d'expression et la sauvegarde des intérêts fondamentaux de la Nation, la recherche des auteurs d'infractions et la prévention des atteintes à l'ordre public (...)".

😅️

+ Guide sur le contrôle d'identité, la reco faciale, etc.
+ Autres guides pour savoir comment réagir face aux flics
+ La reconnaissance faciale déployée à grande échelle sur les téléphones des forces de l’ordre
+ 32 millions de contrôles d'identité par an hors routier, évidemment discriminatoires
+ Reco faciale TAJ hors contrôles d'identité

Aujourd’hui, nous lançons une offensive contre l’utilisation de la reconnaissance faciale, par la police, lors de simples contrôles d’identité dans la rue. En partenariat avec le média Disclose, nous publions un guide démontrant l’illégalité de cette pratique et, plus généralement, les dangers de cette technologie. Face à l’inaction des tribunaux, de la CNIL et des pouvoirs publics, il est temps de riposter et de s’organiser pour que ces pratiques soient sanctionnées et que soit enfin actée l’interdiction de la reconnaissance faciale.

Beaucoup pensent que la reconnaissance faciale n’existe pas en France, et que cette technologie serait réservée à des pays lointains et autoritaires. Pourtant, cela fait des années que la police s’en sert chaque jour, de façon illégale, sous la supervision de l’État. À travers le fichier de traitement des antécédents judiciaires (dit « TAJ »), les agents ont accès à un module de reconnaissance du visage aussi bien dans le cadre d’enquêtes que dans la rue, grâce à leur téléphone « NEO » . La reconnaissance faciale est ainsi massivement utilisée, de façon sauvage, par la police lors de contrôles d’identité. Pourtant, comme le révèle Disclose, cette pratique est totalement interdite. De plus, il n’existe aucun texte qui prévoie la manière dont la reconnaissance faciale peut être utilisée, par qui, dans quelle situation, avec quel contrôle. En dotant des milliers de policiers et gendarmes de ces outils, le ministère de l’intérieur a donc sciemment organisé une surveillance abusive et illégale.

Dès 2021, nous nous faisions l’écho de témoignages et de reportages attestant de cette pratique. Par ailleurs, nous attaquions – en vain – la reconnaissance faciale devant le Conseil d’État. Puis, en 2022, nous lancions une plainte collective devant la CNIL contre le fichier TAJ. Nous y pointions notamment le fait que la police prenne en photo les personnes lors de contrôles d’identité ou au cours de manifestations. Celle-ci est toujours en cours d’instruction et nous n’avons pour le moment pas de nouvelle. Cette utilisation de la reconnaissance faciale par la police continue d’être documentée, par exemple par le Bondy Blog à Paris en 2024, mais demeure toujours illégale.

+ Les caméras "augmentées" devant les écoles niçoises
+ La justice confirme enfin l’illégalité de Briefcam

En l'espèce, et c'est tout l'apport de la décision de la CAA de Nantes, le juge confirme l'émergence d'un principe selon lequel la surveillance algorithmique de l'espace publique n'est pas illicite en tant que telle, mais nécessite une habilitation législative explicite.

[…]

La jurisprudence de la CEDH n'est pas très différente de celle issue en France du Conseil d'État. Sans doute insiste-t-elle davantage sur la prévisibilité de la loi, mais l'exigence d'un encadrement précis et législatif de ces technologies demeure identique.

[…]

Cette jurisprudence construit ainsi un droit public de la surveillance par intelligence artificielle, qui pourtant devrait bientôt apparaître comme transitoire. L'AI Act, règlement adopté par le parlement européen le 13 mars 2024 puis par le Conseil le 21 mai 2024, est censé être en vigueur depuis août 2024, mais la plupart des dispositions relatives aux systèmes à haut risque pour les libertés ne seront applicables qu'en août 2026.

Ces dispositions européennes reposent sur une autre logique. Elles ne s'appuient plus sur un contrôle juridictionnel a posteriori, mais sur une régulation qui crée une catégorie de systèmes "à haut risque" énumérés dans l'AI Act. Ils seront soumis à des obligations renforcées de documentation, d’évaluation des risques, de transparence et de supervision humaine. Certains usages, en particulier la reconnaissance biométrique en temps réel dans l’espace public à des fins répressives, feront l’objet d’interdictions de principe assorties d’exceptions strictement encadrées.

De fait, le juge administratif n'aura plus seulement pour mission d'apprécier la proportionnalité du dispositif de surveillance au regard des impératifs d'ordre public et de respect de la vie privée. Il devra surtout évaluer la conformité technique et l'efficacité du système d'intelligence artificielle, dans un cadre beaucoup plus contraignant imposé par l'AI Act. Ce dispositif sera-t-il plus efficace ? On attend de voir, mais les sujets d'inquiétudes sont nombreux, à commencer par la tentation d'opter pour un régime déclaratoire qu'affectionne déjà le droit de l'Union, sous l'influence du lobby des entreprises du secteur. Pour résumer, les industriels de l'IA et les acheteurs des systèmes déclarent être en conformité avec la réglementation européenne... et dès lors qu'ils le disent, on se borne à présumer qu'ils le sont.

#VSA #Vidéo-surveillance algorithmique

+ Des emails en .gouv.fr, du CAC40 et d’écoles passent aussi chez Google et Microsoft
+ French Tech : 9 start-ups sur 10 confient leurs emails à Google ou Microsoft

En 2023, ma mairie voulait que j'lui envoie un courriel pour actualiser la déclaration d'un syndicat de salariés, avec les justificatifs d'identité, tout.

dig MX m'avait montré un serveur de messagerie en mail.protection.outlook.com, donc Microsoft.

J'ai déposé le dossier papier sur le bureau du préposé, un haut placé, en lui expliquant la situation : « balek, fréro lol ».

J'ai déposé une plainte CNIL (voir ici) : « balek fréro lol y a le Data Privacy Framework t'sais » aka courriel-type informel rédigé au conditionnel.

Côté sites web, c'est pareil : la CNIL, Légifrance, etc. recourent à Cloudflare et/ou à d'autres acteurs états-uniens.

Voilà, voilà. 😑️ Après, ça peut bien jaser de souveraineté, de protectionnisme, de circuit court, patati, patata. Faites ce que je dis, pas ce que je fais.

Via https://sebsauvage.net/links/?FdhiQw.

\o/

Plainte CNIL en décembre 2018. Amende CNIL en juin 2023. Décision CE en mars 2026. 7 ans… 😑️

Retrait consentement : prise en compte défaillante + n'entraînait pas la suppression des DCP collectées + absence preuve consentement + manque de transparence + réponse incomplète à droit d'accès + encadrement défaillant des RT conjoints.

Le consortium à l'origine du projet s'appelle UnifiedAttestation. Il est porté par quatre acteurs européens : Volla Systeme (Allemagne), Murena (qui développe le système /e/OS), le « reconditionneur dégoogliseur » Iodé (France) et Apostrophy (Suisse). Leur cible : Play Integrity, le mécanisme par lequel Google certifie qu'un appareil Android respecte certains critères de sécurité.

Concrètement, lorsqu'une application bancaire ou un portefeuille numérique se lance, elle interroge Play Integrity pour savoir si le téléphone est « approuvé ». Si l'appareil utilise une version d'Android dépourvue des services Google, la réponse est négative. L'appli refuse alors de démarrer. Ce fonctionnement exclut de fait tous les systèmes alternatifs basés sur le projet libre AOSP (Android Open Source Project), comme /e/OS, LineageOS ou GrapheneOS.

Intéressant. 🙂️ À suivre.

Via https://sebsauvage.net/links/?0k7CEA.

‒ What's a superstition ?
‒ It's a way to train yourself to feel like any bad thing that happens is your fault.

🤣️