Une cartographie des caméras de surveillance de l'espace public, en sus du vénérable sous-surveillance.net.
Je suis attristé de constater que, dans ma ville, les deux jeux de données (sous-surveillance.net et Surveillance under surveillance) divergent beaucoup et sont incomplets (la somme des deux compose un tout plus vraisemblable mais encore incomplet)
La qualité des données de Surveillance under surveillance dans ma ville laisse à désirer : toutes les caméras marquées comme filmant un extérieur privé filment l'espace public (sans extérieur privé à proximité).
Les caméras de sous-surveillance.net n'ont pas l'air d'être référencées dans OSM. Je trouve que c'est un bon point pour Surveillance under surveillance : mutualisation, regroupement de toutes les données géographiques, pérennité. Les caméras sont du mobilier urbain.
Autre outil phare de la Technopolice : la reconnaissance faciale. Rappelons-le : la reconnaissance faciale est (malheureusement) autorisée en France. La police ou la gendarmerie peuvent identifier des personnes grâce à leurs visages en les comparant à ceux enregistrés dans le fichier du traitement des antécédents judiciaires (TAJ). L’utilisation qui en est faite par les services de sécurité est aujourd’hui massive, estimée à plus de 600 000 fois en 2021 (donc plus de 1600 fois par jour). [ selon un rapport parlementaire ]
C'était déjà le cas en 2019 et 2020.
Il est néanmoins assez rare d’avoir des exemples concrets de son utilisation pour comprendre comment et sur qui la police utilise ce dispositif. À ce titre, comme souligné dans l’article de Rebellyon, la reconnaissance faciale a été utilisée pour incriminer des personnes censément impliquées dans l’affaire Lafarge, avec l’utilisation d’images tirées de la réquisition des vidéosurveillances des bus de la ville pour les comparer au fichier TAJ. […]
Hum… Ça sent le détournement de finalité, quand même…
Même chose pour la manifestation de Sainte-Soline : dans un article de juillet 2023, Médiapart relate que les quatre personnes qui ont comparu ont été retrouvées grâce à la reconnaissance faciale. Un premier procès plus tôt, déjà sur Sainte Soline, fait également mention de l’utilisation de la reconnaissance faciale.
[…]
Parmi les plus préoccupants, les produits de marquage codés. Il s’agit de produits, tirés par un fusil type paintball, invisibles, indolores, permettant de marquer une personne à distance et persistant sur la peau et les vêtements. Ils peuvent être composés d’un produit chimique ou d’un fragment d’ADN de synthèse, se révélant à la lumière d’une lampe UV, porteurs d’un identifiant unique pour « prouver » la participation à une manifestation.
Comme rappelé par le collectif Désarmons-les, c’est dès 2021 que Darmanin annonce l’expérimentation de ce dispositif. Il semble être ensuite utilisé pour la première fois en 2022 lors d’une première manifestation contre la bassine de Sainte-Soline (via l’utilisation par la police de fusils spéciaux, ressemblant à ceux utilisés par les lanceurs paintball). En 2022, Darmanin dénombrait déjà plus de 250 utilisations de ce dispositif.
En 2023, son utilisation est de nouveau remarquée pour la manifestation contre la bassine de Sainte-Soline. Elle entraîne la garde à vue de deux journalistes qui ont détaillé à la presse la procédure suivie par la police et la gendarmerie pour récupérer et analyser la trace de peinture laissée par le fusil PMC.
[…] Un rapport parlementaire de novembre 2023 rappelle néanmoins que son utilisation se fait aujourd’hui sans aucun cadre légal, ce qui la rend purement et simplement illégale.
Côté gouvernement, après l’avoir expérimenté sur les militants sans aucun cadre légal, le ministère de l’intérieur semble pour l’instant avoir suspendu son utilisation.
On apprend également que la cellule anti-ZAD du ministère de l'Intérieur a été créée. Comme quoi, des choses peut aller vite : annoncée en avril, créée en septembre.
Suite de ceci (deuxième point) :
Dans les deux cas, les recours, déposés début 2022, sont en cours de traitement par le Conseil d'État.
Le déclin des démocraties s'opère le plus souvent sous le couvert de la lutte contre le terrorisme. De la Rome antique au Washington contemporain, la peur a toujours été la meilleure ennemie de l’État de droit. Au motif légitime de protéger la population, et en général avec son plein accord, les gouvernants s'affranchissent des règles qui contraignent leur action. Ils portent alors directement atteinte au principe de la séparation des pouvoirs lequel, depuis Montesquieu, constitue l'étalon de toute société démocratique. C'est bien cela qui est en jeu quand nous décidons d’expulser des ressortissants étrangers soupçonnés de terrorisme au risque d'être torturés dans leur pays d'origine.
La polémique a enflé ces dernières semaines. Après l'odieux assassinat d'Arras, Gérald Darmanin a affirmé vouloir procéder à des renvois immédiats d'étrangers jugés dangereux par ses services. C’est ainsi qu'un Ouzbek a été expulsé en urgence malgré une mesure provisoire de protection qui lui avait été accordée par la Cour EDH. Cette dernière avait pourtant jugé qu'un renvoi dans son pays d’origine présentait un risque trop important pour son intégrité physique. Le Conseil d'État, saisi du dossier dans la continuité de la solution européenne, vient d'enjoindre à la France de prendre toutes les mesures utiles afin de permettre son retour. Lire ici ]
Dans un État de droit, le Gouvernement n'aurait aucun choix. Condamné par la Cour européenne comme par la Cour administrative suprême, il devrait s'exécuter. Dans un État de droit, oui mais pas en France. En France, le ministre de l'Intérieur « assume ». Pour Gérald Darmanin : « Qu'importe les décisions des uns et des autres », il va « tout organiser » pour que l’expulsé « ne puisse pas revenir ». Un représentant du Gouvernement choisit ainsi publiquement de ne pas exécuter une décision de justice définitive. Voilà pour le respect de la séparation des pouvoirs.
Plusieurs observations : d'abord, c'est à force d'exceptions que disparait la règle. Porter atteinte à la garantie des droits pour quelque utile raison que ce soit à court terme, présente toujours un danger à long terme. L'histoire la plus récente et l'expansion en Occident de l'illibéralisme est là pour nous le rappeler. Ensuite, en opposant volonté politique et autorité judiciaire, un ministre porte nécessairement atteinte à l'unité de l’État en affaiblissant les Institutions. Dénigrer l'autorité des juges c’est dévaloriser aux yeux de la Nation le seul contre-pouvoir susceptible de limiter les ambitions souverainistes d’un prochain gouvernement. C'est d'autant plus dangereux quand on sait qu'un tel Gouvernement ne manquerait pas de se fonder sur sa légitimé élective et donc populaire pour méconnaitre les libertés individuelles. Enfin, sans angélisme peut-on encore parler d'humanisme ? Voulons-nous vraiment être ce pays qui, sur la base de soupçons policiers, seraient-ils justifiés, renvoie sans vergogne des personnes dans un pays dans lequel nous savons qu'elles risquent d’être torturées voire tuées.
Le fondement des démocraties est de garantir les libertés de tous y compris celles de ses ennemis. Y voir une faiblesse, c'est accepter de perdre notre âme et avec elle le combat que nous sommes en train de mener.
Énorme +1. Ne jamais être aussi con que ses ennemis.
Le fait que la moindre administration, pas uniquement les ministères, donc, passe son temps à s'exonérer de rendre des comptes, à n'en faire qu'à sa tête, persuadée d'être dans le Bien (tm), au point de se saborder en service rendu au citoyen, est un problème clé et ancien…
Je m'interroge quand même sur ce juge qui se désarme par avance en ne prononçant pas d'astreinte à respecter son injonction.
(Je ne partage pas le point sur la justice comme rempart à l'extrême-droite. Cf. les tribunaux nazis à partir de 1933. Comme Sureau, je pense qu'il ne faut pas fétichiser le juge, la séparation des pouvoirs est une question d'institutions et de volonté du peuple, si le peuple dérive, la justice dérivera.)
ÉDIT DU 18/01/2024 : voir aussi Juger n’est pas une opinion de l'Union syndicale des magistrats administratifs (via) qui traite de « difficultés chroniques d’exécution des jugements, en particulier dans le contentieux des étrangers » en sus de l'entêtement du préfet des Alpes-Maritimes à interdire les manifestations pro-palestiniennes, et de celui du préfet de police de Paris d'interdire les manifestations d'extrême-droite. FIN DE L'ÉDIT DU 18/01/2024.
Dans une décision rendue sur question prioritaire de constitutionnalité (QPC) M. Sékou D., le 24 novembre 2023, le Conseil constitutionnel déclare conforme à la Constitution la création des nouvelles cours criminelles départementales. Ces juridictions nouvelles ont pour particularité de confier des affaires criminelles non plus aux cours d'assises organisées autour d'un jury populaire mais à un groupe de magistrats siégeant en formation collégiale. [ Uniquement pour les crimes passibles de moins de 20 ans de placard. ]
[…]
La décision d'expérimenter ces cours criminelles a été prise avec la loi Belloubet du 23 mars 2019 de programmation et de réforme pour la justice . Elles ont été mises en place par un simple arrêté du 25 avril 2019 dans sept départements volontaires pour participer à l'expérience. Le groupe a été élargi à trente départements en mai 2020, puis à trente-six en août. Finalement, l'article 9 de la loi du 22 décembre 2021 pour la confiance dans l'institution judiciaire généralise la réforme, à compter du 1er janvier 2023.
[…]
Le premier résidait dans la rupture d'égalité devant la loi. Mais en l'espèce, le Conseil est fondé à soutenir que les justiciables concernés sont dans une situation différente, puisque les uns sont passibles de peines inférieures à vingt ans d'emprisonnement, et les autres sont passibles de peines supérieures à vingt ans.
[…]
Reste le second moyen, le plus susceptible d'emporter la conviction du juge constitutionnel. Les requérants ont en effet invoqué l'existence d'un principe fondamental reconnu par les lois de la République (PFLR) imposant l'intervention d'un jury populaire pour juger les crimes de droit commun. Les PFLR sont mentionnés dans le Préambule de 1946, mais ils ne font l’objet d’aucune définition, laissant finalement au Conseil le soin d’en définir le contenu. […]
Tout d'abord, le Conseil, dans sa décision du 24 novembre, ne précise pas si l'intervention du jury populaire pour juger des crimes concerne ou non les libertés [ premier critère ]
En revanche, le Conseil constitutionnel s'interroge clairement sur le second critère du PFLR, mentionné dès sa décision du 20 juillet 1988. Il exige en effet que le principe consacré trouve son origine dans une loi antérieure à 1946. Encore faut-il que cette loi soit « républicaine ».
En l'espèce, le Conseil observe que "dans leur très grande majorité, les textes pris en matière de procédure pénale dans la législation républicaine intervenue avant l’entrée en vigueur de la Constitution de 1946 comportent des dispositions prévoyant que le jugement des crimes relève de la compétence d’une juridiction composée de magistrats et d’un jury".
Mais il n'en est rien, et c'est le troisième critère qui empêche le Conseil de consacrer le nouveau PFLR. Il réside dans l’application continue jusqu’à nos jours de l’obligation créée par le PFLR.
Aujourd'hui, le Conseil relève que "en dépit de son importance, le principe de l’intervention du jury en matière criminelle a été écarté par les lois des 24 février 1875, 9 mars 1928 et 13 janvier 1938 ".
La décision du 24 novembre 2023 applique donc exactement la même recette, alors même que les juridictions mentionnées par les lois de 1928 et 1938 étaient des juridictions spécialisées ou d'exception. Les cours criminelles en revanche sont des juridictions de droit commun.
Intéressant, mais j'identifie plusieurs limites de l'exercice :
Je pensais que la transformation de Pôle emploi en France travail constituait un regroupement de la multitude de structures existantes. Mais pas du tout. Il y aura tout un « réseau pour l'emploi » (État, département, France travail, missions locales, acteurs privés, etc.). Gé-ni-al, une nouvelle hydre, on en manquait.
Le Conseil constitutionnel a censuré le transfert, sans garanties (encadrement), de trop de données perso (y compris médicales) entre trop d'acteurs dudit réseau. Suite prévisible : le législateur va pondre des garanties de pacotille et hop. :(
Sur l'imposition d'activités aux bénéficiaires du RSA (pas avant 2025, a priori) :
Nouveautés sympas pour les handicapés en ESAT : droit de grève, droit syndical (monter une section syndicale, le droit personnel de se syndiquer existait déjà), d'alerte, remboursement des frais de transport, tickets restau, complémentaire santé collective obligatoire, etc. (Je suis contre la complémentaire privée obligatoire, les tickets restau, etc., mais je me réjouis que les travailleurs en ESAT, qui n'ont pas de contrat de taff et qui ne dépendent donc pas du Code du taff, aient ces mêmes droits, même si tout le reste, dont la rémunération et la considération, n'est pas au rendez-vous.)
D'autres mesures pour les handicapés sont craignos, je trouve, comme un service numérique qui référence tous les aménagements dont ils ont bénéficié afin de faciliter la mobilité (ça sent le truc à la mon espace santé…) ou comme l'orientation "ESAT ou marché taff" des RQTH à l'initiative de France travail (je doute des compétences pour évaluer la meilleure option…).
Comme il s'agit de mettre les citoyens au turbin, la loi prévoit des mesurettes sur les crèches genre schéma de dév et de maintien d'une offre. Sans pognon, ça va envoyer du lourd, c'est sûr.
Trois arrêts de la CJUE de début décembre 2023. Communiqué de presse.
C-634/21 : si elle est utilisée de manière déterminante, une note d'évaluation en vue d'un crédit est une décision automatisée par profilage qui produit des effets (paragraphe 47 et suivants).
Banques et agences de notation se renvoyaient la balle, la CjUE a tranché : c'est l'agence qui prend la décision, elle n'effectue pas un acte préparatoire, sinon risque de contournement du RGPD (paragraphes 61 et 62).
Une décision automatisée est interdite sauf si elle est prévue par la loi (dans le cas d'espèce, le tribunal allemand a un doute sur la conformité de la loi allemande au droit de l'UE) ou qu'elle est nécessaire à l'exécution d'un contrat (dans le cas présent, la note n'empêche pas l'exécution du contrat, elle est une mesure additionnelle liée à de la gestion de risque, donc plouf) ou si le client y consent (son consentement doit être libre, donc un refus du traitement ne doit pas entraîner de conséquences négatives, donc on doit te prêter, donc la notation sert à rien).
Dans tous les cas, il faut prévoir des clauses de sauvegarde des droits, la possibilité de demander une intervention humaine et de contester la note, ainsi que fournir des réponses supplémentaire à une demande d'accès (logique sous-jacente, importance et conséquences de la décision, en gros).
Bref, ça complique le business, mais, contrairement à NOYB, je pense que ce n'est pas la fin des agences de notation de crédit…
C‑26/22 et C‑64/22 : sans surprise, une agence de notation ne peut pas conserver les données issues d'un registre public d'insolvabilité au-delà de la durée de conservation dudit registre.
Ces bases privées sont bâties sur l'intérêt légitime, et il appartient au tribunal allemand de renvoi de vérifier si elles y répondent (adéquates, nécessaires, proportionnées). D'un côté, les infos sont dispo dans le registre public, mais les agences les consolident, ce qui participe à la lutte contre la fraude & co. De l'autre, atteinte grave aux droits. Si le traitement est illicite, effacement des données, s'il est licite, alors droit d'opposition (le droit qui est jamais accordé par un RT qui trouve toujours un motif impérieux).
Il me semble que la France respecte déjà le reste de l'arrêt concernant les pouvoirs des APD et des tribunaux :
Point intéressant de l'arrêt : « L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 109). ».
Contexte rappelé dans le communiqué de presse :
L’Agence nationale des recettes publiques bulgare (NAP) est rattachée au ministre des Finances bulgare. […] Le 15 juillet 2019, les médias ont rapporté une intrusion dans le système informatique de la NAP, révélant qu’à la suite de cette cyberattaque, des données à caractère personnel concernant des millions de personnes avaient été publiées sur Internet. De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes quant à une utilisation abusive potentielle de leurs données.
Dans la décision :
[…] une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers » […] ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées »
[…] le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.
[…] afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.
[…] le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne […] du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers » […], ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable [ sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD, et notamment l’obligation de protection des données à laquelle il est tenu. ]
[…] la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition. [ Mais la crainte doit être fondée, dans les circonstances du cas d'espèce et de la personne du requérant ]
Cohérent avec les arrêts C-300/21 (pas de seuil pour réclamer une indemnisation) et C-807/21 (il faut un comportement fautif, c'est-à-dire une négligence ou violation délibérée du RGPD).
#CJUE #RGPD #C-340/21
Du fait des fameuses « Fiches S », le FPR est devenu l’un des fichiers les plus connus de France. C’est aussi l’un des plus couramment utilisés par les forces de l’ordre, du fait de la diversité des 600 000 personnes (580 000 en 2019, chiffre le plus récent d'après la CNIL) qui y sont fichées.
Un fichier que la CNIL trouvait déjà « fort hétérogène » en 2010, alors qu’il n’a cessé de s’élargir depuis. D’autant que le FPR est interconnecté avec pas moins de 22 autres fichiers (PNR, PARAFE, FIJAISV,…). Cela explique pourquoi le FPR est consulté chaque jour plusieurs centaines de milliers de fois. […] La CNIL note par ailleurs qu'il n'est « pas exclu » que des mises en relation soient effectuées avec, « en particulier », le traitement « NATALI » (mis en œuvre dans le cadre de l'instruction des demandes relatives à la nationalité française)
D’abord, le décret élargit le nombre de personnes ayant accès au FPR : agents des services du renseignement du ministère des armées (DRM, DGSE) et magistrats auront un accès élargi. Le renseignement pénitentiaire, les fonctionnaires qui suivent les contrôles judiciaires, mais également les inspecteurs de l'Office français de la biodiversité sont ajoutés à la liste. [ Mais aussi les agents du service national des enquêtes d'autorisation de voyage (SNEAV) ]
Il rajoute aussi des catégories de personnes fichées : certains demandeurs d’asile, certains étrangers menacés d’expulsion et les « personnes recherchées inconnues » (dont l’empreinte digitale a été trouvée lors d’un crime par exemple).
[…] Le FPR contiendra ainsi une « évaluation de la dangerosité ou de la vulnérabilité de la personne », pour noter si elle est armée, violente, si elle présente un risque de suicide, si elle est impliquée dans un acte de terrorisme ou susceptible de constituer une menace pour la santé publique. Le FPR notera en outre les « signes physiques particuliers » de la personne et pourra contenir des informations sur les objets en sa possession lors d’un contrôle (véhicule, armes). […] Il ajoute « plus d'une dizaine de catégories de données aux cinq catégories actuellement prévues par le décret »
Surtout, le décret fait discrètement sauter la phrase qui indiquait depuis 2010 que « la photographie ne fait pas l'objet d'un dispositif de reconnaissance faciale » Pour la CNIL, « au regard de ces éléments, les dispositions encadrant le FPR ne devraient pas permettre le recours à un dispositif de reconnaissance faciale ». [ Le service presse du ministère de l'Intérieur ] nous a indiqué que « cette suppression ne change rien sur le fond : pas plus qu'avant l'entrée en vigueur de ce décret n° 2023-979, la photographie contenue dans le FPR ne peut faire l’objet d’un dispositif de reconnaissance faciale, un tel dispositif devant être expressément autorisé par le traitement de données, à l'instar de ce que prévoient les dispositions réglementaires encadrant le TAJ ». Si le décret TAJ n’autorise pas clairement l’identification faciale, avec une procédure pour la mettre en œuvre, il indique que parmi les données pouvant être recueillies, ce fichier peut contenir la « photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale ».
Et, en pratique, un accès au Traitement des Antécédents Judiciaire (TAJ) par reconnaissance faciale se pratique depuis des années : 2019, 2020, 2021.
La Cour était saisie de dix-huit requêtes concernant l’application immédiate en cours d’instance d’un nouveau délai de recours contentieux, consacré par le Conseil d’État dans sa décision « Czabaj » du 13 juillet 2016 (Assemblée du contentieux, no 387763). Par cette dernière, le Conseil d’État a posé le principe selon lequel, en l’absence de mention des voies et délais de recours dans une décision prise par l’administration, il n’est possible de la contester hors délai légal ou réglementaire que dans un « délai raisonnable » qui ne saurait, en règle générale, excéder un an à compter de la notification ou de la connaissance de la décision, sauf à justifier de circonstances particulières.
En premier lieu, la Cour considère que la définition, par voie prétorienne, d’une nouvelle condition de recevabilité, fondée sur des motifs justifiant l’évolution de jurisprudence ayant conduit à la création d’un « délai raisonnable » de recours, ne porte pas, alors même qu’elle est susceptible d’affecter la substance du droit de recours, une atteinte excessive au droit d’accès à un tribunal tel que protégé par l’article 6 § 1 de la Convention.
En second lieu, la Cour considère que l’application immédiate aux instances en cours de cette nouvelle règle de délai de recours contentieux, qui était pour les requérants à la fois imprévisible, dans son principe, et imparable, en pratique, a restreint leur droit d’accès à un tribunal à un point tel que l’essence même de ce droit s’en est trouvée altérée. Il y a donc eu violation de l’article 6 § 1 de la Convention.
Où j'ai appris le petit nom de l'arrêt du Conseil d'État qui permet de porter le délai de recours de 2 mois à 1 an si l'administration n'indique pas les voies et délai de recours. \o/
L'extension de Czabaj aux décisions implicites, c'est CE 417270 de mars 2019.
En se basant sur les cas portés devant la CEDH, on peut comprendre que l'infini délai de recours contre une décision d'une administration ait été borné par le Conseil d'État en 2016 : un retrait de points de permis de conduire contesté 4 ans après ; des arrêtés d'expropriation contestés 26 ans plus tard (tu sens les terres qui ont pris de la valeur après l'expropriation ?) ; un doit de préemption sur un bien contesté 14 ans après (même remarque) ; un licenciement contesté après 2 ans (parce que pourquoi pas ?) ; etc.
Via https://nitter.privacydev.net/N_Hervieu/status/1722540220132794699.
On n'a pas le fin mot de l'histoire, mais le diagnostic technique est intéressant.
Comme l'"attaquant" était entre le serveur et Internet, il a pu générer des certificats x509 Let's Encrypt avec un autre compte LE et, peut-être, une autre méthode de validation parmi celles proposées par LE. Un enregistrement DNS CAA est impuissant, sauf à utiliser les extensions pour préciser quel compte LE doit être utilisé pour demander un certificat x509 (sous réserve que l'attaquant ne modifie pas les paquets DNS ;) ). DNSSEC + DANE TLSA auraient aussi protégés (serveur non compromis et je crois assez peu à la signature à la volée des réponses DNS).
Un nouveau règlement et une révision de directive européens sont en cours. Il ne reste plus que l'adoption à l'identique par les deux colégislateurs UE du compromis du trilogue (équivalent d'une Commission Mixe Paritaire française). ÉDIT DU 29/03/024 : il ne reste plus que le vote du Conseil. FIN DE L'ÉDIT.
Exigences minimales de sécurité pour tout appareil connecté à Internet (pas que l'IoT / les objets connectés). Si ça peut éviter les botnet d'objets connectés… ;
Approche par niveaux (comme le DSA, le DMA, etc.) :
En fonction de la criticité du produit (impact sur la sécurité et/ou sur un grand nombre de produits ou d'utilisateurs). Genre verrous, caméras, domotique, antivirus, pare-feu, gestionnaires de mots de passe, VPN, navigateurs web, etc. sont des composants critiques (classe 1), soumis à des exigences supplémentaires (audit tiers pour le marquage CE au lieu de l'auto-évaluation applicable aux composants non critiques, par ex.) ;
En fonction de la taille de l'entité :
Il s'agit de la directive 2024/2853 sur la responsabilité du fait des produits défectueux.
La fédération des professionnels d’OpenStreetMap représente les intérêts des entreprises françaises proposant des prestations liées à OpenStreetMap.
Interministériel, le PEReN est un service à compétence nationale placé sous l’autorité conjointe des ministres chargés de l’économie, de la culture et du numérique et dont les missions et l’organisation sont fixées par le décret du 31 août 2020.
Aujourd’hui, comprendre l’univers de la donnée est un prérequis indispensable pour analyser le fonctionnement des plateformes numériques, et mettre en place ou adapter leur régulation. C’est dans ce contexte que le PEReN a été créé, afin de constituer un centre d’expertise en science des données mobilisable par les services de l’Etat et les autorités administratives indépendantes le souhaitant.
Il peut d’abord fournir un appui aux services ayant des compétences de régulation dans la mise en œuvre de celle-ci
Il peut également apporter son expertise dans le cadre de travaux de recherche commandités par des services de l’Etat
OMGF c’est « Optimize My Google Fonts » et il s’agit d’un plugin pour WordPress qui va vous aider à récupérer et héberger sur votre serveur toutes les polices de caractère Google Fonts que vous utilisez sur votre site web. Cela a plein d’avantages. En effet, vous pourrez ainsi profiter des polices de Google en limitant les requêtes externes vers leurs serveurs. Votre site se chargera plus rapidement, le cache sera mieux géré et surtout, niveau RGPD, vous serez au top […]
S'il existe même une extension WordPress, c'est qu'il n'y a vraiment plus de raison de faire télécharger des polices depuis des entités états-uniennes. :)
Les Tables Informatique et Libertés sont un document inédit réunissant les décisions importantes de la CNIL et l'essentiel de la jurisprudence nationale et européenne suivant un classement thématique. La CNIL souhaite ainsi améliorer la diffusion de sa doctrine tout en permettant une meilleure prévisibilité de l’application du RGPD et de la loi Informatique et Libertés.
Certaines de ces décisions n’étaient pas publiques alors qu’elles se prononcent sur des points de droit nouveaux et structurants. En publiant ces prises de position, la CNIL souhaite faire preuve de transparence et améliorer l’accessibilité comme l’intelligibilité du droit de la protection des données, une matière en constante évolution.
Excellente initiative, ça manquait et c'était attendu.
Seul défaut :
[…] le point de doctrine est présenté de façon générale, afin de réduire les risques de réidentification
En restant général et évasif sur la description fonctionnelle et technique du traitement mis en cause, j'ai bien peur que les DPO et autres chefs informatiques continuent de croire que leur traitement à eux est différent de celui qui s'est fait sanctionner et que, par conséquence, il est légal et conforme.
Deux arrêts de la CJUE (communiqué de presse) :
Google aussi.
Sans surprise. Ce qui m'a le plus interrogé, c'est les réactions ici ou là.
D'un côté, ça dit que Signal utilise des notifs sans contenu, sans citer de source. De l'autre, j'ai récemment utilisé Signal sur un système Lineage dépourvu des outils Google et ça fonctionnait. Sur le twitter de la présidente de la fondation Signal, on lit :
PSA: We've received questions about push notifications. First: push notifications for Signal NEVER contain sensitive unencrypted data & do not reveal the contents of any Signal messages or calls–not to Apple, not to Google, not to anyone but you & the people you're talking to.
In Signal, push notifications simply act as a ping that tells the app to wake up. They don't reveal who sent the message or who is calling (not to Apple, Google, or anyone). Notifications are processed entirely on your device. This is different from many other apps.
What's the background here? Currently, in order to enable push notifications on the dominant mobile operating systems (iOS and Android) those building and maintaining apps like Signal need to use services offered by Apple and Google.
Apple simply doesn’t let you do it another way. And Google, well you could (and we've tried), but the cost to battery life is devastating for performance, rendering this a false option if you want to build a usable, practical, dependable app for people all over the world.*
So, while we do not love Big Tech choke points and the control that a handful of companies wield over the tech ecosystem, we do everything we can to ensure that in spite of this dynamic, if you use Signal your privacy is preserved.
*(Note, if you are among the small number of people that run alt Android-based operating systems that don't include Google libraries, we implement the battery-destroying push option, and hope you have ways to navigate.)
Perso, je n'ai pas constaté que ça bouffe la batterie, mais mon cas d'usage était atypique (mon smartphone était quasi tout le temps branché au secteur).
Sur le fait qu'il n'y a pas d'alternative simple et efficace, une confirmation ici :
On the user side, you could tell your smartphone to provide an alternative push notification server to the app. But it is very difficult to do. Some prototypes have been developed like the openpush one for instance.
The user can also completely deactivate push notifications or use MicroG on Android opensource alternative OS (like Lineage or /e/OS) in order to mitigate privacy risks. MicroG provides a prompt when an app try to subscribe to push notifications and do not use an unique ID for your smartphone but a different ID for each app so Google may not be able to trace which apps you are using. With MicroG, you also do not need a Google account for receiving push notifications!
J'ai aussi lu que Android tue les applis en arrière-plan. Ça dépend du système et/ou de la surcouche constructeur, semble-t-il, voire même du logiciel. Je pense aux softphones IP (logiciel de téléphonie sur IP) qui ne peuvent pas se laisser tuer car le protocole utilisé, SIP, ne prévoit pas de notification au sens où il s'entend ici alors qu'il prévoit de nombreux minuteurs avant lesquels le softphone doit répondre au serveur.
Reste à savoir la proportion d'applis qui envoient des données persos et en clair dans les notifs. Goutte d'eau ou vrai sujet ?
Fichage illégal à FO : l’ancien secrétaire général Pascal Pavageau condamné à une amende :
Le tribunal correctionnel de Paris l’a condamné à 4 000 euros d’amende pour collecte de données personnelles par un moyen frauduleux et conservation de données à caractère sensible sans consentement entre 2016 et 2018. Ses coprévenues, anciennes directrice de cabinet et cheffe de cabinet, se sont vu infliger respectivement 2 000 euros et 1 500 euros d’amende pour collecte, conservation et traitement de données sans mesure assurant la sécurité. Ils ont en revanche tous trois été relaxés de l’infraction de conservation illégale au-delà de la durée prévue, pour une raison de procédure.
[…]
FO s’est en outre vu octroyer un euro de dommages et intérêts et 1 000 euros en frais d’avocat. « Ce que nous voulions, c’était laver notre organisation. Ce fichage était inadmissible. La justice a rendu justice à l’organisation », a réagi Frédéric Souillot, actuel secrétaire général de FO, présent au prononcé de la décision.
[…] "Monsieur Pavageau ne fera pas appel", a déclaré son avocat Francis Arragon.
#Force Ouvrière