[…] faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche […]
Centralisation des bases de données existantes, enrichissement des données, innovation, faciliter la mise à disposition de jeux de données, etc.
En octobre 2020, en référé, le Conseil d'État a jugé que le recours à Microsoft Azure n'est pas une illégalité grave et manifeste de nature à justifier la suspension immédiate du HDH, surtout en temps de pandémie Covid (car, oui, la PDS bossait déjà sur le Covid, dit donc trololo), mais il faut prendre des mesures contractuelles supplémentaires.
En février 2021, le conseil de la CNAM expose que les conditions juridiques ne sont pas réunies. Voir : 1, 2.
En novembre 2022, le Conseil d'État a jugé le fond du dossier c'est-à-dire l'ensemble des griefs formulés contre le décret instaurant le HDH : circulez, y'a rien à voir. Le décret ne prévoit pas en lui-même la désignation de Microsoft, donc argument inopérant (il faut contester la décision d'attribution à Microsoft). Pour les autres arguments : pseudonymisation des données en entrée (par la CNAM) puis par le HDH avant de les refiler, donc ça va ; la limitation du droit d'opposition à la base principale (qui est en fait le système de données de santé existant) est proportionnée. Je ne reprends pas les arguments foireux (comme l'absence de sécurisation des postes accédant au HDH).
En 2020, sur "demande" de la CNIL dans son mémoire au Conseil d'État (voir), le ministère de la Santé s'était engagé à sortir de Microsoft sous deux ans max. Depuis, on a appris que ça ne serait pas avant 2025. Penses-y quand un chef de projet / marketeux te vend de la réversibilité facile : ça n'existe pas.
Octave Klaba (Oles), OVH, a rédigé un retour et un complément. Je retiens : description lunaire, vague et sur-dimensionnée des besoins fonctionnels ; en 2023, le cahier des charges technique n'est toujours pas publié, comme le comparatif des hébergeurs réalisé… par un prestataire ; avant mai 2019 (quand le développement a commencé), OVH n'avait pas d'IaaS avec GPU labellisé HDS ; fin 2019, on annonce à OVH 18 services qu'il n'aurait pas (sans plus d'info) ; en juin 2020, seules 14 briques techniques sur 40 à 50 utilisées sont communiquées ; pas d'appel d'offres car UGAP. Bref, absence de transparence (Oles inclus, il veut sauver la face), et, comme d'hab', le "cahier des charges" a dû s'écrire durant le développement. Après, lors de tout projet, on peut décider d'accompagner une société commerciale / écosystème pas encore prête ou non en fonction des impératifs, de si l'on a envie de se prendre la tête ou non, etc.…
L’agence nationale des données de voyage (ANDV), entrée en fonction le 1er juillet 2022 aux termes du décret n°2022-752 du 29 avril 2022, est un service interministériel à compétence nationale rattaché au ministère de l’Intérieur et des Outre-mer, et placé auprès du directeur général de la Police nationale. […]
L’ANDV est chargée de la mise en place et de l’amélioration des dispositifs de collecte et d’exploitation des données de voyage (données de réservation, d’enregistrement et d’embarquement des passagers) dans les transports aériens, maritimes et terrestres, au départ ou à destination de la France. L’agence assure également la collecte des données, en vérifie la qualité et la fiabilité, et exerce à ce titre la fonction d’Unité Information passagers (UIP) telle que prévue par la directive européenne 2016/681. [ PNR ]
L’ANDV contribue à la prévention et à la détection des infractions terroristes, des formes graves de criminalité et des atteintes aux intérêts fondamentaux de la Nation ainsi qu’aux enquêtes et poursuites en la matière. De la même manière, elle participe au contrôle frontière et la lutte contre l’immigration irrégulière et la sûreté des transports. [ Le décret prévoit aussi sûreté de l'État, sécurité publique, défense, etc. ]
En 2019, Next Inpact écrivait sur l'un de ses co-prédécesseurs, le Service national des données de voyage. (L'autre co-prédécesseur est l'UIP / PNR France). On y lit : « L'idée, c'est de tracer les trajets des passagers », nous explique la Direction générale de la police nationale (DGPN). « Au départ, avec le PNR, ce n'était que l'avion. Désormais, on l’étend au maritime et au ferroviaire. ». On retrouve ça dans aux pages 287 et suivantes de l'étude d'impact du premier jet, avorté, de la LOPMI 2023 (qui voulait modifier la législation pour collecter les données des membres d'équipages marins).
On dirait que l'ANDV va coordonner / contrôler les procédures existantes, comme la PNIJ (toute proportion gardée), et "améliorer" tout ça.
Pour l'instant, elle récupère uniquement les accès aux bases de données "aériennes" qu'avait PNR France / l'UIP.
Le gouvernement envisage de lutter contre la fraude fiscale et sociale par le lieu de résidence (se déclarer résident fiscal à l'étranger quand on vit majoritairement en France), ce qui peut expliquer que l'agence soit aussi sous tutelle du ministère de l'économie (son prédécesseur ne l'était pas). Le Canard du 02/08/2023 évoque l'accès du fisc au PNR.
L'étude d'impact de la première version de la LOPMI 2023 consigne aussi :
Conçu au départ pour le seul transport aérien, le dispositif PNR a été étendu ces dernières années au transport maritime, puis ferroviaire. Les articles L. 232-1 à L. 232-7-1 du code de la sécurité intérieure (CSI) autorisent aujourd’hui la collecte des données d’enregistrement et de réservation pour le transport aérien et le transport maritime. En revanche, seules les données d’enregistrement peuvent être collectées pour le transport ferroviaire. Par ailleurs, si le cadre législatif et règlementaire est pleinement en vigueur pour le transport aérien, le cadre règlementaire est en cours de finalisation pour le transport maritime et doit encore être défini pour le transport ferroviaire.
En outre, l’extension de ce dispositif au transport maritime, par l'article 14 de la loi n° 2017-1510 du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme, à travers l'article L. 232-7-1 du code de la sécurité intérieure […] [ tiens donc… on retrouve encore une loi de sortie de l'état d'urgence ]
La présente disposition [ collecte des données des membres d'équipage ] a vocation à s’appliquer à toutes les compagnies de transport opérant des vols en provenance et à destination de la France, extra et intra-européens, ainsi que les déplacements en provenance et à destination des collectivités d’outre-mer ainsi que dans les ports français pour les passagers et gens de mer de toutes nationalités, au départ et à l’arrivée des liaisons France/France, des liaisons France/étranger ou étranger/France, à bord de tous navires battant pavillon français ou étranger.
Les finalités vont au-delà de l'arrêt de la CJUE, tombé quelques mois après la création de l'agence et l'étude d'impact de la première monture de la LOPMI 2023, qui juge que les seules finalités du PNR, pour les vols extra-UE, sont la lutte contre le terrorisme et la criminalité grave, et qui interdit toute collecte et traitement généralisé des vols intra-UE et des déplacements par d'autres moyens au sein de l'UE sauf menace terro réelle et actuelle ou prévisible (sinon il faut surveiller "uniquement" des liaisons / ports / gares / aéroports craignos et/ou des schémas de déplacement). L'étude d'impact de la LOPMI 2023 rappelle cela… donc se contredit : « Le dispositif PNR ne pouvant se concevoir que dans le domaine des déplacements internationaux ».
Je suis également d'accord avec Next Inpact sur le fait que le décret de création de l'ANDV parle aussi des transports terrestres, qui englobent plus large que le ferroviaire (ex. : bus).
Bref, affaire à suivre.
#fichier #passenger name record
Arrêt CJUE C-817/19. Communiqué de presse.
Directives API (2004) et PNR (2016) = collecte, transfert, par les transporteurs aériens et les opérateurs / agences de voyage, et traitement, par les autorités, des données relatives aux vols et aux passagers. La Cour écrit « régime de surveillance continu, non ciblé et systématique, incluant l'évaluation automatisée de données à caractère personnel de l'ensemble des personnes faisant usage de services de transport aérien ».
Uniquement pour prévenir le terrorisme et la criminalité grave en lien objectif (même indirect) avec le transport. Exemple de lien ? Se soustraire à la justice après une infraction grave. (Exit les velléités de l'utiliser pour l'immigration ou l'amélioration du contrôle aux frontières.)
Durée de conservation générale de 5 ans = excessif. 6 mois = ça va. Supprimer les "innocents" au-delà de 6 mois. On retrouve le refus d'une conservation généralisée des données de connexion.
En l'absence de menace terroriste réelle et actuelle ou prévisible, interdiction de transférer ou traiter des données relatives à des vols intra-UE et à des transports par d'autres moyens au sein de l'UE. (Il est toujours OK de surveiller certaines liaisons ou schémas de voyage ou ports / gares / aéroports selon des indications objectives tant que y'a un ré-examen régulier…). Si menace, il peut, pour une durée limitée renouvelable.
Évaluation automatisée avant l'embarquement ou le débarquement (notamment, comparaison avec les bases de personnes recherchées / signalés uniquement, pas celles constituées par les renseignements pour d'autres finalités que le terrorisme et la criminalité grave) : pas de système auto-apprenant (machine learning, IA) susceptible de modifier sans intervention humaine l'évaluation et notamment ses critères et leur pondération. « Nombre assez conséquent de résultats « faux positifs » [ « en 2018 et 2019 »] » (5 personnes sur 6).
La communication et l'évaluation après l'embarquement / débarquement est soumis au contrôle préalable d'une autorité judiciaire ou administrative indépendante, comme pour les données de connexion.
Le reste est usuel : critères objectifs (pas de discrimination), ré-examen individuel et objectif par un humain, droit à un recours effectif, etc.
Pas conforme au RGPD.
Je n'ai jamais compris pourquoi valider un abonnement à chaque trajet. Je l'ai payé pour le jour, le mois, l'année, etc. pour un nombre illimité de transports… Bien sûr, je devine l'intérêt : exiger des conducteurs et des usagers (réprobation sociale) qu'ils jouent aussi les contrôleurs, comme ça, ça réduit les coûts de main d'œuvre. Et comme ils ne peuvent pas différencier, sans machine, un abonné d'un paiement au trajet d'un paiement au trajet non réglé bah…
Sans le mettre en avant, les transporteurs proposent des titres de transport dits déclaratifs. Les trajets sont enregistrés, mais ils ne sont prétendument pas reliés à une identité (donc une photo sur la carte est obligatoire afin d'en déterminer le détenteur…). Pourtant, un abonnement est lié à des infos de facturation (qui vont contenir le numéro de la carte ou autre identifiant qui permet de justifier l'encaissement d'une somme d'argent, ne serait-ce que pour contestation), qui, elles-même peuvent être liées à des infos de paiement (CB). La CNIL s'en satisfait alors que, pour moi, ça sent la ré-identification par recoupement, notamment avec les caméras et la facturation. Les titres de transport anonymes, donc sans abonnement, ne proposent pas le même niveau de service (coût, temps pour l'acquisition, etc.). Elle préconise une durée de conservation de 48 h (la durée du trajet serait largement suffisante), et elle propose une méthode d'anonymisation qui, dans un cas (suppression du numéro de la carte) reste vulnérable à la ré-identification.
Toute la question est de savoir derrière quelle base légale et quelle finalité ranger la validation d'un abonnement. Exécution du contrat ? Ben non, la transaction monétaire et la prestation de transport ont lieu sans. Intérêt légitime à lutter contre la fraude ou à analyser la fréquentation, améliorer le réseau, blablabla ? Quelle nécessité (l'exploitant du réseau sait combien il y a d'abonnés et si tel abonnement est payé, notamment pour moduler les subventions, mais reste la modulation du service qui pourrait se faire par voie déclarative des chauffeurs) et quelle proportionnalité ? Consentement ? L'exploitant ne peut pas refuser de contracter (le refus de consentir doit entraîner aucune conséquence négative), donc ça sert à rien. Les autres bases légales ne sont pas applicables.
Pop-corn dans les années à venir ? Je l'espère.
#bus #transport en commun
Vache, la surveillance des examens à distance (même hors Covid) : reconnaissance faciale, photos ou vidéos à 360 degrés en permanence, enregistrement sonore permanent, filmer le cou et les oreilles, obligation de fixer l'écran, etc.
Cela transpose la salle d'examens, en plus autoritaire, dans un lieu intime… C'est délicat, je trouve.
Les juges ricains commencent à dire que ça va trop loin. Idem aux Pays-Bas pour un salarié à qui une société ricaine demandait d'allumer sa webcam durant ses heures de travail.
En mars 2016, la société « Optique Saint Jacques » signe avec la société « Cometik » (le prestataire) un contrat de licence d’exploitation d’un site internet, pour une durée fixe de 48 mois. L’agence web « Cometik » était chargée de la création, l’installation et la maintenance du site web dédiée à l’activité d’opticien de son client.
En d’autres termes, le fait que le prestataire n’informe pas le client de l’utilisation d’un logiciel de dépôts de cookies [ non-essentiels, dont Google Analytics ] non conforme au RGPD [ pas d'information ni recueil du consentement ] dans la réalisation du site internet, a trompé le client sur une qualité essentielle de la prestation. Il s’agissait d’un critère déterminant car client n’aurait pas contractualisé avec le prestataire, s’il avait été mis au courant de l’installation de cookies en violation du RGPD, avant la signature dudit contrat.
La cour d’appel prononce la nullité du contrat pour erreur sur une qualité essentielle du site au motif que le client pouvait « s’attendre légitimement à ce que le site ne collecte pas illégalement des données personnelles ».
Le fait que le site ait fait l’objet d’une réception sans réserve ni observation ne peut pallier ce manque d’information.
Quelques questions restent en suspens malgré tout, en particulier :
- les prestataires sont-ils dans l’obligation de livrer des sites internet et autre logiciels réalisés conformes au RGPD ?
- La décision aurait elle été différente si les logiciels utilisés pour les cookies avaient été conformes au RGPD ? ou si le prestataire avait juste informé le client de l’utilisation de ces logiciels, sans relevé la conformité ou la non-conformité au RGPD ?
Dernière fournée de pratiques interdites (dark patterns) par les APD et le CEPD en matière de bandeau cookie.
Une législation nationale peut permettre à des associations de consommateurs d'agir en justice sans mandat et donc sans infraction effective alléguée, contre un responsable de traitement en invoquant des pratiques commerciales déloyales ou des conditions générales nulles.
Arrêt CJUE C-319/20.
Piratage (y compris phishing), perte/vol d'un équipement, divulgation verbale, données envoyées au mauvais correspondant, etc.
Uniquement ce qui est déclaré à la CNIL (oui, y'a obligation, mais bon…).
On peut créer une bdd de test à partir de celle de prod s'il y a compatibilité des finalités. Le test et la correction d'erreurs sont compatibles avec une base de prod' basée sur l'exécution d'un contrat. En revanche, impossible d'utiliser une bdd de prod existante pour développer / tester un nouveau produit ou une nouvelle fonctionnalité ou une montée de version (autre que correction de bug ou faille, donc), car ce n'est pas nécessaire à l'exécution du contrat.
Une bdd de test ne peut pas être permanente (sa durée de vie ne doit pas excéder ce qui est nécessaire à la réalisation de tests et à la correction des erreurs).
La CNIL dit bien d'utiliser des données fictives durant les phases de développement et de test.
Aux personnes qui nous expliquent que Facebook, comme tout GAFAM, sait répondre aux demandes d'accès RGPD, trace l'utilisation des données et détecte les abus, etc.
L'article dit bien que ce n'est pas cloisonné entre services (ce qui pourrait expliquer l'ignorance des témoins), donc il ne s'agit pas d'une complexité voulue mais subie, par absence de culture de la documentation et d'absence d'une institutionnalisation du cycle de vie de la donnée.
Qu'on se rassure, c'est bien pareil dans nos sociétés commerciales franchouillardes, de la TPE à la multinationale.
Developpez.com n'est pas fiable, mais il ressort un PDF interne de Facebook.
ePrivacy : […] à partir du moment où vous opérez un système de communication (au sens ePrivacy, donc « ‘communication’ means any information exchanged or conveyed between a finite number of parties by means of a publicly available electronic communications service », donc méga large) vous ne pouvez traiter le contenu des données échangées pour un quelconque usage tiers à la simple transmission à votre propre client. Toute finalité annexe nécessitant le traitement de la donnée véhiculée relève du seul et unique consentement de votre utilisateur, qui doit du coup être explicite, libre, positif et révocable. Sans perte du service initial en cas de refus donc.
D'où GMail soumet au consentement ses « smart features » (onglets, autocomplétion, suggestion de réponse, ces deux dernières nécessitant un apprentissage sur un corpus d'emails). Idem pour Facebook et ses réponses personnalisées.
Je doutais, mais on retrouve ça chez Clubic et à la BBC.
A priori, la publicité ciblée dans GMail repose donc sur le seul consentement, ou sur l'absence d'analyse des emails (cf. article de la BBC).
Concernant l'analyse des conversations privées à la GMail pour y dénicher du pédoporn : elle est bien interdite par ePrivacy, cf. article 1, article 2.
Pour ceux qui se demandent pourquoi c'est tombé le 21 décembre 2020 alors que la directive ePrivacy date de 2002 : la directive européenne 2018/1972 établissant le Code des communications électroniques européen a fait, entre autres, entrer les services de communication "over the top" (sans numérotation) dans le giron de la directive ePrivacy.
Du coup, le règlement européen 2021/1232 est venu poser une dérogation : les communications privées peuvent être inspectées pour motif pédoporn. Voir aussi.
Résumé : l'analyse des conversations par un opérateur OTT était autorisée car hors périmètre de la directive ePrivacy (avant décembre 2020), puis interdite car ces services sont désormais couverts par la directive (entre décembre 2020 et juillet 2021), puis autorisé par dérogation, en attendant un nouveau règlement européen. Ça veut dire que dans l'intervalle, on fait confiance à des entités privées et on leur délègue un taff de surveillance sans fixer de règles… Ça valide intrinsèquement la manière de faire d'acteurs privés et l'importance de leur taff…
Un décret de 2022 permet de croiser les fichiers Hopsy, devenu Hopsyweb (hospitalisation sans consentement en psychiatrie) et FSPRT (radicalisation terroriste, à ne pas confondre avec le FPR et ses fiches S).
Car, c'est bien connu, les terroristes sont des fous. Il n'a pas de problème politique, ce sont juste des fous, on y peut rien, il faut juste gérer. Les études ne le montrent pas ce lien de causalité mais bon…
Puis il y a eu élargissement de la consultation par une myriade de services, au niveau national (avant, seuls les préfets pouvaient consulter), qui, de fait, accèdent à des données de santé mentale.
Comme d'habitude, cela a été progressif : interconnexion en 2019, validation par le Conseil d'État en 2020, élargissement par la loi renseignement 2 de 2021 (après le meurtre d'une flic à Rambouillet) et un décret de 2022.
Hopsyweb s'est mué en casier psychiatrique analogue au casier judiciaire, en gros.
Baptisée « TV2Store », l’offre s’appuie sur un échantillon commun de plus de 70 000 foyers abonnés Orange et porteurs actifs d’une carte de fidélité des enseignes du groupe Casino (Géant Casino, Supermarché Casino, Monoprix et Franprix).
Dans les faits, les données sont des données pseudonymisées « n’ayant pas pour finalité l’identification des clients [ pipeau, risque de ré-identification ], et traitées après consentement préalable des personnes concernées […]
Conjuguer les logs télé et le ticket de caisse des personnes qui ont une carte de fidélité […]
[ 8 campagnes fin 2019 ]
[ +6% de parts de marché et + 8% de CA ]
Extrêmement générique (pas détaillé).
Je suis sceptique sur un point : si le Recueil des Actes Administratif (RAA) d'une préfecture est un recueil de documents numérisés empêchant toute recherche automatisée, le guide préconise de faire une demande CADA. Or, le L311-2 du CRPA dispose qu'il est impossible de demander un document déjà publié. Peut-être en précisant la modalité « standard ouvert aisément réutilisable » (prévu par le L300-4 CRPA) ? Mais le L311-9 CRPA, qui fixe les modalités d'accès qui peuvent être demandées, ne le prévoit pas. De plus, la probabilité est forte que l'administration dise ne pas détenir le document demandé (le scan permet d'ajouter la signature du patron).
Une Cour d'appel espagnole avait jugé que les données de localisation d'un téléphone sont communicables au propriétaire de la ligne.
Une Cour autrichienne décide de l'inverse : comment déterminer que le téléphone était porté par le proprio de la ligne, et que celui-ci est bien l'auteur de la demande d'accès, autrement dit qu'il ne s'agit pas d'une tentative d'espionnage par un conjoint jaloux ou un parent poule ?
Il y a de la mauvaise foi (le propriétaire d'une ligne sera très souvent son utilisateur, et la facturation, qui montre tous les appels et SMS est intrusive…), mais la question de la preuve est intéressante.
Les usages personnels ou domestiques de données à caractère personnel sont exemptés de l'application du RGPD (article 2 de celui-ci), mais la condition est stricte : un carnet de contacts contenant des données pro n'est pas exempté, de même qu'un particulier louant son domicile, pas plus qu'une publication (y compris sur un réseau social).
Today, the Court of Justice of the European Union (CJEU) issued the first judgment on emotional damages under the GDPR, confirming that the GDPR does not require a "threshold" for damages. The other demands by the Court are the typical requirements for any damages claim. [ prouver la causalité entre une infraction et un dommage ]
Arrêt CJUE C-300/21.
#CJUE #RGPD