GuiGui's Show

Suite de ceci (deuxième point) :

• Contre le dispositif de nasse, la LDH saisit la justice ;
  
  
• La LDH a saisi la justice pour protéger l’observation du maintien de l’ordre.

Recours jugés en décembre 2023. CE 461513.

• Sur la nasse / encerclement, le CE n'annule pas mais pose des exigences : elle doit être nécessaire et proportionnée. Le schéma consigne violences graves et imminentes envers biens ou personnes pour une durée nécessaire, donc c'est OK. Les points de sortie contrôlés, qui peuvent ne pas être prévus en cas de contraintes particulières d'ordre public, ne sauraient être une base légale pour des contrôles d'identité ;
  
  
• Sur les observateurs indépendants : le CE retoque à nouveau leur obligation, prévue par le schéma, de quitter la manif après un ordre de dispersion. Le schéma n'empêche pas les observateurs de porter des équipements de protection (il se borne à dire que les journalisent peuvent en porter). Le CE ne retoque pas l'absence de circulation libre dans la manif, pourtant octroyée aux journalistes.

Dans une décision rendue sur question prioritaire de constitutionnalité (QPC) M. Sékou D., le 24 novembre 2023, le Conseil constitutionnel déclare conforme à la Constitution la création des nouvelles cours criminelles départementales. Ces juridictions nouvelles ont pour particularité de confier des affaires criminelles non plus aux cours d'assises organisées autour d'un jury populaire mais à un groupe de magistrats siégeant en formation collégiale. [ Uniquement pour les crimes passibles de moins de 20 ans de placard. ]
[…]
La décision d'expérimenter ces cours criminelles a été prise avec la loi Belloubet du 23 mars 2019 de programmation et de réforme pour la justice . Elles ont été mises en place par un simple arrêté du 25 avril 2019 dans sept départements volontaires pour participer à l'expérience. Le groupe a été élargi à trente départements en mai 2020, puis à trente-six en août. Finalement, l'article 9 de la loi du 22 décembre 2021 pour la confiance dans l'institution judiciaire généralise la réforme, à compter du 1er janvier 2023.
[…]
Le premier résidait dans la rupture d'égalité devant la loi. Mais en l'espèce, le Conseil est fondé à soutenir que les justiciables concernés sont dans une situation différente, puisque les uns sont passibles de peines inférieures à vingt ans d'emprisonnement, et les autres sont passibles de peines supérieures à vingt ans.
[…]
Reste le second moyen, le plus susceptible d'emporter la conviction du juge constitutionnel. Les requérants ont en effet invoqué l'existence d'un principe fondamental reconnu par les lois de la République (PFLR) imposant l'intervention d'un jury populaire pour juger les crimes de droit commun. Les PFLR sont mentionnés dans le Préambule de 1946, mais ils ne font l’objet d’aucune définition, laissant finalement au Conseil le soin d’en définir le contenu. […]
Tout d'abord, le Conseil, dans sa décision du 24 novembre, ne précise pas si l'intervention du jury populaire pour juger des crimes concerne ou non les libertés [ premier critère ]
En revanche, le Conseil constitutionnel s'interroge clairement sur le second critère du PFLR, mentionné dès sa décision du 20 juillet 1988. Il exige en effet que le principe consacré trouve son origine dans une loi antérieure à 1946. Encore faut-il que cette loi soit « républicaine ».
En l'espèce, le Conseil observe que "dans leur très grande majorité, les textes pris en matière de procédure pénale dans la législation républicaine intervenue avant l’entrée en vigueur de la Constitution de 1946 comportent des dispositions prévoyant que le jugement des crimes relève de la compétence d’une juridiction composée de magistrats et d’un jury".
Mais il n'en est rien, et c'est le troisième critère qui empêche le Conseil de consacrer le nouveau PFLR. Il réside dans l’application continue jusqu’à nos jours de l’obligation créée par le PFLR.
Aujourd'hui, le Conseil relève que "en dépit de son importance, le principe de l’intervention du jury en matière criminelle a été écarté par les lois des 24 février 1875, 9 mars 1928 et 13 janvier 1938 ".
La décision du 24 novembre 2023 applique donc exactement la même recette, alors même que les juridictions mentionnées par les lois de 1928 et 1938 étaient des juridictions spécialisées ou d'exception. Les cours criminelles en revanche sont des juridictions de droit commun.

#LLC

Je pensais que la transformation de Pôle emploi en France travail constituait un regroupement de la multitude de structures existantes. Mais pas du tout. Il y aura tout un « réseau pour l'emploi » (État, département, France travail, missions locales, acteurs privés, etc.). Gé-ni-al, une nouvelle hydre, on en manquait.

Le Conseil constitutionnel a censuré le transfert, sans garanties (encadrement), de trop de données perso (y compris médicales) entre trop d'acteurs dudit réseau. Suite prévisible : le législateur va pondre des garanties de pacotille et hop. :(

Sur l'imposition d'activités aux bénéficiaires du RSA (pas avant 2025, a priori) :

• Certains étaient déjà soumis à un contrat d'engagement, et tous avaient des réus de suivis, auprès des missions locales & co, où ils devaient montrer leurs activités pour s'insérer blablabla. En ce sens, la réaction médiatico-populaire me paraît excessive : c'est plus un re-fléchage de l'activité. À mes yeux, la bascule est intervenue lors du passage du RMI au RSA. Au moins les trouzemilles contrats d'engagement sont factorisés, c'est déjà ça ;
  
  
• Les journaux causaient de travail gratuit… À voir. Dans la loi et dans la décision de Conseil constitutionnel (paragraphe 34), je lis qu'il s'agit d'« activité salariée, qui implique, conformément au droit commun, la conclusion d’un contrat de travail et le versement d’une rémunération ». D'un autre côté, là où le RSA était expérimenté, il y a eu du bénévolat forcé (recenser ceci pour une asso), des missions d'intérêt collectif (préparer un cimetière à sa végétalisation, des missions en immersion, etc. qui sont du taff sans contrat… Du coup, je suspends mon jugement sur ce point. Wait & see ;
  
  
• La quotité minimale (15 h) peut sauter en fonction de la situation personnelle (handicap, santé, « pas en mesure de s’engager dans une démarche de recherche d’emploi », etc.) / familiale (parent isolé sans moyen de garde, etc.). Elle est adaptée à l'accompagnement requis (intensité) et elle n'excède pas la durée légale du taff (en cas d'activité salariée). Du coup, je suis curieux de voir le nombre de bénéficiaires que cette loi va remettre au taff ;
  
  
• Le Conseil constitutionnel a jugé que la liste des activités est claire : formation, accompagnement, blablabla (en gros : tout ce que peut déjà se manger un chômeur, un bénéficiaire du RSA ou autre).

Nouveautés sympas pour les handicapés en ESAT : droit de grève, droit syndical (monter une section syndicale, le droit personnel de se syndiquer existait déjà), d'alerte, remboursement des frais de transport, tickets restau, complémentaire santé collective obligatoire, etc. (Je suis contre la complémentaire privée obligatoire, les tickets restau, etc., mais je me réjouis que les travailleurs en ESAT, qui n'ont pas de contrat de taff et qui ne dépendent donc pas du Code du taff, aient ces mêmes droits, même si tout le reste, dont la rémunération et la considération, n'est pas au rendez-vous.)

D'autres mesures pour les handicapés sont craignos, je trouve, comme un service numérique qui référence tous les aménagements dont ils ont bénéficié afin de faciliter la mobilité (ça sent le truc à la mon espace santé…) ou comme l'orientation "ESAT ou marché taff" des RQTH à l'initiative de France travail (je doute des compétences pour évaluer la meilleure option…).

Comme il s'agit de mettre les citoyens au turbin, la loi prévoit des mesurettes sur les crèches genre schéma de dév et de maintien d'une offre. Sans pognon, ça va envoyer du lourd, c'est sûr.

Contexte rappelé dans le communiqué de presse :

L’Agence nationale des recettes publiques bulgare (NAP) est rattachée au ministre des Finances bulgare. […] Le 15 juillet 2019, les médias ont rapporté une intrusion dans le système informatique de la NAP, révélant qu’à la suite de cette cyberattaque, des données à caractère personnel concernant des millions de personnes avaient été publiées sur Internet. De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes quant à une utilisation abusive potentielle de leurs données.

Dans la décision :

[…] une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers » […] ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées »

[…] le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.

[…] afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.

[…] le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne […] du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers » […], ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable [ sauf si celui-ci a rendu possible ladite violation en méconnaissant une obligation prévue par le RGPD, et notamment l’obligation de protection des données à laquelle il est tenu. ]

[…] la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition. [ Mais la crainte doit être fondée, dans les circonstances du cas d'espèce et de la personne du requérant ]

Cohérent avec les arrêts C-300/21 (pas de seuil pour réclamer une indemnisation) et C-807/21 (il faut un comportement fautif, c'est-à-dire une négligence ou violation délibérée du RGPD).

#CJUE #RGPD #C-340/21

Communiqué de presse.

La Cour était saisie de dix-huit requêtes concernant l’application immédiate en cours d’instance d’un nouveau délai de recours contentieux, consacré par le Conseil d’État dans sa décision « Czabaj » du 13 juillet 2016 (Assemblée du contentieux, no 387763). Par cette dernière, le Conseil d’État a posé le principe selon lequel, en l’absence de mention des voies et délais de recours dans une décision prise par l’administration, il n’est possible de la contester hors délai légal ou réglementaire que dans un « délai raisonnable » qui ne saurait, en règle générale, excéder un an à compter de la notification ou de la connaissance de la décision, sauf à justifier de circonstances particulières.

En premier lieu, la Cour considère que la définition, par voie prétorienne, d’une nouvelle condition de recevabilité, fondée sur des motifs justifiant l’évolution de jurisprudence ayant conduit à la création d’un « délai raisonnable » de recours, ne porte pas, alors même qu’elle est susceptible d’affecter la substance du droit de recours, une atteinte excessive au droit d’accès à un tribunal tel que protégé par l’article 6 § 1 de la Convention.

En second lieu, la Cour considère que l’application immédiate aux instances en cours de cette nouvelle règle de délai de recours contentieux, qui était pour les requérants à la fois imprévisible, dans son principe, et imparable, en pratique, a restreint leur droit d’accès à un tribunal à un point tel que l’essence même de ce droit s’en est trouvée altérée. Il y a donc eu violation de l’article 6 § 1 de la Convention.

Où j'ai appris le petit nom de l'arrêt du Conseil d'État qui permet de porter le délai de recours de 2 mois à 1 an si l'administration n'indique pas les voies et délai de recours. \o/

L'extension de Czabaj aux décisions implicites, c'est CE 417270 de mars 2019.

En se basant sur les cas portés devant la CEDH, on peut comprendre que l'infini délai de recours contre une décision d'une administration ait été borné par le Conseil d'État en 2016 : un retrait de points de permis de conduire contesté 4 ans après ; des arrêtés d'expropriation contestés 26 ans plus tard (tu sens les terres qui ont pris de la valeur après l'expropriation ?) ; un doit de préemption sur un bien contesté 14 ans après (même remarque) ; un licenciement contesté après 2 ans (parce que pourquoi pas ?) ; etc.

Via https://nitter.privacydev.net/N_Hervieu/status/1722540220132794699.

Un nouveau règlement et une révision de directive européens sont en cours. Il ne reste plus que l'adoption à l'identique par les deux colégislateurs UE du compromis du trilogue (équivalent d'une Commission Mixe Paritaire française). ÉDIT DU 29/03/024 : il ne reste plus que le vote du Conseil. FIN DE L'ÉDIT.

Cyber Resilience Act (CRA)

Suivi officiel. Lire aussi.

• Exigences minimales de sécurité pour tout appareil connecté à Internet (pas que l'IoT / les objets connectés). Si ça peut éviter les botnet d'objets connectés… ;

• Approche par niveaux (comme le DSA, le DMA, etc.) :

  • En fonction de la criticité du produit (impact sur la sécurité et/ou sur un grand nombre de produits ou d'utilisateurs). Genre verrous, caméras, domotique, antivirus, pare-feu, gestionnaires de mots de passe, VPN, navigateurs web, etc. sont des composants critiques (classe 1), soumis à des exigences supplémentaires (audit tiers pour le marquage CE au lieu de l'auto-évaluation applicable aux composants non critiques, par ex.) ;

  • En fonction de la taille de l'entité :

    • Logiciels sans but lucratif développés collaborativement sans entité de coordination : exclusion du règlement. A priori, seule l'absence de retour financier exempte d'appliquer le CRA. Quid des dons, du dév payé par son employeur pour coder son logiciel / un logiciel mutualisé, etc. ? ;
      
      
    • Entité non-lucrative (ex. : une fondation qui coordonne le dév d'un logiciel) : configuration sécurisée par défaut ; documentation (pour les utilisateurs, a priori, mais ce n'est pas clair) pendant max(durée de vie ; 10 ans) ; processus de traitement des failles de sécu ; proposer gratos des correctifs de sécu durant min(durée de vie ; 5 ans) (une màj doit rester dispo 10 ans…) ; notification par niveau (24 h, 72 h ou 1 mois en fonction d'une exploitation active et de la gravité) des failles de sécu aux autorités UE (a priori nationale, l'ANSSI en France, qui transmettra à l'AESRI si risque systémique) ;
      
      
    • Entité commerciale : exigences d'avant + spécifications techniques, marquage CE, et amendes possibles. La Commission estime à 30 % les surcoûts de développement induits par cette paperasse.
  • Comme toujours, des mesurettes de soutien aux TPE : programmes de sensibilisation, de formation, de soutien aux procédures d'évaluation de la conformité, etc.
• Les contributions individuelles à des projets open source ne sont pas considérées comme une activité productive. Je l'ai lu à un seul endroit, donc ça sent l'interprétation erronée, mais c'est raccord avec l'idée que le travail domestique n'est pas du travail, que ça ne vaut rien… L'image renvoyée est désastreuse… ;
  
  
• J'identifie des cas où ça bave. Exemples : Android est fourni gratos, puis utilisé par des fabricants d'ordiphones qui ajoutent une surcouche. Qui est responsable de quoi ? Qui documente ? Qui signale les failles aux autorités UE (celles d'Android et celles de la surcouche) ? Etc. ; OpenSSL a un fort impact sur la sécu et sur un grand nombre de produits, mais il n'est pas coordonné par une fondation. On fait quoi ? Ce règlement ne manque-t-il pas son objectif ? Sur cette question : Cyber Resilience Act adopté: les députés de l’UE répondent aux demandes de la communauté open source ; les articles 24 et 25 du règlement adapte, genre responsable que de leur produit, mais il reste la documentation technique, la politique de sécurité, la coopération avec les autorités, etc…

Règlement 2024/2847 publié fin 2024. Dépêche Linuxfr.

Product Liability Directive (PLD)

Suivi officiel.

Il s'agit de la directive 2024/2853 sur la responsabilité du fait des produits défectueux.

• Révision de la directive EEC 85/374 sur la responsabilité pour les produits défectueux afin de l'adapter au numérique et à l'économie circulaire (point à surveiller, ça craint) ;
  
  
• Les logiciels et les fichiers informatiques (musique, etc. je pense) y sont soumis. Les logiciels open source développés ou fourni en dehors d'une activité commerciale sont exclus, mais la responsabilité s'applique si le logiciel est fourni en échange d'argent ou de données persos utilisées pour autre chose que l'amélioration de la sécu ou de la compatibilité (ce critère est pertinent, je trouve, pourquoi n'est-il pas aussi dans le CRA ?). Mais, là encore, quid des dons & co ? Qu'est-ce qu'une activité commerciale ?
  
  
• Pour apprécier la défectuosité d'un produit, prendre en compte : la capacité d'apprendre ou d'acquérir de nouvelles fonctions ou savoir (IA spotted) ; l'absence de mise à jour de sécurité (sous le contrôle du fabricant) et absence de traitement des failles de sécu ;
  
  
• Les dommages englobent les dommages psychologiques (prouvés par un expert médical au court d'un procès) et la destruction ou la corruption irréversible de données (> 1 000 € ou professionnelles, a priori, mais ce n'est pas encore tranché).

Interministériel, le PEReN est un service à compétence nationale placé sous l’autorité conjointe des ministres chargés de l’économie, de la culture et du numérique et dont les missions et l’organisation sont fixées par le décret du 31 août 2020.
Aujourd’hui, comprendre l’univers de la donnée est un prérequis indispensable pour analyser le fonctionnement des plateformes numériques, et mettre en place ou adapter leur régulation. C’est dans ce contexte que le PEReN a été créé, afin de constituer un centre d’expertise en science des données mobilisable par les services de l’Etat et les autorités administratives indépendantes le souhaitant.
Il peut d’abord fournir un appui aux services ayant des compétences de régulation dans la mise en œuvre de celle-ci
Il peut également apporter son expertise dans le cadre de travaux de recherche commandités par des services de l’Etat

Les Tables Informatique et Libertés sont un document inédit réunissant les décisions importantes de la CNIL et l'essentiel de la jurisprudence nationale et européenne suivant un classement thématique. La CNIL souhaite ainsi améliorer la diffusion de sa doctrine tout en permettant une meilleure prévisibilité de l’application du RGPD et de la loi Informatique et Libertés.
Certaines de ces décisions n’étaient pas publiques alors qu’elles se prononcent sur des points de droit nouveaux et structurants. En publiant ces prises de position, la CNIL souhaite faire preuve de transparence et améliorer l’accessibilité comme l’intelligibilité du droit de la protection des données, une matière en constante évolution.

Excellente initiative, ça manquait et c'était attendu.

Seul défaut :

[…] le point de doctrine est présenté de façon générale, afin de réduire les risques de réidentification

En restant général et évasif sur la description fonctionnelle et technique du traitement mis en cause, j'ai bien peur que les DPO et autres chefs informatiques continuent de croire que leur traitement à eux est différent de celui qui s'est fait sanctionner et que, par conséquence, il est légal et conforme.

Google aussi.

Sans surprise. Ce qui m'a le plus interrogé, c'est les réactions ici ou là.

D'un côté, ça dit que Signal utilise des notifs sans contenu, sans citer de source. De l'autre, j'ai récemment utilisé Signal sur un système Lineage dépourvu des outils Google et ça fonctionnait. Sur le twitter de la présidente de la fondation Signal, on lit :

PSA: We've received questions about push notifications. First: push notifications for Signal NEVER contain sensitive unencrypted data & do not reveal the contents of any Signal messages or calls–not to Apple, not to Google, not to anyone but you & the people you're talking to.
In Signal, push notifications simply act as a ping that tells the app to wake up. They don't reveal who sent the message or who is calling (not to Apple, Google, or anyone). Notifications are processed entirely on your device. This is different from many other apps.
What's the background here? Currently, in order to enable push notifications on the dominant mobile operating systems (iOS and Android) those building and maintaining apps like Signal need to use services offered by Apple and Google.
Apple simply doesn’t let you do it another way. And Google, well you could (and we've tried), but the cost to battery life is devastating for performance, rendering this a false option if you want to build a usable, practical, dependable app for people all over the world.*
So, while we do not love Big Tech choke points and the control that a handful of companies wield over the tech ecosystem, we do everything we can to ensure that in spite of this dynamic, if you use Signal your privacy is preserved.
*(Note, if you are among the small number of people that run alt Android-based operating systems that don't include Google libraries, we implement the battery-destroying push option, and hope you have ways to navigate.)

Perso, je n'ai pas constaté que ça bouffe la batterie, mais mon cas d'usage était atypique (mon smartphone était quasi tout le temps branché au secteur).

Sur le fait qu'il n'y a pas d'alternative simple et efficace, une confirmation ici :

On the user side, you could tell your smartphone to provide an alternative push notification server to the app. But it is very difficult to do. Some prototypes have been developed like the openpush one for instance.
The user can also completely deactivate push notifications or use MicroG on Android opensource alternative OS (like Lineage or /e/OS) in order to mitigate privacy risks. MicroG provides a prompt when an app try to subscribe to push notifications and do not use an unique ID for your smartphone but a different ID for each app so Google may not be able to trace which apps you are using. With MicroG, you also do not need a Google account for receiving push notifications!

J'ai aussi lu que Android tue les applis en arrière-plan. Ça dépend du système et/ou de la surcouche constructeur, semble-t-il, voire même du logiciel. Je pense aux softphones IP (logiciel de téléphonie sur IP) qui ne peuvent pas se laisser tuer car le protocole utilisé, SIP, ne prévoit pas de notification au sens où il s'entend ici alors qu'il prévoit de nombreux minuteurs avant lesquels le softphone doit répondre au serveur.

Reste à savoir la proportion d'applis qui envoient des données persos et en clair dans les notifs. Goutte d'eau ou vrai sujet ?

[…] Cette coopération apportera également aux acteurs économiques concernés une meilleure prévisibilité et une sécurité juridique renforcée.

[…] le niveau de protection des données personnelles est désormais appréhendé comme un paramètre de concurrence, pris en compte par les utilisateurs pour exercer leurs choix de consommation. Le maintien d’une concurrence effective sur les marchés, notamment dans l’économie des plateformes, est ainsi de nature à favoriser, dans certaines conditions, la protection des données personnelles.

La déclaration conjointe pose également les bases d’une meilleure intégration des dimensions « concurrence » et « vie privée » dans les actions respectives de la CNIL et de l’Autorité de la concurrence. Elle revient sur les modalités de prise en compte par la CNIL des paramètres concurrentiels dans ses analyses, et de la prise en compte de la dimension « données personnelles » par l’Autorité de la concurrence.

Les deux autorités s’engagent ainsi à se consulter mutuellement en tant que de besoin, à travailler à une bonne compréhension de leurs cadres légaux respectifs, à réfléchir à des études communes, à procéder à des échanges de personnel ou à organiser des réunions périodiques sur des sujets d’intérêt mutuel.

C'est un bon début, mais l'aspect "entorse au droit de la concurrence par non-respect du RGPD" (dumping réglementaire), mis en exergue dans un arrêt de la CJUE (évoqué par la déclaration), est très minoré dans cette déclaration. J'ai l'impression que la problématique est traitée à l'envers, "la concurrence fera apparaître le respect du RGPD". On a eu le même topo avec la neutralité du net, donc ça me fait peur.