GuiGui's Show

Tiens, j'ignorais que KissKissBankBank et Societe.com sont des filiales du groupe La Poste.

Under Swedish law, a party can request a decision within four weeks, if an authority has not decided within six months. Following three years of inactivity, the complainant requested a formal decision under Section 12 of the Swedish administrative law, which was rejected by the Swedish IMY, arguing that it is undertaking a parallel ex officio investigation into Spotify and that the complainant is not a party to the procedure.

Une enquête de son propre chef d'une APD, même si elle est plus large qu'une réclamation déposée par un lambda auprès de la même APD, ne fait pas obstacle à une demande de prise de décision (après six mois de silence, dans la loi suédoise) portant sur la réclamation.

Attention, il s'agit d'une loi suédoise relative aux administrations, pas tellement d'une loi relative aux données persos, donc ce cas peut être cité en exemple mais n'est pas transposable à un autre pays de l'UE. Et la décision fait toujours l'objet d'une contestation devant la cour suprême suédoise en juin 2023.

• Europol (coordination européenne des flics) pratique illégalement la pêche de gros de données personnelles, y compris, donc, de personnes sans lien établi la criminalité ;
  
  
• En janvier 2022, l'EDPS (la CNIL européenne) lui ordonne d'arrêter. Europol n'a pas compétence pour faire ça. Tous les jeux de données plus vieux que six mois qui n'ont pas été catégorisés (criminel, victime, etc.) doivent être supprimés ;
  
  
• En juin 2022, un nouveau règlement européen concernant Europol est adopté par le Parlement et le Conseil. Il étend le mandat d'Europol concernant l'échange de données persos avec des entités privées, l'utilisation de l'IA, et le traitement de grands jeux de données. Europol devient donc autorisée à traiter de gros jeux de données dans certains cas, ce qui va augmenter la quantité de données persos collectées, traitées et stockées par Europol, y compris celles de personnes sans lien avec la criminalité ;
  
  
• Le même Règlement autorise Europol à traiter les jeux de données qu'elle détenait illégalement avant son adoption, ce qui outrepasse la décision de l'EDPS de janvier 2022.

En matière de police, je n'aime pas voir être associés les mots IA et jeux de données… Surtout quand il y a eu abus passé. On se rapproche d'une collecte massive et d'une approche prédictive de la criminalité, tout de même. :(

Via https://twitter.com/gchampeau/status/1573030150953902082.

[…] le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ».
[…]
Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».

Ooook. Trois contextes (champs d'application) distincts :

• Directive européenne Police-Justice : pénal, application des peines judiciaires, prévention, maintien de l'ordre, PNR, etc. ;
  
  
• Loi Informatique et Libertés (1978) : sûreté de l'État et défense nationale (car ce ne sont pas des compétences de l'UE donc hors directive Police-Justice et RGPD) ;
  
  
• RGPD pour le reste.

Droits en plus et/ou en moins entre la directive Police-Justice et le RGPD (notamment un droit d'accès restreint voire indirect pour la directive).

Identifier le titre et l'auteur d'une musique : SongRec est un client Shazam (Rust, GPL) disponible sur GNU/Linux.

Depuis un fichier, un micro, ou les haut-parleurs (une option de SongRec évite même d'aller configurer la boucle sortie son standard vers entrée son standard dans PulseAudio / Alsa / autre).

flatpak install --user flathub com.github.marinm.songrec
flatpak run com.github.marinm.songrec

Avant, quand je cliquais sur un fichier dans une page web, Firefox m'affichait une popup. Si je choisissais d'ouvrir, le fichier était stocké dans /tmp. Et il y restait même après la fermeture du fichier (j'ai parfois récupéré des trucs après coup). Si je choisissais de télécharger, Firefox le rangeait dans ~/Téléchargements.

Depuis que Debian stable est passé à la version 102 de Firefox, celui-ci range tout dans ~/Téléchargements, qui devient un vrai zouk.

Pour retrouver l'ancien comportement : browser.download.start_downloads_in_tmp_dir à true dans about:config.

J'ai également constaté que Firefox commence le téléchargement (dans /tmp si « start_downloads_in_tmp_dir » est à true) avant que je choisisse d'ouvrir ou de télécharger. Johndescs me dit que ça fait déjà quelques versions. En tout cas, ça a rien à voir avec ce que je viens de décrire : même avec « start_downloads_in_tmp_dir » à false (valeur par défaut), Firefox télécharge en anticipation.

En février 2022, la CNIL a mis en demeure plusieurs sites web de ne plus utiliser Google Analytics : transfert illégal de données personnelles vers les États-Unis, car ils ne présentent pas de garanties suffisantes de respect de la vie privée.

La problématique fondamentale qui empêche ces mesures de répondre à la problématique de l’accès aux données par des autorités extra-européennes est celle du contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. […] Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics.

J'en profite pour rappeler que le RGPD ne prévoit pas d'approche par les risques en matière de transfert de données persos vers un pays qui ne présente pas un niveau adéquat de protection de la vie privée. Donc, peu importe la probabilité qu'un européen fasse l'objet d'une demande des autorités ricaines.

Je découvre les recommandations du CEPD sur les mesures supplémentaires à mettre en œuvre lors d'un transfert de données personnelles hors de l'UE et en l'absence de décision d'adéquation.

En juin 2022, la CNIL a publié cette notice sur l'utilisation d'un reverse proxy comme mesure technique supplémentaire autorisant le transfert vers les États-Unis.

Cette méthode peut être utilisée avec d'autres destinations / produits / outils que Google Analytics.

Elle me semble être une mauvaise idée à tous les niveaux :

• Technique :
  • La complexité pour bien configurer le proxy (afin qu'il supprime toutes les données personnelles) dépasse le niveau moyen des informaticiens actuels. De même, il faut prévoir le suivi dans le temps des normes (HTTP/2 ajoute-t-il des entêtes systématiques qui contiennent des données personnelles ?) et de ce que l'on dissimule derrière le proxy (la dernière version du produit récupère-t-elle des données persos supplémentaires ? Changement d'URL de la ressource. Etc.). À plus ou moins long terme, ça va nécessairement se terminer en fuite de données persos vers la destination :( ;
    
    
  • Toutes les données personnelles ne peuvent pas être retirées. Exemple : la langue (entête HTTP « Accept-Language ») en fonction de ce qu'on dissimule, ou des entêtes plus techniques qui peuvent contenir l'URL du site web d'où l'on vient comme HTTP CORS.
• Organisation :
  • L'opacité induite empêche un audit extérieur. C'est, à mon avis, la pire chose. Sans proxy, n'importe qui peut utiliser uMatrix et/ou les outils de développement web de son navigateur web pour constater l'existence d'un transfert de données personnelles. Or, il n'est pas possible, ni au quidam ni au bien informé, de constater ce qui transite entre un reverse proxy et la destination finale (toutes les données personnelles ont-elles été retirées ?). Cela signifie qu'il faut s'en remettre à une conformité interne (très souvent inexistante) ou à un improbable (statistiquement) contrôle de la CNIL ou au signalement d'un (ex-)employé ;
    
    
  • Il faut mener une réflexion approfondie sur l'impossibilité de ré-identifier une personne avec les données transmises… et l'actualiser lorsque le produit dissimulé change (la nouvelle donnée récupérée est-elle personnelle ? Si oui, peut-on la pseudonymiser ou la retirer ? Etc.). Le temps ne serait-il pas mieux investi dans la mise en place une vraie alternative conforme au RGPD ? Sauf que, le coût de l'analyse et de la mise en place sera minoré par les chefs ("ho, un proxy, c'est facile, apt-get install et c'est réglé"), donc la solution de reverse proxy sera privilégiée, à tort.
• Politique et économie :
  • Réponse technique à un problème qui ne l'est pas. Fuite en avant pour conforter nos habitudes. Manque de volonté pour définir une politique économique volontariste permettant l'émergence d'acteurs européens avec le même niveau de service que les ricains à l'aide d'un protectionnisme réglementaire que permet le RGPD. Solution du statu quo. "Un proxy c'est bien, car on ne sait pas et on ne saura pas faire aussi bien en UE". Défaitisme.

Dans le cas d'un outil de mesure d'audience (Google ou autre), l'utilisation d'un reverse proxy retire une grande partie de l'intérêt de l'outil. :D

La CNIL a une mission de conseil (article 8 de la loi I&L), mais pas de n'importe quoi. Là, on se tire une balle dans le pied, surtout avec l'absence de contrôle depuis l'extérieur. :(

Si je résume :

• Google Analytics. Transfert illégal de données personnelles vers les États-Unis. Mise en demeure de la CNIL du 10/02/2022 portant sur l'utilisation de Google Analytics. Raisonnement simplifié : téléchargement d'un script = contact direct entre un terminal et les serveurs de Google = transfert de données personnelles (adresse IP, site web consulté ‒ entête HTTP « Referer » ‒, date et heure de la consultation, modèle du terminal et du navigateur web ‒ entête HTTP User-Agent ‒ ainsi que quelques caractéristiques techniques ‒ comme la langue du système, entête HTTP Accept-Language ‒, etc.). Données pouvant être croisées par des acteurs hégémoniques. Rapatriement des données collectées par ledit script (dans le cadre de la mesure d'audience) auprès d'une entité ricaine. Peu importe si les données sont stockées dans l'UE, le CLOUD Act ricain s'applique ;
  
  
• AT Internet Xiti. Probablement soumis au CLOUD Act. Indices (selon la grille d'analyse contenue dans le mémorandum remis par un cabinet d'avocats ricain au ministère de la justice des Pays-Bas) : société commerciale rachetée en 2021 par l'américaine Piano Software Inc. (je l'ai appris dans un commentaire sur le blog de David Libeau) ; Comme l'indique le communiqué de presse, Piano est l'actionnaire unique d'AT Internet ; Pour compenser, Piano a annoncé la délocalisation de son siège social en Europe, mais ça change rien si le bidule UE est toujours une filiale du bidule ricain (ce que le communiqué ne dit pas) ; De même, Piano est toujours immatriculée dans le Delaware (chercher ici) ; Elle dispose toujours de plusieurs bureaux aux États-Unis (New York, Philadelphie, cf. son site officiel) ; Elle doit encore compter de très nombreux clients états-uniens puisqu'il s'agit de sa clientèle historique ;
  
  
• Matomo Cloud. Transfert illégal de données personnelles vers les États-Unis. Sur son site web, la société commerciale indique être basée en Nouvelle-Zélande, qui fait l'objet d'une décision d'adéquation de l'UE (ce qui autorise les transferts de données personnelles, article 45 du RGPD), ce que l'on vérifie auprès de la CNIL. Jusque-là, c'est conforme (même si une décision d'adéquation avec un pays membre des Five Eyes me fait tiquer). Matomo déclare aussi avoir recours au CDN (Cloudfront) d'Amazon Nouvelle-Zélande, ce qui l'exclurait de toute ingérence états-unienne. Or, il s'agit possiblement d'une filiale de l'entité ricaine dédiée au marketing, au lobbying, etc. De plus, il existe un seul réseau informatique mondial Amazon (AS16509 pour les connaisseurs), qui est piloté, maintenu, et contrôlé par Amazon États-Unis, qui a donc la main sur les serveurs, les données et les journaux (logs), et doit donc répondre aux autorités ricaines ;
  
  
• Cloudflare Web Analytics (chargement d'un JavaScript depuis « static.cloudflareinsights.com »). Transfert illégal de données personnelles vers les États-Unis. Même raisonnement que pour Google. Notons que la présentation de son outil par Cloudflare est trompeuse : « Nous ne prenons pas les « empreintes numériques » des internautes par le biais de leur adresse IP, de la chaîne agent-utilisateur ou de toute autre donnée dans le but d'afficher une analyse. ». Même si Cloudflare ne traite conserve pas ces données personnelles, elle les a reçues…

Ouiiii, on peut installer, entre le visiteur d'un site web et Google / Amazon, un reverse proxy qui retire (strip) les entêtes HTTP contenant des données personnelles, afin de continuer à utiliser ces outils. Mais, si l'on externalise, ce n'est pas pour se farder un reverse proxy, normalement. Surtout que sa conformité au RGPD nous tombe dessus (est-il bien configuré) ? D'autant que ça retire une bonne partie de l'intérêt d'une mesure d'audience.

Oui, on peut continuer à utiliser un Matomo installé sur des serveurs détenus par une entité UE (soi-même ou un prestataire).

Plus d'un an après, et suite à une question du député Latombe, le ministère de l'éduc' nat' nous apprend qu'il a demandé (quand ?) de stopper les déploiements d'Office 365 ainsi que ceux de la solution de Google (Workplace ?). RGPD, transferts illégaux de données personnelles vers les États-Unis (Schrems II), décision de la CNIL et circulaires de 2021, tout ça. Bref, rien de neuf, mais ça fait mine d'avancer.

Dès 2019, l'Allemagne et les Pays-Bas ont partiellement banni Office 365. Allemagne : un seul Land puis suspension de l'interdiction le temps des négociations avec MS ; Pays-Bas : uniquement Office Online et les applis mobiles Office. En 2022, les danois ont suspendu durant un mois l'utilisation des Chromebooks et de Google Workplace.

J'ai hâte (ou pas) de voir la réaction de Microsoft. Va-t-on partir sur de la revente de licence à des clouds souverains ? Sur du On-Premises (ça n'a pas l'air d'être populaire pour l'instant) ?

J'ai hâte (ou pas) de voir l'absence d'action de la part des bahuts exsangues que la gratuité d'Office 365 arrange bien. Le député évoque d'ailleurs la concurrence déloyale (et l'accoutumance) que cela constitue. Le ministère rappelle une de ses anciennes réponses : limiter le périmètre couvert par des licences gratuites, limiter la durée du "contrat", ne pas accorder d'exclusivité, blablabla.

Une analyse d'impact sur la protection des données personnelles portant sur Microsoft Teams, OneDrive, SharePoint et Azure Active Directory réalisée en février 2022 par le ministère de la justice et de la sécurité des Pays-Bas.

Mes notes :

• La section 702 de la loi FISA prend fin en 2023. Pour continuer, il faudra le renouvellement du Congrès.
  
  
• Pages 66 et suivantes : un tableau recensant toutes les lois ricaines qui permettent d'obtenir des données personnelles d'un client européen ;
  
  
• Le chiffrement de bout en bout des appels Teams est à venir ;
  
  
• À ce jour, même quand les données (et le reste) sont stockées dans l'UE, la télémétrie et les journaux d'audit sont transférés aux États-Unis. Idem pour les noms d'utilisateurs, de fichiers et de chemins dans OneDrive et SharePoint. Ça ne devrait plus être le cas fin 2022. Les rapports de sécurité seront toujours transférés aux États-Unis, même avec la « EU Boundary » (cf. ci-dessous) afin de proposer un niveau de sécurité harmonisé au niveau mondial ;
  
  
• Les clauses contractuelles-types (les dernières datent de 2021) sont valides mais le CEPD exige des garanties supplémentaires, que souvent les sociétés ricaines ne peuvent fournir, (excepté le chiffrement de bout en bout), ce qui les rend caduques. Rien de neuf (la CNIL le rappelait déjà dans sa mise en demeure de février 2022 portant sur l'utilisation de Google Analytics) ;
  
  
• La surveillance ricaine est classée comme risque faible + préjudice grave (si ça arrive). Très faible nombre de demandes des autorités ricaines, combativité de Microsoft contre les demandes infondées des autorités états-uniennes, promesses de MS de contester toutes les demandes infondées et de compenser pécuniairement toute divulgation en infraction avec le RGPD (ha… donc t'es pas sûr de tout contester ?). Pour moi, les promesses engagent que ceux qui y croient (Microsoft avait fini par renoncer à contester), et, en avril 2022, l'APD autrichienne a rappelé que le RGPD ne prévoit pas d'approche basée sur les risques en matière de transfert vers des pays tiers non adéquat (ce qui est le le cas des États-Unis à ce jour) ;
  
  
• Microsoft est maline et insiste lourdement sur l'intérêt économique suprême qu'elle a à veiller à une stricte et exigeante protection des données persos des ricains. C'est beau. Comme si le business ne pouvait pas se maintenir par d'autres moyens genre entrave à la concurrence, différenciation technique, hégémonie culturelle, etc. ;
  
  
• Sans accord de coopération CLOUD Act, les demandes des autorités ricaines auraient peu de chance d'aboutir selon le CEPD (EDPB et EDPS). Ça contraste avec le mémorandum rédigé en août 2022 pour le même ministère des Pays-Bas par un cabinet d'avocats ricain. Cependant, les accords de coopération concernent une partie seulement du CLOUD Act (cf. mémo). Pour le reste, les sociétés commerciales pourraient contester les demandes des autorités ricaines en manipulant trouzemilles concepts juridiques… Mais bien sûûûûr qu'elles le feront ;
  
  
• L'EDPB et l'EDPS bossent depuis mi-2021 sur le cas d'Office 365 ;
  
  
• Microsoft EU Boundary : Microsoft proposera, à la fin de 2022, à ses clients Entreprise et Education, un traitement des données exclusivement dans l'UE. Un cloud séparé est évoqué (MS le fait déjà pour la Chine et pour le gouvernement ricain). Comment ? Dans une société qui n'est pas une filiale de MS USA (sinon CLOUD Act) ? Avec des employés (européens) dédiés ? Aucune précision. Le mémorandum sus-cité évoquait déjà cette « UE Boundary ». Beaucoup d'exceptions et de conditionnel, en tout cas. Actualisation ici.

Bref, je note que ça met du temps à converger / gamberger (points 6 et 8), et que ça souhaite quand même bien sauver la mise aux GAFAM (points 7 et 10).