Publié dans Texte Actualité divers

L’Allemagne met un frein à la collecte de données personnelles par Facebook

Facebook.JPGLe gendarme allemand de la concurrence a interdit l’exploitation par Facebook de données issues de deux de ses applications, WhatsApp et Instagram.

L’Allemagne met le hola, le gendarme allemand de la concurrence a fait part ce 7 février de sa volonté d’interdire à Facebook de rattacher au profil de ses utilisateurs les données collectées sur des applications extérieures comme Whatsapp et Instagram.

L’autorité considère que le plus grand réseau social au monde a abusé de sa position dominante sur le marché pour collecter des informations sur les utilisateurs à leur insu, sans leur consentement. En ligne de mire également, le suivi en ligne des personnes n’étant pas membres du réseau, qualifiées sous le nom de « profils fantômes ». Leur activité sur le Web peut notamment être suivie par le biais des boutons « J’aime » sur des pages consultées.

Trois ans d’enquête
« Facebook ne peut plus contraindre ses utilisateurs à accepter une collecte quasiment illimitée de leurs données » via des sites tiers, a résumé le patron de l’autorité allemande, Andreas Mundt, lors d’une conférence de presse.

Facebook a un mois pour faire appel de cette décision, et compte bien y recourir. « Nous ne partageons pas ces conclusions et avons l’intention de faire appel afin que les citoyens allemands continuent à bénéficier pleinement de tous nos services », a déclaré Facebook dans un article de blog.

« Le Bundeskartellamt sous-estime la concurrence féroce à laquelle nous sommes confrontés en Allemagne, interprète de manière erronée notre conformité avec le RGPD (le règlement général sur la protection des données, ndlr.) et menace le mécanisme que la législation européenne prévoit pour garantir des normes de protection des données cohérentes dans l’ensemble de l’UE », complète l’entreprise. La décision, qui n’a vocation à s’appliquer qu’en Allemagne, est le fruit d’une enquête de trois ans.

Publicités
Publié dans Texte Actualité divers

Les bons conseils de la CNIL pour exercer vos droits

donnée personnelleUn Français sur deux ne sait pas comment s’opposer à l’utilisation de ses données ou comment demander l’accès aux informations stockées par un organisme.

Vous voulez rectifier des données inexactes sur un site web ou vous opposer aux démarchages commerciaux incessants par téléphones ou par e-mail, mais vous ne savez pas comment faire ?   A l’occasion de la Journée européenne sur la protection des données, célébrée chaque année le 28 janvier, la CNIL fait une piqûre de rappel sur la manière d’exercer ses droits d’accès, d’effacement et d’opposition.

Ainsi, la première chose à faire est de contacter le prestataire, ce qui n’est pas forcément évident. Il faut trouver la bonne rubrique sur le site web qui vous mènera vers le formulaire de contact approprié ou vers l’adresse du délégué à la protection des données. Généralement, il faut scroller vers le bas de la page d’accueil et cliquer sur un lien qui s’intitulera « vie privée », « service client », « mentions légales », « données personnelles », « RGPD » ou « politique de confidentialité ».

Si c’est trop compliqué ou peu adapté à votre demande, le CNIL suggère d’envoyer directement un courrier à l’organisme en question. A ce titre, l’autorité propose une douzaine de modèles de courriers entièrement personnalisables et téléchargeables en ligne, ce qui est bien pratique.

droit

L’organisme doit répondre en l’espace d’un mois pour les demandes classiques, ou trois mois pour les demandes complexes. S’il ne répond pas, il faudra passer au niveau supérieur et déposer une plainte auprès de la CNIL. Pour cela, il suffira de remplir un formulaire en ligne et de joindre les éléments attestant les démarches préalables.

Les droits sont plutôt bien connus
Ces conseils sont plutôt les bienvenus, un récent sondage IFOP révèle en effet que les Français connaissent plutôt bien les droits dont ils bénéficient en matière de données personnelles, mais ne savent pas comment les exercer. Ainsi, 80 % des personnes interrogées savent qu’elles peuvent s’opposer à ce qu’un organisme utilise certaines de leurs données, mais seules 24 % savent comment réaliser cette démarche.

notorioté

Au niveau de l’Union européenne, l’entrée en vigueur du RGPD le 25 mai dernier semble avoir augmenté la prise de conscience des utilisateurs. « Les citoyens sont davantage conscients de l’importance de la protection des données et de leurs droits, et ils exercent désormais ces droits, comme le constatent tous les jours les autorités nationales de protection des données. Celles-ci ont reçu plus de 95 000 plaintes de citoyens à ce jour », a déclaré la Commission européenne. Les plaintes portent principalement sur le télémarketing, les e-mails promotionnels et la vidéosurveillance.

De leur côté, les organismes commencent également à jouer le jeu. A ce jour, ils ont transmis aux autorités déjà plus de 41.000 notifications de violations de données personnelles, dont plus de 1.200 en France. C’est évidemment peu rassurant, mais la bonne nouvelle, c’est que ces violations apparaissent désormais sur le radar et qu’on peut se pencher sur la résolution de ces problèmes.

plainte et notification

Publié dans Texte Actualité divers

Prélèvement à la source : gare aux faux emails de remboursement

prelevement a la sourceProfitant de l’entrée en vigueur du prélèvement à la source, des arnaqueurs envoient des emails aux couleurs des services fiscaux promettant le remboursement d’un trop-perçu.

Leur unique intention : dérober des informations personnelles. Le phishing ou hameçonnage est une pratique veille comme le web. Cette technique consiste à prendre l’identité d’une administration ou d’un prestataire de services pour dérober les données bancaires d’internautes un peu trop crédules. La mise en place du prélèvement à la source, qui entraîne tout un lot de changements et de nombreuses communications de la part de l’administration fiscale, est une opportunité trop belle pour ces escrocs.

Des messages avec l’entête du ministère de l’Économe ou de la direction des finances publiques (DGFIP) promettant le remboursement d’un trop perçu circulent, selon 20 Minutes. Pour recevoir la somme, il faut cliquer sur un lien et fournir ses données personnelles et bancaires. Ces mails sont des faux, l’administration fiscale ne procédant jamais ainsi.

Certains arnaqueurs œuvrent aussi par téléphone, selon des informations de France Bleu. Ils proposent à leur victime de fixer un rendez-vous qui servira à explique le fonctionnement de la réforme du prélèvement à la source. Là encore, ce n’est pas dans les manières de procéder de Bercy.

Face à ce phénomène l’administration a rappelé dans un tweet « qu’elle ne procède à aucun remboursement par mail ni ne demande d’informations personnelles par téléphone ». La conduite à tenir : ne pas répondre à ces demandes.

Publié dans Texte Actualité divers

Amende de la CNIL à Google d’un montant de 50 millions d’euros

googleLe moteur de recherche est accusé de ne pas avoir été suffisamment clair avec les utilisateurs sur le traitement de leurs données personnelles.

C’est une amende record que la Cnil, le gendarme français des données personnelles, a infligé à Google ce lundi 19 janvier. Le moteur de recherche a été condamné à payer 50 millions d’euros pour ne pas informer suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles.

La Commission nationale de l’informatique et des libertés devient ainsi la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du nouveau règlement européen sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai.

Le nouveau texte permet d’infliger des sanctions allant jusqu’à 4% du chiffre d’affaires mondial pour manquement aux obligations de protection des données personnelles des citoyens européens.

Interrogé par Le HuffPost, un porte-parole de Google a répondu : « Les utilisateurs s’attendent à des standards élevés de transparence et de contrôle de notre part. Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD. Nous étudions la décision de la CNIL afin de déterminer les prochaines étapes ». Si Google veut faire appel de cette sanction, il devra saisir le Conseil d’État.

La sanction fait suite à deux plaintes séparées déposées à la Cnil contre Google par deux associations de défense des internautes, la Quadrature du Net (France), et None Of Your Business (NOYB), fondée par le militant autrichien de la protection des données Max Schrems.

Google informe, mais pas de manière claire
Pour son enquête, la Cnil a accompli le parcours que doit faire un nouvel utilisateur de smartphone Android (le système d’exploitation pour smartphone de Google), pour établir un compte Google et se servir de son appareil. « Nous ne nions pas que Google informe » l’utilisateur qui ouvre un compte de l’exploitation qui sera faite de ses données, a expliqué à l’AFP Mathias Moulin, le directeur de la protection des droits et des sanctions à la Cnil.

« Mais l’information n’est pas aisément accessible, elle est disséminée dans différents documents » que l’internaute ne prendra jamais le temps de consulter, a-t-il indiqué. « Il faut parfois jusqu’à cinq clics pour accéder à une information », a-t-il ajouté, estimant qu’au final, Google ne proposait pas une information « claire et compréhensible ».

« Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées », a résumé la Cnil dans son communiqué de presse.

Publié dans Texte Actualité divers

Plus de 1 200 violations de données personnelles enregistrées par la CNIL

rgpdL’entrée en vigueur du RGPD a permis de constater les progrès à réaliser par les sites français en matière de protection des données personnelles.

Car la CNIL a révélé que, depuis le mois de mai, elle avait reçu plus de 1 200 signalements de violations de ces informations.

Le RGPD, introduit au mois de mai dernier, a imposé plusieurs contraintes à toute organisation possédant des informations sur les utilisateurs. Parmi celles-ci, l’obligation de signaler à la CNIL (en France) toute violation des données personnelles, dans un délai de 72 heures, sous peine de se voir infliger une lourde amende.

Plus d’un Français sur deux touché
Vu le risque encouru, plusieurs entreprises et institutions se sont résolues à jouer le jeu. Et les résultats ne se sont pas fait attendre : en moins de huit mois, la CNIL a reçu entre 1 200 et 1 300 signalements de violations des données personnelles.

L’organisme de contrôle n’a pas donné davantage de détails sur ce chiffre, mais d’après le site 01net, plus de 40 millions de Français ont pu être concernés, soit une large majorité de la population du pays. Et encore, il est probable que le chiffre réel soit bien supérieur, dans la mesure où tous les acteurs du web n’ont pas forcément conscience de ces incidents ou de l’obligation de les notifier à la CNIL.

Aider les organisations à lutter contre les actes malveillants
Selon toute vraisemblance, il s’agit, dans la majorité de cas, de conséquences d’actes de piratage. Les données personnelles de nombreux utilisateurs se retrouvent en effet souvent sur le dark web, avec parfois une quantité de détails effrayante.

Pour l’heure, la CNIL n’entend pas sanctionner les organisations à l’origine de ces signalements. Elle préfère s’inscrire dans une démarche d’accompagnement, pour vérifier les mesures prises, à la fois à court et long terme.

Vu les chiffres publiés par l’organisme, un tel coup de main ne sera certainement pas inutile pour les entreprises et institutions concernées.

Publié dans Texte Actualité divers

Cybersécurité : des données privées de personnalités allemandes, dont Angela Merkel, dévoilées

angela merkelL’Allemagne est secouée par la révélation de données personnelles et confidentielles de plus d’un millier de personnalités, parmi lesquelles la chancelière Angela Merkel.

Depuis le vendredi 4 janvier, l’Allemagne est plongée dans une espèce de tension et d’inquiétude après la divulgation, sur Internet, des données confidentielles d’un millier de personnalités politiques.

Si « aucune donnée sensible n’a été révélée », comme l’indique Martina Fiez, la Porte-parole adjointe du gouvernement fédéral allemand, des personnalités comme Angela Merkel ont été touchées par ce qui s’apparente à une cyberattaque ou, au mieux, à une fuite de masse.

Un seul compte Twitter a mis le feu aux poudres
Tout est un parti d’un compte Twitter, bloqué depuis, qui a dévoilé toute une série de contacts privés, de données personnelles, mais aussi professionnelles, privées, financières ou encore des documents d’identité. Parmi les informations qui ont fuitées, on retrouve aussi des listes de contacts qui comportent des centaines d’adresses et de numéros de téléphone portable, mais également des documents plus généraux, comme des listes d’adhérents.

Selon Martina Fiez, les données divulguées liées à la chancelière allemande, Angela Merkel, dont les réformes et les décisions sont de plus en plus contestées outre-Rhin, ne sont que d’une « ampleur limitée » et demeurent « non-sensibles ». Si l’on se réfère aux données dévoilées, deux adresses électroniques, semi-publiques, un numéro de fax et l’intitulé de lettres qui lui ont été envoyées sont concernés. Outre la chancelière, des députés européens et du Bundestag, des représentants de parlements régionaux et des élus municipaux ont aussi été touchés.

L’extrême droite responsable ?
En Allemagne, cette révélation XXL de données issues de représentants politiques est une première, du moins une première d’une telle ampleur. La police criminelle (BKA) et le renseignement, chargés de l’enquête, ont noté le début des révélations au 20 décembre 2018 via le fameux compte Twitter qui, à force de prendre de l’ampleur, a fini par attirer l’attention des autorités.

Si les principaux leaders politiques du pays ont été touchés par cette cyberattaque, d’autres professions ont également été visées. Les données personnelles de journalistes du service public, de comédiens et d’animateurs de télévision ont elles aussi été révélées.

Ce qui intrigue un expert en renseignement du parti conservateur d’Angela Merkel, c’est l’absence de membres de l’extrême droite allemande, épargnée, dans la liste des personnes visées. Pour Patrick Sensburg, il est possible que dans de telles conditions, l’attaque vienne de « milieux proches » du parti d’extrême droite, Alternative pour l’Allemagne (AfD).

Publié dans Texte Actualité divers

Des applications Android transmettent vos données à Facebook

android-facebookL’ONG Privacy International a analysé une trentaine d’applications pour Android. Son rapport a été présenté samedi au 35e congrès du Chaos Computer Club.

L’année 2018 s’achève comme elle a commencé pour Facebook. Selon un rapport de l’ONG britannique Privacy International le réseau social pourrait aspirer des données personnelles sur les smartphones Android. Selon ce rapport, présenté samedi soir au 35e congrès du Chaos Computer Club (le groupe de hackers le plus important d’Europe), des applications Android partagent des informations sur les utilisateurs avec Facebook, sans recueillir leur consentement et même s’ils ne sont pas inscrits sur le réseau social.

Pour arriver à ce constat, deux chercheurs, Frederike Kaltheuner et Christopher Weatherhead, ont analysé une trentaine d’applications pour smartphone Android. Ils ont volontairement choisi des services populaires et très divers comme la plateforme de streaming musical Spotify ou le jeu Candy Crush. Résultat, ils ont découvert que plus de la moitié d’entre elles, 21 précisément, partagent des données avec le réseau social dès leur ouverture et ce, sans recueillir le consentement des utilisateurs. Surtout, qu’importe que l’utilisateur soit ou non inscrit sur Facebook, des informations sont tout de même transmises.

L’utilisation de ces informations n’est pas claire
Les informations partagées par l’application sont par exemple le modèle du téléphone, la langue choisie, le téléchargement de l’application mais aussi l’identifiant publicitaire attribué par Google à chaque utilisateur d’un smartphone Android. Combinées, elles permettent d’établir un profil d’utilisateur. Dans son rapport, l’ONG donne un exemple de l’utilisation possible de ces informations. Pour une personne qui a installé les applications « Qibla Connect » (une application relative aux prières musulmanes), « Period Tracker Clue » (suivi de règles), « Indeed » (recherche d’emploi), « My Talking Tom » (une application pour les enfants), il est possible de déduire qu’il s’agit probablement d’une femme, musulmane, à la recherche d’un emploi et mère d’un ou de plusieurs enfants.

Mais certaines informations sont beaucoup plus précises. L’ONG cite le cas de l’application KAYAK, un comparateur de voyage. Après analyse, les chercheurs ont découvert que le service transmettait à Facebook les recherches des utilisateurs: ville de départ, aéroport de départ, date de départ, ville d’arrivée, aéroport d’arrivée, date d’arrivée, nombre de billets (dont nombre d’enfants), classe des billets (économie, affaires ou première classe).  Mais il est impossible de savoir précisément à quoi servent les données collectées.

Facebook décline toute responsabilité
Ce ramassage de données est rendu possible grâce aux API, des interfaces de programmation qui permettent à un logiciel d’offrir ses services à d’autres. Ainsi, quand un site internet propose à l’utilisateur de se connecter via Facebook, il utilise une partie du code du réseau social. L’ONG a contacté Facebook avant sa parution du rapport, détaillent nos confrères de Libération. Le réseau social affirme que c’est aux sociétés qui développent les applications de s’assurer du consentement de leurs utilisateurs.

Le règlement sur la protection des données (RGPD), en vigueur depuis mai, impose en principe d’informer les utilisateurs de l’usage de leurs données. Ils doivent aussi donner leur accord pour le traitement des données, ou pouvoir s’y opposer. Dans le cas de la collecte de données au lancement de l’application, ces règles ne sont pas respectées.

Facebook permet aux développeurs de ne pas envoyer de données avant d’avoir recueilli le consentement de leurs utilisateurs. Mais selon l’ONG Privacy International, cet outil lancé après l’entrée en vigueur du RGPD est imparfait. Par ailleurs, Facebook permet aux utilisateurs qui ne sont pas inscrits sur la plateforme de gérer la collecte des données par le réseau social. Mais l’ONG, qui a testé ces solutions, assure qu’elles n’ont aucun impact perceptible sur le partage des données observées dans le rapport.