Accueil - CNIL - Commission nationale de l’informatique et des libertés

Un Arduino, trois servomoteurs... Le Fitbit ne se rendra même pas compte qu’il vit dans The Matrix !

#sport #surveillance #Fitbit

Je connais une personne qui a un respirateur artificiel anti apné à brancher la nuit qui note numériquement les moments où il arrête de respirer. Avec ce contrôle, il a obligation de se conformer à la prescription de mettre régulièrement l’appareil, car à défaut cela lui retire le droit au remboursement de la sécu.

@touti J’en ai un - je souffre d’apnée du sommeil. Certes mes paramètres respiratoires sont enregistrés sur une carte SD - un agent d’entretien vient la lire tous les mois ou deux, transmet un rapport à mon pneumologue traitant et détecte si je règle éventuellement mal mes lanières ou que j’ai un embout inadapté (on constate alors fuites d’air)... (#Surveillance, oh yeah - et je me poserai de grosses questions si un jour quelqu’un a la mauvaise idée de connecter ce truc à quoi que ce soit). Certes, le remboursement de tout ça est conditionné à l’usage régulier de l’appareil. Mais d’un autre côté, on dort tellement mal quand on ne porte pas le masque (multiples réveils nocturnes essoufflé avec le cœur battant rapidement - et le matin l’impression de ne pas avoir dormi) que cette coercition est superflue si on a réellement besoin du l’appareil... Cet appareil a changé ma vie, rien de moins - j’avais de très gros problèmes personnels et professionnels (avoir la réputation d’être le gars qui s’endort en réunion n’aide pas vraiment une carrière) qui se sont résolu du jour au lendemain. De plus, le contrôle est trèèès souple - en gros c’est si l’appareil est utilisé moins de deux tiers des nuits que ton pneumologue traitant commence à te poser des questions... C’est surtout pour détecter qu’on ne l’utilisent plus du tout - vu que le contrat d’entretien n’est pas donné. Bref - je le tolère, tant que les données sont couvertes par le secret médical (qui est plutôt bien respecté en France) et que la collecte de données est entièrement offline (l’online serait clairement une ligne rouge pour moi).

Merci @liotier pour ton témoignage.

tant que les données sont couvertes par le secret médical (qui est plutôt bien respecté en France)

#ahahah Peut-être en France et pour la théorie légaliste, mais tu penses vraiment que tes données médicales ne sont pas transférées dans un autre pays pour être traitées ? Il y a des médecins qui ont des contrats d’installation et de maintenance de leurs ordinateurs avec sauvegardes régulières et externalisées (c’est à dire transitant par internet) des données de leurs patients ? Que la sécurité sociale a délégué à des entreprises privés le traitement informatique des données des assurés ? Que cela représente un marché extraordinairement lucratif tant pour les laboratoires que pour les assurances ?

Je n’ai malheureusement pas ton optimisme.

J’attends avec impatience le livre de la personne qui avait créé l’association ACISVIPI et a contribué à faire connaitre les dérives informatiques du secteur médical, #DMP #GIE_SESAM_VITALE etc

@touti - Disons qu’en France il y a au moins le principe et lorsqu’il est imparfaitement appliqué voire contourné les conséquences ne sont pas catastrophiques... Contrairement par exemple aux USA où ces données sont très ouvertement exploitées à l’encontre de l’assuré. D’ailleurs, je ne me suis permis de témoigner en mon propre nom que parce que je vis en France et que ça a des conséquences très faibles (à part probablement la possibilité d’un employeur qui le considérera comme un handicap gênant)... Aux USA même pour une affection aussi bénigne et aussi facilement palliée, ma prime d’assurance aurait pris 50% - les assureurs savent aussi utiliser le web !

@liotier c’est quand même au-delà d’un problème individuel, je pense que le concept de frontières dans le cas du numérique est obsolète, les entreprises privées le savent très bien.
#élargir_au_politique

@touti Il me semble néanmoins que si la CNIL constate l’usage de données provenant manifestement d’une interconnexion (au sens de la loi Loi n° 78-17 du 6 janvier 1978 - ▻http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/comment-determiner-la-notion-dinterconnexion) non déclarée, elle va sévir même si le traitement automatisé illicite a eu lieu hors de nos frontières. Bon - il faudrait d’abord qu’elle déniche l’infraction, ce qui est extrêmement peu probable à moins d’une dénonciation.

Pour plus d’infos, sur le site de souriez.info il y a un mot-clef bien nourri

#Dossier-Medical-Partage

Le DMP, ou comment constituer, l’air de rien, un gigantesque fichier des données de sante

►http://souriez.info/Le-DMP-ou-comment-constituer-l-air

L’affaire en cours (avril 2015)

Commission Européenne - COMMUNIQUES DE PRESSE - Communiqué de presse - Abus de position dominante : la Commission adresse une communication des griefs à Google au sujet du service de comparaison de prix et ouvre une procédure formelle d’examen distincte concernant Android
▻http://europa.eu/rapid/press-release_IP-15-4780_fr.htm

Abus de position dominante : la Commission adresse une communication des griefs à Google au sujet du service de comparaison de prix et ouvre une procédure formelle d’examen distincte concernant Android

La réponse de Google (août 2015)

Abus de position dominante : Google tacle la Commission
▻http://www.latribune.fr/technos-medias/internet/abus-de-position-dominante-google-tacle-la-commission-500939.html

http://static.latribune.fr/full_width/500932/solide-premier-semestre-pour-havas.jpg

Le moteur de recherche estime que les griefs de la Commission européenne, qui lui reproche un abus de position dominante dans la recherche en ligne, sont « infondés ». La firme californienne risque une amende de 6 milliards d’euros.
Google a enfin publié sa réponse aux griefs formulés mi-avril par la Commission européenne. Sans surprise, le célèbre moteur de recherche réfute tous les reproches de Margrethe Vertager, la commissaire en charge des questions de concurrence. Dans son argumentaire, transmis ce jeudi à la Commission, le moteur de recherche estime que ses reproches sont « infondés ».

Et si les pénalités sont du même montant que celui réclamé par la CNIL début 2014, Alphabet va trembler sur ses bases…

La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc. - CNIL - Commission nationale de l’informatique et des libertés
▻http://www.cnil.fr/linstitution/actualite/article/article/la-formation-restreinte-de-la-cnil-prononce-une-sanction-pecuniaire-de-150000-E

Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint à Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision.

D’ailleurs, le salarié est une menace (article du Parisien) ▻http://www.leparisien.fr/espace-premium/actu/les-salaries-connectes-une-menace-pour-la-securite-des-entreprises-23-04-

https://pbs.twimg.com/media/CDPyVaMWYAAGUaH.jpg

Une opinion « Que penseront donc les fournisseurs de services sensibles – tels que les banques – lorsqu’ils découvriront que les mesures de protection qu’ils déploient à grand frais sont contournées par les entreprises où travaillent leurs clients, remplacées par des mécanismes internes plus ou moins sûrs, sur lesquels ils n’ont aucune prise ? » ▻http://cestpasmonidee.blogspot.fr/2015/04/la-cnil-cree-une-faille-dans-la.html

Et un point de vue favorable à la décision de la CNIL d’autoriser explicitement cette interception : ▻http://cabusar.fr/https-la-cnil-et-les-cons

Et les conséquences techniques (graves) de cette interception. ►http://www.bortzmeyer.org/https-interception.html

Leur étude montre que plus de 10 % des sessions HTTPS vers Cloudflare (6 % pour des sites divers de commerce en ligne) sont interceptées, ce qui est assez inquiétant.

Ça mériterait pas un seen de plein rang ?
(avec liens réciproques)

De la CNIL : ▻https://twitter.com/CNIL/status/529566037432631296

On peut trouver ça nul qu’il y ait des failles de sécurité, mais tout de même je trouve l’initiative louable, pour sensibiliser l’internaute.

En français : ▻http://www.zdnet.fr/actualites/cookies-une-vulnerabilite-decouverte-sur-un-logiciel-propose-par-la-cnil-39808 (bizarre usage du conditionnel alors que la faille est bien documentée)

Un premier patch (en 2014, les données venues de l’extérieur n’était pas « escapées »...) ▻https://github.com/LaboCNIL/CookieViz/commit/489b6050f6c53fe7b24c4bed3eeb9c25543960e2

Un article sur la correction de la faille : ▻http://www.nextinpact.com/news/90780-des-failles-decouvertes-dans-cookieviz-cnil-publie-correctif.htm

#click_bait

@Fil Tu exagères : c’est l’occasion de sensibiliser aux dangers du cloud, et aux risques des méta-données sur les photos ▻https://mat.boum.org

l’un n’empêche pas l’autre ; en tout cas cette page aussi répondra désormais à la requête « jennifer lawrence nue », parce qu’il y a pas de raison !

et super-#merci pour ton lien, où je trouve cet autre lien :

every format can be watermarked, even plain text! (e.g. the SNOW project)

The SNOW Home Page
▻http://www.darkside.com.au/snow

Whitespace steganography

The program SNOW is used to conceal messages in ASCII text by appending whitespace to the end of lines. Because spaces and tabs are generally not visible in text viewers, the message is effectively hidden from casual observers. And if the built-in encryption is used, the message cannot be read even if it is detected.

#metadonnées #privacy #surveillance #exif #outil #steganographie

Le plus effrayant (enfin, selon moi) dans cette histoire, ce sont tous les commentaires sous diverses publications façon « fallait pas les faire ces photos elles auraient pas fuité (variante : faut faire que des versions papier des photos ») ou bien « ça leur fera les pieds, à force de s’exhiber tout le temps ça devait bien leur arriver » ...

@matthrog Un exemple (danger : déprimant) de ce que tu dis : ▻https://twitter.com/peultier/status/506387364928036864/photo/1

Sur le même thème que l’article de Clementine Ford : ▻http://www.slate.fr/story/91631/internautes-photos-privees-nues-celebrites (« Les internautes qui regardent des photos volées de célébrités dénudées valent-ils mieux que la NSA ? ») et ▻http://pixellibre.net/2014/09/photos-piratees-et-distribution-de-claques (« Photos piratées et distribution de claques »)

Un bon article de démystification, faisant le tour des techniques possibles pour ce genre d’attaques ▻http://www.theguardian.com/technology/2014/sep/01/nude-celebrity-pictures-hack-jennifer-lawrence-rihanna

Les conseils de la CNIL, pas mauvais (le point 9 est directement applicable ici) ▻http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/les-conseils-de-la-cnil-pour-mieux-maitriser-la-publication-de-photos

Très bonne réflexions sur l’éducation à la sécurité « This is the “sext abstinence education” approach to scandalous selfies: ‘If you don’t take them, they can’t get out into the world and embarrass you.’ This is true, but much like telling people not to have sex until marriage to protect themselves against STDs, pregnancy, and heartbreak, it’s not practical advice for most people. » ►http://www.forbes.com/sites/kashmirhill/2014/09/01/sext-abstinence-education-doesnt-work

Et ici, par contre, les déclarations pontifiantes du crétin du jour, allant de la culpabilisation des victimes aux conseils techniques ridicules. À ne pas lire si vous êtes déprimé(e) : ▻http://www.lefigaro.fr/culture/2014/09/01/03004-20140901ARTFIG00288-photos-de-stars-nues-piratees-tant-pis-pour-elles

Avec une excellente réponse : ▻http://www.slate.fr/story/91669/internet-factchecke-analyse-serge-tisseron-celebgate-photos-fuite

#RFID ►http://seenthis.net/messages/119044

L’Américaine Kristin Paget, une autre spécialiste en sécurité, avait de son côté prouvé qu’avec un faible budget, il était possible de lire à distance les données de son voisin dans les transports en commun et de procéder immédiatement à un paiement électronique avec ces données.

Tellement prévisible ...

Au-delà de la sécurité des comptes en banque il y va des #libertés avec l’instauration un peu partout des systèmes de #porte_monnaie_électronique (ce que veulent devenir Navigo ou la #carte-jeune de Midi-pyrénées entre autres) donc on peut mettre #big_brother et #surveillance.

Il y a un moyen de refuser la puce #NFC ?

@monolecte oui, il faut demander à ta banque : ▻http://www.franceinfo.fr/emission/le-droit-d-info/2012-2014/peut-refuser-une-carte-bancaire-sans-contact-04-03-2014-16-55

Oui mais non.

@monolecte j’avais demandé il y a plusieurs mois mais la réponse que l’on m’a donné était un peu du foutage de gueule :
▻http://seenthis.net/messages/119044#message234658

Mais il parait qu’on peut obtenir mieux que ce que m’a répondu ma banque (Banque Populaire, haha) :
►http://seenthis.net/messages/243770

Je n’ai pas encore testé de menacer de porter plainte. Mais il faudrait que je prenne le temps de refaire la démarche à zéro en gueulant plus fort pour avoir une vraie carte sans la puce RFID.

Intéressant, merci pour tes précisions @rastapopoulos

On peut aussi dire #merde_aux_cartes …
J’avais monté un groupe de non utilisateurs de cartes bancaires, j’ai commencé par ma pomme, 10 ans sans carte, j’ai été la seule, aucun émule, ça doit s’appeller un solo militant !
Mais rien que la tronche du banquier quand il a sorti ses ciseaux pour couper ma dernière carte en deux était si risible que je recommencerai. Je peux cependant vous dire qu’ils font tout pour que ce soit bien galère, imagine juste réserver un train sans carte…

Ici, je suis à 30 mn de voiture du guichet de ma banque le plus proche.

La #CNIL a alors engagé un travail avec les industriels du secteur qui a rapidement abouti à la suppression de l’accès au nom du porteur, pour les cartes émises à partir de la fin septembre 2012, ainsi qu’à la suppression de l’accès à l’historique des transactions pour les futurs modèles de carte qui seront déployées à partir de fin 2013. Ces évolutions permettent de réduire les risques pour la vie privée des porteurs.

La CNIL reste toutefois préoccupée par l’accessibilité du numéro de carte et de la date d’expiration. Bien qu’à sa connaissance, aucune fraude exploitant cette accessibilité n’ait encore été détectée, elle appelle le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers. A ce titre, la mise en œuvre des recommandations émises par l’Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009 apparaît nécessaire, ainsi qu’à terme, un chiffrement des échanges rendant tout accès aux données impossible.

En outre, les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser, soit en obtenant une carte ne disposant pas de cette fonctionnalité, soit en obtenant sa désactivation par leur banque. A cet égard, la CNIL note avec intérêt que certains établissements bancaires fournissent des cartes dont la partie sans contact est désactivée par défaut, pour être activée à la demande du porteur, lequel peut par ailleurs, à tout moment, désactiver à nouveau cette fonctionnalité. Le porteur a ainsi la maîtrise totale de sa carte. La CNIL appelle l’ensemble des établissements bancaires à adopter de telles pratiques vertueuses.

▻http://www.cnil.fr/linstitution/actualite/article/article/securite-des-cartes-bancaires-sans-contact-quelles-sont-les-avancees-et-les-ame
Donc, proposer des systèmes #NFC désactivables à distance est suffisant... quand bien même il est évident qu’ils restent toujours hackables !

Et donc, pour se protéger, la #marmotte, elle met sa carte bancaire dans le papier d’#alu !
▻http://www.francoischarron.com/proteger-sa-carte-de-credit-paypass-de-la-fraude-par-ondes-rfid/-/QYbtbAnkuJ
#foutage_de_gueule

Comme d’hab’, il s’agit d’imposer quelque chose dont personne ne veut :

Comme Sebsauvage, quand j’ai reçu la lettre m’annonçant la bonne nouvelle (il y a 3 mois), je suis allé voir mon banquier pour lui dire simplement que s’il ne trouvait pas une solution de remplacement, je ne voulais tout simplement plus de carte bancaire. Je ne sais pas si Sebsauvage a eu une réponse, mais voici comment ça s’est passé pour moi.

►http://tontof.net/?1348846349

En attendant que le GIE corrige cette passoire qu’est la carte NFC, je crois que je vais rester avec ma bonne vieille carte bleue pas plus sécurisée sauf que pour me piquer mes infos, le mec ne pourra pas me coller un lecteur aux fesses et devra me péter la gueule avant

▻http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html

Et aussi, comment désactiver matériellement sa puce RFID : ►http://korben.info/comment-desactiver-le-nfc-sur-sa-carte-bancaire.html

Brutasse.

Un Homme arrêté à l’aéroport de Frankfort car il avait passé sa #carte_d'identité au #micro_ondes. Selon la police, il aurait pris cette décision pour désactiver la puce #RFID...

▻http://live.lesechos.fr/57/021262682457.php#xtor=RSS-8

http://m.lesechos.fr/images/2015/08/14/536265_021262935788_web_tete.jpg

#bricole

Très différent, Qwant...

▻http://seenthis.net/messages/115297

Google fait appel de sa condamnation par la CNIL concernant le droit à l’oubli numérique : ►http://www.weblife.fr/breves/google-fait-appel-de-sa-condamnation-par-la-cnil-concernant-le-droit-a-loubl

La #CNIL donne le mode d’emploi des « cookies »
▻http://www.lemonde.fr/technologies/article/2013/12/17/la-cnil-donne-le-mode-d-emploi-des-cookies_4335491_651865.html

Comment notre ordinateur nous manipule (10/04/14)
►http://www.lemonde.fr/technologies/article/2014/04/10/big-brother-ce-vendeur_4399335_651865.html avec #criteo et #acxiom

Pourtant, il existe une législation censée nous protéger de ces petits envahisseurs : une directive européenne – dite paquet télécom – a été adoptée en 2009 et transposée dans le #droit français le 24 août 2011. Vous voyez : ça ne date pas d’hier. Mais il a fallu attendre les recommandations de la Cnil rendues en décembre 2013 pour que cette dernière explique aux utilisateurs de cookies la façon de respecter la directive européenne.
▻http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024502658&categorieLien=id#_blank
▻http://www.cnil.fr/documentation/deliberations/deliberation/delib/300

Sont concernés les éditeurs de sites ou d’applications, les régies publicitaires, les réseaux sociaux et les éditeurs qui mesurent l’audience des sites. Et que doivent-ils faire ? Ils ont l’obligation de solliciter au préalable le consentement des utilisateurs. Autrement dit, chaque site Internet doit, avant même de déposer des cookies dans votre navigateur, vous demander si vous les acceptez ou non.
▻http://www.arretsurimages.net/chroniques/2014-04-16/Cookies-quelle-surprise-tous-les-sites-sont-hors-la-loi-id6702

cc @booz

Après avoir mis en demeure le PSG en raison de l’existence d’une liste d’exclusion de supporters, la Commission nationale de l’informatique et des libertés (Cnil) a clos la procédure ce jeudi. « La Présidente de la Cnil (Isabelle Falque-Pierrotin, ndlr) prend acte des éléments communiqués par le PSG, notamment le dépôt de dossiers de formalités appropriées. Compte tenu de cette mise en conformité, aucune suite ne sera donnée à cette procédure, désormais clôturée », est-il indiqué dans un communiqué.
▻http://www.cnil.fr/linstitution/actualite/article/article/la-cnil-cloture-la-mise-en-demeure-adoptee-a-lencontre-du-paris-saint-germain-f

https://dl.dropboxusercontent.com/u/32121091/CNIL%20PSG%20FIN.png

En france, c’est grâce à la ténacité de quelques #parents_d'élèves qui ont porté plainte que la CNIL a du réagir.

▻http://www.cnil.fr/linstitution/actualite/article/article/des-etablissements-scolaires-sont-mis-en-demeure-de-modifier-leurs-dispositifs-

Seules des circonstances exceptionnelles – #établissements_scolaires victimes d’actes de malveillance fréquents et répétés – peuvent justifier que des #élèves et des #enseignants soient filmés en continu.

12 morts :

Fusillade de Washington : le FBI publie la première vidéo du « tueur de la Navy »
▻http://www.france24.com/fr/20130925-video-fbi-publie-premieres-images-tueur-washington-navy?ns_campai

Avec la politique de soutien aux industriels de l’armement technologique de surveillance des maires comme Catoire Clichy (PS), au lieu de mettre du personnel municipal à l’heure de l’école pour faire traverser les #carrefours_mortels (sens unique à 4 voies) ont préféré y installer des systèmes couteux de vidéosurveillance.
Là aussi le carnage n’est pas évité.

C’est bien ce que je pensais.

C’est un des procédés du violeur expliqué par @mad_meg je crois (je trouve plus le lien seenthis) et ça confirme parfaitement l’épandage de la #culture_du_viol sur l’ensemble de la société !
Dans un premier temps faire croire à la victime qu’elle est libre de prendre la carte de fidélité en la harcelant à chaque passage en caisse, supprimer petit à petit l’usage des chèques et de la monnaie, l’obliger ensuite à prendre une carte pour payer, pour voyager, pour se soigner, se faire rembourser, se faire aider. L’empêcher d’accéder à ses droits si elle ne consent pas au fichage, l’affamer.
L’état de soumission s’installe facilement, chacun commence à comprendre qu’il est inutile de se battre, il devient possible de céder toujours un peu plus de ses libertés : carte d’identité, passeport, santé, électricité.
Pire, cela devient non seulement la norme, mais participer à son propre fichage est le nec plus ultra, facebook en tête, tandis que les défenseurs des libertés sont traités de vieux cons, plus personne n’est au courant qu’un permis rfid est instauré, pff, un détail. Le prochain stade sera la connexion du permis au radar, fastoche, ça passera tout seul, on sentira rien, tu verras, la stratégie des industriels de l’armement sécuritaire se fera en douceur coco.

Voir le dernier communiqué de Simon Davies, de Privacy International « Data rape and the impending privacy apocalypse » ▻http://seenthis.net/messages/138996

@touti je pense que c’est soit dans les commentaires de cet article
►http://seenthis.net/messages/173131
ou peut être ici aussi
▻http://seenthis.net/messages/154459

C’est vrai que la question du consentement se pose dans ces histoires de fichages. C’est clairement de la #manipulation assez typique des stratégies utilisé par les violeurs et agresseurs sexuels. Les mesures les plus dégueux sont toujours caché sous de faux prétexte. Par exemple la loi voté lundi au sénat sur les insultes et discriminations en raison du sexe a permis de faire passé (entre autre) en douce le #SAP et certaines demandes de #masculinistes totalement aberrantes.
Patric Jean donne quelques explications ici
►http://patricjean.blogspot.fr/2013/09/lamendement-qui-donne-raison-aux-grues.html
cet amendement est pour l’instant seulement voté par le sénat, il est encore possible pour les parlementaires d’y faire obstacles.