• La CNIL condamne EDF à une amende de 600 000 euros pour violation du RGPD, les détails de cette décision
    https://www.nextinpact.com/article/70493/la-cnil-condamne-edf-a-amende-600-000-euros-pour-violation-rgpd-details-

    EDF est condamnée par la formation restreinte de la CNIL pour plusieurs manquements au RGPD, avec une amende administrative de 600 000 euros à la clé. Plus que le résultat, le raisonnement et le détail des points soulevés par la CNIL sont intéressants à analyser.

    La CNIL explique avoir été « saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020 ». La Commission a effectué un contrôle en ligne du site www.edf.fr le 15 février 2021. Un questionnaire était envoyé quelques semaines plus tard (le 25 mars) auquel EDF a répondu le 29 avril. Des échanges complémentaires se sont déroulés jusqu’en septembre.

    En juin de cette année, la rapporteure proposait à la formation restreinte de la CNIL de prononcer « une amende administrative au regard des manquements » et de rendre la décision publique pendant deux ans. Après de nouveaux échanges pendant quelques semaines, le contradictoire était clos mi-septembre.

    Afin de planter le décors, la CNIL rappelle que, « fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services », soit l’équivalent de 40 % de la population française environ, excusez du peu.
    Surprise (ou pas) : un formulaire non rempli ne vaut pas consentement

    Dans la délibération de la formation restreinte, le premier manquement concerne « l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique ». Problème, suite à des opérations de ce genre, la société n’était « pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects dont les données proviennent de courtiers en données avant d’être démarchées » .

    Ce n’est pas tout. Dans le cadre de l’instruction de trois plaintes, EDF n’a pu obtenir du courtier des éléments prouvant que le recueil du consentement avait bien été réalisé : « le courtier en données a produit le formulaire type, et non le formulaire rempli individuellement par chaque prospect ».

    Pour sa défense, EDF expliquait que les prospections exploitant des données collectées auprès de courtiers « sont très ponctuelles et visent un nombre non significatif de prospects ». Elle ajoutait avoir « toujours strictement encadré ses relations contractuelles avec les courtiers en données auxquels elle fait appel et que des échanges fréquents avaient lieu, même s’ils n’étaient pas nécessairement formalisés sous forme d’audits ». Enfin, elle affirmait « que les données déjà collectées dans le cadre de campagnes précédentes ont été supprimées ». Depuis novembre 2021, des audits formalisés sont en place pour éviter que cela ne se reproduise.

    Quoi qu’il en soit, la CNIL « considère dès lors que les mesures mises en place par la société EDF pour s’assurer auprès de ses partenaires que le consentement a été valablement donné par les prospects avant d’être démarchés étaient insuffisantes ». EDF a « méconnu ses obligations résultant des articles L. 34-5 du CPCE et 7, paragraphe 1, du RGPD .

    EDF joue la carte de la refonte en cours

    La deuxième série de reproches concerne le manquement à l’obligation d’information des personnes. Il s’agit des articles 13 et 14 du RGPD qui disposent que des informations doivent être communiquées aux personnes concernées, notamment « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».

    La rapporteure explique que « la base légale n’était pas mentionnée et les durées de conservation des données n’étaient pas développées de manière suffisamment précise ». De plus, « les personnes démarchées par voie postale par la société n’étaient pas informées de la source précise de leurs données à caractère personnel, à savoir l’identité de la société auprès de laquelle EDF les a obtenues ».

    La société concède que sa charte de protection des données personnelles contenait l’ensemble des données au titre de l’article 13 du RGPD, mais reconnait que seules « certaines durées de conservation étaient mentionnées ». EDF ajoute qu’une refonte des durées de conservation était en cours lors du contrôle en ligne : « elle considère qu’il n’était donc pas possible d’indiquer l’ensemble des durées de conservation, puisque celles-ci étaient en cours de revue et de modification ».
    Des informations vagues et imprécises

    L’argument ne fait pas mouche auprès de la formation restreinte : « il n’en demeure pas moins que, au moment de ces constatations, ladite charte précisait " Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée " ». Une information « vague et imprécise », insuffisante pour garantir un traitement équitable et transparent.

    Dans ses courriers, EDF indiquait que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données ». C’est l’article 14 du RGPD dont il est question ici. Pour la CNIL, cela manque de précision, car cette information ne permet pas de « garantir un traitement équitable et transparent […] en particulier dans un contexte de reventes successives de données entre de multiples acteurs et dans l’hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l’identité ».

    C’est donc un combo perdant des articles 13 et 14 sur l’obligation d’information des personnes. La CNIL note néanmoins que dans le premier cas, EDF détaille les bases légales et durées de conservation dans sa charte évoquée, tandis que dans le second elle a « modifié les mentions d’information figurant dans les courriers de prospection ».
    Des manquements sur l’obligation de transparence

    On enchaine avec des manquements sur l’exercice des droits des personnes, en lien avec les articles 12, 15 et 21. Premier point abordé : l’obligation de transparence. La CNIL se base sur deux saisines pour affirmer que la société n’a pas respecté ce point du RGPD :

    « S’agissant de la première saisine, la rapporteure a relevé que la société EDF avait contacté le plaignant par téléphone pour lui apporter une réponse, sans lui adresser d’écrit, en violation de l’article 12, paragraphe 1, du RGPD. En outre, la réponse qui lui a été apportée sur l’organisme à l’origine des données était erronée. Enfin, la société a répondu à ses questions, de nouveau par téléphone, plus de neuf mois plus tard.

    S’agissant de la seconde saisine, la rapporteure a relevé que la société avait clôturé la demande du plaignant au lieu de la transmettre au service en charge des demandes d’exercice de droits et n’avait pas répondu […]. Ce n’est que six mois après sa demande initiale – dans le cadre de la procédure de contrôle – qu’une réponse a été apportée au plaignant ».

    Dans le premier cas, EDF plaide « l’erreur humaine commise par le conseiller, lequel n’a pas suivi les procédures internes ». Concernant les retards, elle met en avant un « contexte particulièrement difficile à la fois de la crise sanitaire, qui a conduit à un accroissement du nombre de demandes d’exercice de droit, et de report de la fin de la trêve hivernale au 1er septembre 2020 ». La CNIL en prend note, mais considère tout de même « que le manquement à l’article 12 du RGPD est constitué ».
    Article 15 : CNIL 1 - EDF 1, balle au centre

    On continue avec l’obligation de respecter le droit d’accès, là encore la CNIL se base sur deux saisines. Dans la première, la première réponse apportée au plaignant par téléphone sur la source des données collectées était erronée. La société reconnait que la réponse était « en partie inexacte » à cause d’une erreur sur la source des données.

    Sur la seconde saisine, la société affirmait à une personne « qu’elle n’avait aucune autre donnée la concernant que son prénom et son nom dans ses bases de données ». Problème pour la rapporteure, cette affirmation était inexacte : la société devait au moins avoir son (ancienne) adresse « pour effectuer le rapprochement avec les nom et prénom de la plaignante, puisque la société EDF lui a adressé un courrier au domicile de ses parents ».

    Pour EDF par contre, la réponse du conseiller était correcte « puisque les seules données rattachables à la plaignante étaient ses nom et prénom ». Pour la formation restreinte (qui a suivi la proposition de la rapporteure), « le manquement invoqué n’est pas caractérisé ».

    On termine avec le droit des personnes avec l’article 21. Selon la rapporteure et une saisine, la société n’a pas pris en compte l’opposition d’un plaignant « au traitement des données à caractère personnel de son fils mineur à des fins de prospection commerciale ». Il a en effet reçu un second courrier. EDF reconnait un cafouillage interne : « le conseiller a bien procédé à l’effacement des données comme il l’avait indiqué par téléphone au plaignant, mais n’a pas complètement suivi la procédure interne en ne procédant pas à l’opposition avant d’effacer les données ».

    La procédure est désormais simplifiée. Les faits n’étant pas contestés, ils constituent donc un manquement au titre de l’article 21 du RGPD.
    Quand EDF utilisait encore MD5 en 2022

    Enfin, dernier manquement : l’obligation d’assurer la sécurité des données (article 32). Sur son portail prime énergie, des mots de passe « étaient stockés au moyen de la fonction de hachage MD5 », complètement dépassée aujourd’hui.

    EDF affirme pour sa défense que, « depuis janvier 2018, la fonction de hachage SHA-256 est utilisée », mais que, « jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5 ».

    L’entreprise se défausse sur un prestataire et tente d’éteindre l’incendie (sans convaincre) : « Le hachage MD5 correspond uniquement au niveau de hachage mis en place historiquement par la société […], sous-traitant d’EDF, et pour lequel seuls quelques milliers de comptes étaient encore concernés en avril 2021. La société ajoute que ces mots de passe étaient tout de même stockés avec la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées ».

    Peu sensible à ces arguments, la CNIL rappelle que « le recours à la fonction de hachage MD5 par la société n’est plus considéré depuis 2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite ». EDF n’a que 18 ans de retard.
    Le hachage de 2,4 millions de mots de passe manque de sel

    Sur l’espace client EDF, ce n’est pas franchement mieux. Selon les déclarations initiales de la société, les mots de passe « étaient stockés sous forme hachée et salée au moyen de la fonction SHA-1, pourtant réputée obsolète ». Lors de sa défense, l’entreprise revient sur sa déclaration et explique que l’algorithme « est en réalité SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017, et non SHA-1, contrairement à ce qu’elle avait pu indiquer à la délégation de contrôle ».

    Il reste un problème pour la rapporteure : « si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés ». Cette faiblesse a été corrigée et désormais « il n’existe plus à ce jour aucun mot de passe haché en SHA-512 sans mécanisme d’ajout d’aléa (salage) ». EDF ne conteste donc pas le manquement de l’article 32, « mais demande à ne pas être sanctionnée dans la mesure où elle a dorénavant remédié au manquement ».
    La « bonne volonté » ne suffit pas à effacer l’ardoise

    Enfin la formation restreinte détaille sa réflexion sur les mesures correctrices et leur publicité. Sans surprise, EDF met en avant sa « bonne volonté et les efforts dont elle a fait preuve tout au long de la procédure » pour demander à la formation restreinte de « ne pas prononcer de sanction financière ou à tout le moins à réduire très significativement le montant de l’amende proposée par la rapporteure ». Pour la CNIL, « une amende administrative d’un montant de 600 000 euros apparaît justifiée ».

    Pas d’injonction de mettre en conformité néanmoins, car « la société a pris des mesures de mise en conformité s’agissant de l’ensemble des manquements relevés par la rapporteure ». Enfin, EDF demandait « de ne pas la publier ou, à titre subsidiaire, de l’anonymiser immédiatement ou au plus tard dans un délai de huit jours » la décision de sanction.

    La formation restreinte de la CNIL n’est pas sur la même longueur d’onde : « la publicité de la sanction se justifie au regard de la nature et du nombre de manquements commis, ainsi que du nombre de personnes concernées par lesdites violations, en particulier plus de 2 400 000 clients s’agissant du manquement à la sécurité des données ». La décision sera anonymisée après un délai de deux ans. »

    #cnil #edf #rgpd

  • Quand l’État et la Cnil censurent l’information sur notre système de santé - Le Point
    https://www.lepoint.fr/editos-du-point/etienne-gernelle/quand-l-etat-et-la-cnil-censurent-l-information-sur-notre-systeme-de-sante-1

    Si je comprends bien, Le Point veut bien accepter les critiques pour faire évoluer sa méthodologie, mais refuse de s’en emparer, et donc râle ensuite parce que sa méthodologie entraîne un interdiction d’accès aux données de santé.
    « les critiques du Cesrees sont les bienvenues, comme celles de tout le monde, c’est ainsi que notre savoir-faire s’affine au fil des années. »... mais les critiques posées depuis des années ne sont pas suivies. A un moment donné, ça craque. Scientifiquement normal.

    ÉDITO. « Le Point » s’est vu couper l’accès à une base de données cruciale pour notre palmarès annuel des hôpitaux et des cliniques. Cela s’appelle censure.
    Par Étienne Gernelle

    Publié le 10/11/2022 à 07h00

    Temps de lecture : 4 min

    Nous ne publierons pas notre palmarès des hôpitaux et des cliniques de sitôt. Il existe pourtant depuis plus de vingt ans, des centaines de milliers de lecteurs lui font confiance, des dizaines d’établissements hospitaliers prestigieux l’arborent fièrement sur leurs murs. Que s’est-il passé ? Un quarteron de bureaucrates, allergiques à l’évaluation indépendante de notre système de santé et visiblement atteints par l’ivresse de leur pouvoir, a décidé de l’interdire. Une censure : il n’y a pas d’autre mot pour décrire ce qui vient de se passer. Une censure d’État pour briser un thermomètre qui en dérange certains.

    Le procédé est simple : nous empêcher d’accéder à la base de données appelée PMSI, qui mesure l’activité des établissements de santé. Or cette base constitue, depuis plus de vingt ans, le socle de notre évaluation. Tout le monde comprend aisément que la pose d’une prothèse de hanche, par exemple, a plus de chance d’être réussie, et dans de bonnes conditions, par un service qui en réalise plusieurs par jour que par un autre qui ne s’y essaie que quelques fois par an… Eh bien, c’est terminé !

    Opération omerta. Le public ne saura donc plus où il est préférable de se faire soigner. Nul doute que les apparatchiks qui ont réalisé cette censure sauront, eux, dans quel hôpital aller : ils ont des relations. Mais les autres ne méritent pas d’être renseignés. Qu’importe, en outre, que notre système de santé soit essentiellement financé sur fonds publics : les gens n’ont pas à être informés de ce que l’on fait de leur argent. Rideau !

    À l’origine de cette opération omerta, un obscur organisme nommé Cesrees. Cet acronyme désigne le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, qui dépend des ministères de la Santé et de la Recherche. En réalité, un petit club qui confond éthique et opacité, et auquel l’évaluation donne de l’eczéma. Le Cesrees, donc, a émis un avis négatif pour la délivrance des données, parce qu’il n’aime pas la méthodologie d’une enquête pourtant reconnue pour son sérieux par les plus grands professionnels depuis des décennies.

    Qu’on ne s’y trompe pas : les critiques du Cesrees sont les bienvenues, comme celles de tout le monde, c’est ainsi que notre savoir-faire s’affine au fil des années. Nous sommes donc ravis de les entendre. Et puis, s’ils pensent détenir une meilleure méthodologie, qu’ils produisent leur propre évaluation ! Cela fait longtemps que l’État et la Sécurité sociale auraient dû le faire pour guider les patients, au moindre risque, dans le maquis de l’offre médicale. Mais au nom de quoi se sentent-ils autorisés à interdire une évaluation indépendante ?

    L comme « libertés ». L’hubris du Cesrees a en l’espèce trouvé un allié, disons un supplétif : la Cnil. La Commission nationale de l’informatique et des libertés nous autorise depuis vingt ans à accéder à la base. Et n’y a jusqu’ici rien trouvé à redire. Sauf cette année, alors que rien n’a changé dans notre méthode. Dans sa décision, ahurissante, la Cnil « invite » notre journal à modifier sa méthodologie en fonction des remarques du Cesrees afin que soient « corrigés de façon substantielle » les « biais » que celui-ci croit y voir. On se pince : un journal est sommé de faire valider son travail par l’administration. On croyait, bêtement, que ce genre de procédures n’avait cours qu’à Cuba, en Corée du Nord ou en Iran. Erreur.

    Quelles conclusions tirer de tout cela ? Que la culture de la liberté d’expression est en singulier recul chez les hauts fonctionnaires français, qui se pensent habilités à dire ce qui peut être publié ou pas. « Tout en prenant en compte la liberté éditoriale » de notre journal, écrit la Cnil, celle-ci nous censure… Sans le savoir, elle a ainsi pastiché ce traité d’humour signé Francis Blanche : « Tout en vous laissant le libre choix de vos opinions, je n’admettrai jamais qu’elles s’opposent aux miennes. » Le « l » de « Cnil », qui correspond au mot « libertés », est donc désormais superfétatoire. Par ailleurs, on notera que cette « autorité administrative indépendante » a prouvé qu’elle était tout sauf indépendante. Sinon pourquoi ce revirement soudain ? Alors qu’allons-nous faire ? Nous battre. Nous enquêterons sur les dessous de cette censure, sur ce parti de l’omerta à l’hôpital, sans oublier bien sûr les responsables politiques. Du point de vue juridique, aussi, nous nous battrons jusqu’au bout et, s’il le faut, jusqu’à la Cour européenne des droits de l’homme. Notre liberté ne se négocie pas. Nous ne lâcherons rien.

    #Données_santé #Le_Point #CNIL

  • Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web | CNIL
    https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la

    L’explication de la CNIL sur sa mise en demeure d’arrêt de l’utilisation de Google Analytics pour cause de données personnelles insuffisamment protégées
    Conséquence directe de https://seenthis.net/messages/945015
    (merci NOYB !)

    #google_analytics #CNIL #NOYB

  • Covid-19 : la commission des affaires sociales du Sénat appelle à supprimer rapidement le passe vaccinal
    https://www.lemonde.fr/planete/article/2022/02/24/covid-19-la-commission-des-affaires-sociales-du-senat-appelle-a-supprimer-ra

    Dans un rapport rendu public jeudi, les élus critiquent cet outil mis en place il y a seulement un mois et qui n’a que partiellement atteint son principal objectif d’incitation à la vaccination.

    Fin de partie pour le passe vaccinal ? Alors que la cinquième vague de la pandémie de Covid-19 régresse et que le gouvernement poursuit son calendrier d’allègement des restrictions, la commission des affaires sociales du Sénat préconise, dans un rapport rendu public jeudi 24 février, « d’engager une levée rapide du passe vaccinal et appelle à renforcer la transparence dans la gestion de l’épidémie ».

    Les sénateurs ne sont pas tendres avec cet outil censé « réduire les tensions sur le système hospitalier » et « limiter les risques de contamination des non-vaccinés ». « C’est davantage l’évolution du virus, avec la perspective d’entrer dans une phase endémique, plus que le passe vaccinal, qui aura modifié le visage de la crise dans notre pays », a souligné Michelle Meunier, sénatrice (Parti socialiste) de Loire-Atlantique, l’une des rapporteurs de la commission d’enquête.

    Comme ils l’avaient anticipé, les sénateurs ont avancé très vite depuis le 20 janvier pour rendre leurs conclusions. Malgré ce « calendrier restreint » voulu par la présidente de la commission des affaires sociales, Catherine Deroche (Les Républicains, Maine-et-Loire), et qui a de fait présidé la commission d’enquête, ce rapport semble arriver un peu tard, presque à contretemps, tant le gouvernement a multiplié ces dernières semaines les annonces sur une possible levée du passe vaccinal dès mars. Un horizon encore confirmé devant la commission, mardi, par le ministre de la santé, Olivier Véran.

    Les sénateurs pointent d’ailleurs la rapidité avec laquelle l’exécutif a annoncé, dès le 20 janvier, la levée progressive de certaines mesures sanitaires, alors que le passe vaccinal n’entrait en vigueur qu’au 24 janvier.

    « La succession d’annonces parfois contradictoires, avant même que certains outils de gestion de l’épidémie soient applicables, a contribué à brouiller le message adressé à la population », soulignent les auteurs du rapport. Une communication qui, selon les sénateurs, « a certainement contribué à limiter le principal effet du passe vaccinal qui est d’inciter les personnes non vaccinées à entrer dans la vaccination ».

    La question des indicateurs est centrale

    En effet, contrairement au passe sanitaire cet été, le passe vaccinal a été présenté sans ambiguïté dès décembre 2021 comme un outil d’incitation à la vaccination. Un rebond de la primo-vaccination a d’ailleurs pu être observé à la suite de la conférence du premier ministre, Jean Castex, à la mi-décembre 2021, annonçant la mise en place prochaine du passe vaccinal. Résultat : 800 000 personnes ont reçu une première dose de vaccin entre le 20 décembre 2021 et le 23 janvier. Une progression qui semble bien insuffisante face aux cinq millions de personnes qui n’étaient toujours pas vaccinées à l’époque.

    • TousAntiCovid : une utilité "marginale" d’après l’étude d’impact. Le coût de la marginalité en 2022 ?
      https://www.latribune.fr/technos-medias/tousanticovid-une-utilite-marginale-d-apres-l-etude-d-impact-faut-il-l-arr
      Avec plus d’un an de retard, le ministère de la Santé a enfin publié le rapport d’impact de l’application TousAntiCovid, chargé d’étudier l’utilité et l’efficacité du dispositif dans la lutte contre la propagation de l’épidémie de Covid. Problème : les auteurs de cette évaluation se basent sur une étude de #KantarPublic qu’ils qualifient eux-mêmes de "non-représentative" pour juger de l’utilisation et de l’appréciation de l’app, et manquent de données cruciales pour correctement analyser le dispositif de #contact-tracing. L’utilité de TousAntiCovid dans la lutte contre la propagation du #Covid, sa mission première, est donc qualifiée de "marginale", et au mieux "complémentaire" des autres dispositifs au plus fort de la crise Omicron. Dans un contexte de polémiques depuis l’origine du projet au printemps 2020, de fin annoncée du #pass-vaccinal en mars prochain, de coûts qui explosent et d’une #étude-d'impact-inconsistante, faut-il arrêter TousAntiCovid ?

      Il était temps ! Alors que la Commission nationale informatique et liberté (#Cnil) avait demandé au gouvernement de fournir une étude d’impact analysant l’utilité de l’application #TousAntiCovid avant janvier 2021, celui-ci s’est enfin exécuté... avec plus d’un an de retard. En catimini, sans aucune communication ni information du public, le ministère de la Santé et le secrétariat d’Etat à la Transition numérique ont fini par publier, en début de semaine, le fameux rapport tant attendu.

      Pour le trouver, il faut vraiment le chercher. Sur le site dédié à TousAntiCovid, il faut d’abord cliquer sur la page "Ressources" située tout en bas de la page d’accueil, puis, sur cette nouvelle page, "scroller" à nouveau l’écran jusqu’en bas. Le Rapport 2020-2021, de 32 pages, apparaît enfin en-dessous des dossiers de presse, des kits de communication et de la vidéothèque. L’objectif affiché : "évaluer l’utilisation de l’application TousAntiCovid et son appropriation par les utilisateurs, mais également l’efficacité des fonctionnalités de contact tracing". Pour rappel, la Cnil avait conditionné son approbation du dispositif StopCovid (la première version de l’application du 2 juin 2020) et de TousAntiCovid (son successeur à partir du 22 octobre 2020) à la réalisation d’une étude d’impact devant prouver que l’outil, très intrusif car collectant les données de déplacement des Français, était utile et proportionné pour lutter contre la propagation de l’épidémie.

      Un rapport incomplet et biaisé

      Disons-le tout net : ce rapport d’activité est un #simulacre-d'évaluation. Les données sur lesquelles il se base sont incomplètes et biaisées, comme le rapport l’admet lui-même page 29 dans la section "Limites et biais de l’étude". Ainsi, le rapport déduit l’utilisation et l’appropriation de TousAntiCovid par les utilisateurs sur la base d’une étude qualitative réalisée par Kantar Public en octobre 2021.

      Problème :

      « Le panel interrogé est constitué d’utilisateurs assidus de l’application, ne pouvant pas constituer par conséquent un échantillon représentatif des comportements de l’ensemble de la population en termes d’utilisation et d’appréciation de l’application, s’agissant d’utilisateurs plutôt assidus et portant un regard globalement positif sur TousAntiCovid ».

      Autrement dit, le rapport d’activité de TousAntiCovid précise lui-même que les conclusions qu’il tire sur l’utilisation et l’appréciation de l’application par ses utilisateurs, se basent sur une étude non-représentative...

  • 2 fils sur #Elize, l’#application numéro 1 des stores en France cette semaine

    François Malaussena sur Twitter

    Je lis des articles sur Elyze. Pour l’instant, pas un seul pour souligner le risque à ce que 2 inconnus sans encadrement aient en leurs mains l’une des bases de données probablement les plus puissantes de l’histoire #politique française. Que des partis payeraient cher pour avoir.

    https://twitter.com/malopedia/status/1482405960555577344

    et une faille de sécu découverte et corrigée

    Mathis Hammel sur Twitter

    Hier soir, j’ai découvert un problème de sécurité sur l’app Elyze (numéro 1 des stores en France cette semaine) qui m’a permis d’apparaître comme candidat à la présidentielle sur le téléphone de plusieurs centaines de milliers de français.

    Je vous explique ce qui s’est passé

    https://twitter.com/MathisHammel/status/1482393799456436228

  • Im-passe sanitaire, le gouvernement est dans l’illusion !
    https://www.youtube.com/watch?v=bcPn5HVqCA0

    Le 7 décembre 2021, le député Ugo Bernalicis interpelle le Gouvernement dans le cadre de la séances des questions au gouvernement et lui reproche de s’obstiner à imposer le #Passe-Sanitaire, sans jamais faire la démonstration de son efficacité.
    #Cnil
    #Covid19 : « Le passe sanitaire ne nous protège pas, c’est une passoire sanitaire, c’est une impasse sanitaire », affirme #Ugo-Bernalicis.

  • Comment les éditeurs se moquent de la #CNIL | Pixel de #tracking
    https://www.pixeldetracking.com/fr/comment-les-editeurs-se-moquent-de-la-cnil

    En application de la directive #ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture des #traceurs « non essentiels ». Depuis l’entrée en vigueur du #RGPD il y a déjà 3 ans, les exigences en matière de validité du consentement ont été renforcées.

    Le 1er octobre 2020, la CNIL a publié des lignes directrices modificatives et sa recommandation sur les cookies et autres traceurs. Elle a également accordé 6 mois aux éditeurs pour se conformer aux règles.

    Comme nous avions pu le voir sur ce blog, les anciennes lignes directrices, pourtant laxistes, n’étaient déjà pas respectées. Voici quelques articles pour illustrer l’impunité :
    « Le recueil du consentement sur internet : un mensonge généralisé ».
    « Le Figaro, emblème du tracking publicitaire invasif des sites médias français ».
    « La grande braderie de vos données personnelles sur Le Bon Coin ».

    Qu’en est-il des nouvelles lignes directrices ?

  • Signalement CNIL co-porté par plusieurs associations et syndicats - SMG, Syndicat de la Médecine Générale
    https://smg-pratiques.info/signalement-cnil-co-porte-par-plusieurs-associations-et-syndicats

    Signalement #CNIL co-porté par plusieurs associations et syndicats

    Publié le samedi 29 mai 2021, par SMG

    Dans le cadre du reportage Cash Investigation [1] diffusé sur France 2 portant comme intitulé « Nos données personnelles valent de l’or ! », les journalistes se sont intéressés aux pratiques de l’entreprise IQVIA en matière d’utilisation des données de santé récupérées par les « logiciels de gestion de fiches client » mis à disposition par l’entreprise IQVIA aux pharmacies.

    Plusieurs organisations et associations dénoncent les risques en matière de protection des données de santé collectées et recueillies par IQVIA dans le cadre de Pharmastat.

    Ils saisissent ce jour la CNIL d’un signalement.
    Traitement des données de santé à des fins commerciales

    IQVIA revendique un réseau de plusieurs dizaines de milliers de pharmacies qui lui remonte des données de santé à intervalles réguliers : Pharmastat [2].

    Si IQVIA a une autorisation CNIL pour administrer un entrepôt de données de santé nommé “LRX”3 et traiter ces données à des fins d’intérêt public (notamment pour des recherches et évaluations), IQVIA utiliserait également les données de santé à des fins commerciales.

    En effet, comme révélé par Cash Investigation, le réseau Pharmastat délivrerait aux pharmaciens des logiciels de Gestion d’Officine en intégrant certaines données de santé recueillies à l’occasion du passage des patients en pharmacie. Le problème est que les patients ne seraient pas informés de l’utilisation de leurs données à des fins commerciales, et ne pourraient par conséquent ni y consentir, ni s’y opposer.

    #fichage
    https://video.exodus-privacy.eu.org/videos/watch/18d8e47b-a3e7-4279-a16d-e78324238e77

  • Les GAFAM échappent au RGPD, la CNIL complice
    https://www.laquadrature.net/2021/05/25/les-gafam-echappent-au-rgpd-avec-la-complicite-de-la-cnil

    Le 25 mai 2018, le RGPD entrait en application. Nous célébrions l’espoir qu’il renverse le modèle économique des GAFAM, qui font de nos #Données_personnelles une vulgaire monnaie d’échange. Porté·es par notre enthousiasme, nous déposions…

    • Conclusion

      Sur nos cinq plaintes, deux n’ont jamais été examinées (Google, Amazon), deux autres semblent faire l’objet de manœuvres dilatoires absurdes (Apple, Facebook) et la cinquième n’a pas davantage abouti sur quoi que ce soit de tangible en trois années (Linkedin).

      On l’a souligné plusieurs fois : si les GAFAM échappent aussi facilement au RGPD, ce n’est pas en raison de la complexité de nos affaires ou d’un manque de moyens matériels. Le budget annuel de la CNIL est de 18 millions d’euros et elle emploie 215 personnes. Au fil des ans et sur d’autres sujets, nous avons souvent échangé avec les personnes employées par la CNIL : leur maîtrise du droit des données personnelles est sincère. Elles partagent certainement nos frustrations dans une bonne mesure et n’auraient aucune difficulté à redresser la situation si on le leur demandait. Le RGPD leur donne toutes les cartes et, s’il en était besoin, nous leur avons explicitement pointé quelles cartes jouer.

      Si les causes de cet échec ne sont pas matérielles, elle ne peuvent être que politiques. La défaillance du RGPD vis à vis des GAFAM est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise. Les motivations d’une telle complicité sont hélas déjà bien identifiées : les GAFAM sont les fidèles partenaires des états pour maintenir l’ordre sur Internet. Plus que jamais, l’État français, dans sa dérive autoritaire, a tout intérêt à les maintenir au-dessus des lois pour leur laisser gérer la censure et la surveillance de masse.

      #RGPD #CNIL #complice #contrôle_citoyen #jouer_la_montre

  • « Nos données personnelles valent de l’or ! » - Cash Investigation
    https://www.francetvinfo.fr/replay-magazine/france-2/cash-investigation/cash-investigation-du-jeudi-20-mai-2021_4605401.html

    Pour ce nouveau numéro, l’enquête a commencé par l’appel téléphonique d’un inconnu qui a alerté la journaliste Elise Lucet : il a trouvé son numéro de téléphone mobile en vente pour soixante centimes sur un site internet américain ! Avoir son numéro de téléphone vendu sans son autorisation sur une base de données, c’est illégal. Pourtant, cela touche des centaines de millions de personnes à travers le monde. Des entreprises appelées des « #data_brokers » vendent les données de consommateurs qui deviendront les destinataires de publicités ciblées. Un marché colossal estimé à 400 milliards d’euros en Europe !

    « Cash » révèle comment un téléphone espionne son utilisateur, comment des données très personnelles sur sa religion, sa grossesse ou son moral sont envoyées sans son consentement à des partenaires commerciaux. Par exemple, lors d’une connexion sur le site de santé #Doctissimo, des informations sont transmises à l’insu de l’utilisateur et elles vont ensuite être envoyées à des entreprises appelées des « data brokers » qui vendent ces données de consommateurs pour des publicités ciblées. Un marché colossal estimé à 400 milliards d’euros en Europe !

    Quarante millions de Français seraient pistés

    Très difficile d’échapper à ces nouveaux courtiers de données, même en éteignant le téléphone mobile ou l’ordinateur… La journaliste Linda Bendali a découvert que ces « data brokers » ont trouvé un autre moyen pour récupérer ce nouvel or noir : la carte Vitale ! Dans la moitié des pharmacies françaises, les informations sur les médicaments achetés par les consommateurs sont transmises à la société IQVIA, le plus gros « data broker » de données médicales au monde. Sans le savoir, quarante millions de Français seraient ainsi pistés.

    Rien n’échappe aux marchands de données, même les pensées de tout un chacun qu’ils veulent désormais prédire. Cela s’appelle le « profilage prédictif ». En quelques années, la montre de sport est par exemple devenue un accessoire indispensable pour ceux qui veulent se maintenir en forme. Mais ces bracelets connectés qui enregistrent la fréquence cardiaque, les calories dépensées, la qualité du sommeil... pourraient aussi permettre de cerner la personnalité de son propriétaire !

    combien de clients vont aller voir leur pharmacien pour demander à ce que leurs données soient pas transmises à IQVIA ?

    ping @touti

    #données #données_de_santé #carte_vitale #pharmacies #hôpital #Cnil #IQVIA #Health_Data_Center #RGPD

  • Sur Facebook, LinkedIn, Clubhouse… des fuites de données personnelles très problématiques
    https://www.lemonde.fr/pixels/article/2021/04/26/facebook-linkedin-clubhouse-des-fuites-de-donnees-personnelles-tres-problema

    Dans trois cas récents de publications de données personnelles de leurs utilisateurs, ces réseaux sociaux se sont défendus en expliquant qu’il n’y avait pas eu de piratage informatique. Le mois d’avril a été chargé en alertes pour les données personnelles : le 3 avril, une base de données contenant des données relatives à plus de 533 millions de comptes Facebook, dont les numéros de téléphone, était diffusée sur un forum fréquenté par des cybercriminels ; quelques jours plus tard, un membre de ce même forum (...)

    #Clubhouse_ #Facebook #LinkedIn #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #hacking #scraping (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##CNIL

  • Passe sanitaire : la CNIL appelle à la vigilance sur la conservation des données personnelles lors des contrôles
    https://www.lemonde.fr/pixels/article/2021/04/28/passe-sanitaire-la-cnil-appelle-a-la-vigilance-sur-la-conservation-des-donne

    La Commission nationale informatique et libertés informations estime que les informations affichées sur papier ou dans l’application TousAntiCovid devront être réduites au minimum nécessaire et ne pas être conservées après le contrôle.

    Protection de la vie privée, craintes de surveillance, risques de faux : les questions soulevées par l’annonce d’un passe sanitaire en France et en Europe évoquent les débats ouverts par le lancement des applications de traçage des contacts, au printemps 2020. Les deux dispositifs devraient être utilisés par de nombreux Français, cet été, dans la même application mobile, TousAntiCovid.

    Une importante différence sépare les deux technologies. Quand la fonction de traçage de TousAntiCovid établit sur le téléphone un historique des contacts croisés par les utilisateurs, le passe sanitaire utilise des informations déjà existantes dans les fichiers dont le ministère de la santé est responsable : le système d’information de dépistage populationnel (SI-DEP) pour le résultat des tests, qui sont conservés trois mois, et Vac-SI, pour la liste des personnes vaccinées, dont l’enregistrement est pour l’instant prévu jusqu’à la fin de l’année. Pour les patients, les médecins et les douaniers la procédure reste donc identique, la certification apposée par l’Etat est la seule nouveauté.

    Les informations auxquelles pourront avoir accès les agents habilités à contrôler le passe sanitaire (policiers, gendarmes, douaniers français et étrangers, agents de compagnie aérienne) sont uniquement celles recommandées à tous les Etats membres par la Commission européenne : nom, prénom et date de naissance – pour vérifier que le passe correspond à l’identité de la personne –, suivis de la date, du type de test et du résultat ou de la date et du type de vaccin.Retour ligne automatique
    « Rupture du secret médical »

    « Il ne serait pas normal que le numéro de sécurité sociale soit mentionné sur le document », a averti le comité de contrôle et de liaison (CCL) Covid-19 dans une liste de « points de vigilance » envoyés au gouvernement, le 20 avril. Si l’identifiant est bien présent dans les fichiers SI-DEP et Vac-SI, son affichage n’est pas prévu sur le passe sanitaire. La Commission nationale informatique et libertés (CNIL) a aussi souligné, dans un avis rendu le 22 avril, l’importance de s’assurer que les autorités « qui vérifieront le datamatrix [semblable à un code-barres ou à un QR code] ne doivent, en aucun cas, générer la création d’une base centralisée de données » et les conserver après le contrôle.

    TousAntiCovid permet aussi de n’afficher que l’identité et un datamatrix contenant le reste des informations. Dans ce cas, la machine utilisée lors du contrôle vérifie l’authenticité du test en comparant sa signature à la base de données du gouvernement, puis y applique les règles locales ou nationales (par exemple, un test PCR doit parfois dater de moins de trente-six heures, plus souvent soixante-douze heures). Une validation ou un refus apparaît, comme un feu « rouge » ou « vert », sur l’écran du policier ou du douanier. Une solution qui a la préférence d’Emmanuel Rusch, président du CCL, qui estime que l’affichage d’un résultat ou d’une vaccination constitue déjà une « rupture du secret médical, dont une extension des dérogations doit passer par la loi ».

    En France, la direction générale de la santé a fait appel à de nouveaux partenaires pour certifier au mieux le résultat de test ou la preuve d’un vaccin reçu. L’Imprimerie nationale a été associée aux travaux pour son expertise du standard 2D-Doc, produit par le ministère de l’intérieur et utilisé sur le datamatrix. Le code-barres figure sur le passe sanitaire, mais sera aussi présent, dès l’automne, sur la nouvelle carte nationale d’identité française.

    #TousAntiCovid #QRcode #contactTracing #consentement #données #COVID-19 #santé #CNIL

    ##santé

  • Suresnes veut détecter les comportements suspects
    https://www.nextinpact.com/article/45514/suresnes-veut-detecter-comportements-suspects

    La ville de Suresnes, dans les Hauts de Seine, va relier ses caméras de vidéosurveillance (en novlangue juridique « vidéoprotection ») à une intelligence artificielle de XXII Group. Il n’y aura aucune reconnaissance faciale ni biométrique, assure son PDG, qui plaide pour une utilisation éthique de l’IA, et voudrait pouvoir en discuter avec la Quadrature du Net. XXII Group, une société spécialisée dans les solutions et produits d’intelligence artificielle, a sollicité la Ville de Suresnes, où elle est (...)

    #algorithme #CCTV #biométrie #vidéo-surveillance #surveillance #CNIL

  • Cookie wall : quand vont-ils arrêter de nous prendre pour des abrutis ? – Pixellibre.net
    https://pixellibre.net/2021/04/cookie-wall-quand-vont-ils-arreter-de-nous-prendre-pour-des-abrutis

    En 2019 dans sa recommandation sur les #cookies, la #CNIL considérait que le #cookie_wall était contraire au RGPD car il entravait l’utilisateur à consentir librement à donner, ou non, ses données à caractère personnel. Dans une décision rendue par le Conseil d’État, sur laquelle j’ai déjà pu écrire, le passage spécifique au cookie wall de cette recommandation était annulé, le Conseil d’État jugeait que la CNIL avait outrepassé ses capacités en déclarant cette pratique illicite.

    Pour résumer : un gros bordel juridique est né de tout ceci.

    Bordel dans lesquels les éditeurs, #publicitaires et autres acteurs s’engouffrent.

    Remettons un peu de clarté dans tout ceci, en repartant de la base (légale).

  • Google’s FLoC Is a Terrible Idea
    By Bennett Cyphers, March 3, 2021

    The third-party cookie is dying, and Google is trying to create its replacement.

    No one should mourn the death of the cookie as we know it. For more than two decades, the third-party cookie has been the lynchpin in a shadowy, seedy, multi-billion dollar advertising-surveillance industry on the Web; phasing out tracking cookies and other persistent third-party identifiers is long overdue. However, as the foundations shift beneath the advertising industry, its biggest players are determined to land on their feet.

    Google is leading the charge to replace third-party cookies with a new suite of technologies to target ads on the Web. And some of its proposals show that it hasn’t learned the right lessons from the ongoing backlash to the surveillance business model. This post will focus on one of those proposals, Federated Learning of Cohorts (FLoC), which is perhaps the most ambitious—and potentially the most harmful.

    FLoC is meant to be a new way to make your browser do the profiling that third-party trackers used to do themselves: in this case, boiling down your recent browsing activity into a behavioral label, and then sharing it with websites and advertisers. The technology will avoid the privacy risks of third-party cookies, but it will create new ones in the process. It may also exacerbate many of the worst non-privacy problems with behavioral ads, including discrimination and predatory targeting.

    Google’s pitch to privacy advocates is that a world with FLoC (and other elements of the “privacy sandbox”) will be better than the world we have today, where data brokers and ad-tech giants track and profile with impunity. But that framing is based on a false premise that we have to choose between “old tracking” and “new tracking.” It’s not either-or. Instead of re-inventing the tracking wheel, we should imagine a better world without the myriad problems of targeted ads.

    We stand at a fork in the road. Behind us is the era of the third-party cookie, perhaps the Web’s biggest mistake. Ahead of us are two possible futures.

    ...

    https://www.eff.org/fr/deeplinks/2021/03/googles-floc-terrible-idea

    #google #floc #cookies #privacy #eff #vieprivee #cnil @PMO #quadraturedunet #R2R

    Update, April 9, 2021 : We’ve launched https://amifloced.org “Am I FLoCed”, a new site that will tell you whether your Chrome browser has been turned into a guinea pig for Federated Learning of Cohorts or FLoC, Google’s latest targeted advertising experiment.

    Other Links :
    https://support.google.com/adspolicy/answer/143465?hl=en
    https://www.pnas.org/content/117/30/17680

  • Les principaux articles de la loi « sécurité globale », définitivement adoptée par l’Assemblée nationale
    https://www.lemonde.fr/societe/article/2021/04/15/les-principaux-articles-de-la-loi-securite-globale-definitivement-adoptee-pa

    Les députés ont validé, jeudi, une version du texte en partie remaniée par le Sénat. L’opposition de gauche a annoncé saisir le Conseil constitutionnel. Sécurité privée, police municipale, port d’arme en dehors du service, déploiement de drones, accès élargi aux images de vidéosurveillance et des caméras piétons : la loi pour « une sécurité globale préservant les libertés » a été adoptée, jeudi 15 avril, par un ultime vote à l’Assemblée nationale. Le groupe parlementaire du Parti socialiste (PS) a d’ores et (...)

    #CCTV #drone #législation #vidéo-surveillance #surveillance #CNIL

  • Facebook n’entend pas informer les utilisateurs concernés par la fuite des données de 533 millions de comptes
    https://www.lemonde.fr/pixels/article/2021/04/07/facebook-n-entend-pas-notifier-les-utilisateurs-concernes-par-la-fuite-des-d

    Le réseau social a expliqué que des données « publiques » avaient été collectées en détournant les outils de la plate-forme avant septembre 2019. La pression continue de monter pour Facebook, moins d’une semaine après la diffusion en ligne d’une base de données massive contenant les numéros de téléphone associés à plusieurs centaines de millions d’utilisateurs. Samedi 3 avril, un internaute a publié quasi gratuitement, sur un forum régulièrement fréquenté par des cybercriminels, une base de données contenant (...)

    #Facebook #données #hacking #CNIL

  • Au Journal officiel, des caméras « intelligentes » pour mesurer le taux de port de masque dans les transports
    https://www.nextinpact.com/lebrief/46405/au-journal-officiel-cameras-intelligentes-pour-mesurer-taux-port-masque-

    Au Journal officiel, un décret autorise le recours « à la vidéo intelligente » pour mesurer le taux de port de masque dans les transports. Avec ce texte, les exploitants des transports publics collectifs peuvent officiellement utiliser les caméras de « vidéoprotection » (caméras de surveillance installée dans l’espace public) aux fins : D’évaluation statistique dans le respect des obligations de port du masque D’adaptation de leurs actions d’information et de sensibilisation du public Derrière (...)

    #Datakalab #algorithme #CCTV #biométrie #consentement #facial #reconnaissance #masque #CNIL

  • What Google’s Privacy Sandbox Means for Internet Governance
    https://www.cigionline.org/articles/what-googles-privacy-sandbox-means-internet-governance

    Under the guise of heightened user privacy, Google’s replacement for third-party cookies will build more walls in the open web. On March 2, Google made waves in the online advertising world by introducing the beta version of its browser Chrome 89, featuring new “Web crowd and ad measurement” tools. The tools are components of Google’s “Privacy Sandbox,” a project first announced in August 2019 as an experiment to explore replacements for third-party cookie-based advertising in “a secure (...)

    #Google #Chrome #cookies #domination #FLoC #profiling #publicité #CNIL

    ##publicité

  • La CNIL enquête sur les données personnelles conservées par Clubhouse, le réseau social audio
    https://www.lemonde.fr/pixels/article/2021/03/17/la-cnil-enquete-sur-les-donnees-personnelles-conservees-par-clubhouse-le-res

    Le gendarme de la protection des données indique avoir « ouvert une instruction » à la suite de signalements sur les risques que présente l’application pour iPhone qui permet de converser en direct. L’autorité française de protection des données personnelles des internautes (CNIL) a annoncé dans un communiqué, mercredi 17 mars, avoir « ouvert une instruction et effectué des premières vérifications » pour savoir si l’application Clubhouse respectait le règlement général de protection des données (RGPD). (...)

    #Clubhouse_ #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##CNIL

  • Les Jeux olympiques ouvrent la voie aux technologies sécuritaires
    https://reporterre.net/Les-Jeux-olympiques-ouvrent-la-voie-aux-technologies-securitaires

    Les Jeux olympiques de Paris 2024 ont prévu l’usage d’une débauche de technologies sécuritaires. Mais qui ont besoin d’être légalisées. C’est ce que commence à faire la proposition de loi sécurité globale, examinée par les sénateurs à partir de ce mardi 16 mars. Autant de mesures susceptibles de porter atteinte aux libertés publiques et à la vie privée, dénoncent ses détracteurs. Accéder à un lieu sécurisé après un simple scan de votre visage. Filmer avec des drones le moindre recoin d’espace public. Anticiper (...)

    #RATP #SNCF #algorithme #CCTV #drone #biométrie #facial #reconnaissance #vidéo-surveillance #mouvement #sport #surveillance #CNIL #LDH-France (...)

    ##Technopolice

  • Vaccins : le Conseil d’Etat examine le partenariat entre Santé.fr et Doctolib
    https://www.lemonde.fr/pixels/article/2021/03/08/campagne-de-vaccination-le-conseil-d-etat-appele-a-se-prononcer-sur-le-parte

    Des associations et syndicats s’inquiètent du fait que la plate-forme héberge ses données sur les serveurs de la société américaine Amazon, mais Doctolib assure que les informations médicales des Français sont protégées. Si l’on cherche sur le site gouvernemental Santé.fr où se faire vacciner contre le Covid-19, on peut trouver une liste de centres de vaccination par département, ainsi que des liens pour prendre rendez-vous directement en ligne, en passant par des plates-formes de rendez-vous médicaux (...)

    #Microsoft #Amazon #AmazonWebServices-AWS #Doctolib #cryptage #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #HealthDataHub #santé #COVID-19 #PrivacyShield #CJUE (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##CNIL ##Conseild'État-FR