#rgpd

Benjamin #bayart - Privacy comme Business Model - Clever Cloud Fest (06/02/2025) - Bee Tube
▻https://bee-tube.fr/w/bBVCB5kqFUzBXkBDq5dcWV

— Permalink

#consentement #vieprivée #RGPD #GDPR #numérique #europe #souveraineté #régulation #protectionnisme #publicité #bigtech #bestof

Les blockchains sont-elles solubles dans le #RGPD ? - Next
▻https://next.ink/183281/les-blockchains-sont-elles-solubles-dans-le-rgpd

— Permalink

#blockchain

Ubisoft : une ONG attaque l’éditeur en justice pour violation du RGPD - Actu - Gamekult
▻https://www.gamekult.com/actualite/ubisoft-une-ong-attaque-l-editeur-en-justice-pour-violation-du-rgpd-305086

https://cdn.gamekult.com/optim/images/news/30/3050863425/ubisoft-une-ong-attaque-l-editeur-en-justice-pour-violation-du-rgpd-da696853__w854.jpg

En Autriche, l’ONG NOYB - European Center for Digital Rights a choisi d’attaquer Ubisoft en justice pour défendre un utilisateur qui estime que l’éditeur français récolte ses données personnelles à l’encontre de la réglementation européenne. Il dénonce notamment la connexion en ligne obligatoire pour certains titres qui n’en ont pas besoin sur le papier.

#jeux_vidéo #jeu_vidéo #ubisoft #noyb #justice #rgpd #vie_privée #jeu_vidéo_far_cry_primal

#Données_personnelles : l’#Europe va assouplir sa réglementation dans “les semaines à venir”
▻https://www.politico.eu/article/donnees-personnelles-leurope-va-assouplir-sa-reglementation-dans-les-semain

Longtemps considéré comme intouchable à #Bruxelles, le #RGPD est le prochain sur la liste de la croisade de l’#UE contre la surréglementation.

Quand tu es journaliste ds un journal de droite, tu as le droit de ne pas être tout à fait sans idéologie dans tes papiers.

En Europe, les migrants premières victimes de l’intelligence artificielle

Alors que se tient à Paris cette semaine le Sommet pour l’action sur l’intelligence artificielle (IA), chefs d’État, chefs d’entreprise, chercheurs et société civile sont appelés à se prononcer sur les #risques et les #limites de ses usages. Des #biais_discriminatoires et des #pratiques_abusives ont déjà été observés, en particulier dans la gestion européenne de l’immigration.

Un #détecteur_d’émotions pour identifier les #mensonges dans un #récit, un #détecteur_d’accent pour trouver la provenance d’un ressortissant étranger, une analyse des #messages, des #photos, des #géolocalisations d’un #smartphone pour vérifier une #identité… voici quelques exemples de systèmes intelligents expérimentés dans l’Union européenne pour contrôler les corps et les mouvements.

« Ici, les migrations sont un #laboratoire_humain d’#expérimentation_technologique grandeur nature », résume Chloé Berthélémy, conseillère politique à l’EDRi (European Digital Rights), un réseau d’une cinquantaine d’ONG et d’experts sur les droits et libertés numériques. « Les gouvernements et les entreprises utilisent les environnements migratoires comme une phase de #test pour leurs produits, pour leurs nouveaux systèmes de contrôle. »

Des détecteurs de mensonges à la frontière

L’un des plus marquants a été le projet #iBorderCtrl. Financé partiellement par des fonds européens, le dispositif prévoyait le déploiement de détecteurs de mensonges, basés sur l’analyse des #émotions d’un individu qui entrerait sur le sol européen. « Les #visages des personnes, en particulier des demandeurs d’asile, étaient analysés pour détecter si, oui ou non, ils mentaient. Si le système considérait que la personne était un peu suspecte, les questions devenaient de plus en plus compliquées. Puis, éventuellement, on arrivait à un contrôle plus approfondi par un agent humain », explique-t-elle.

Expérimenté dans les #aéroports de Grèce, de Hongrie et de Lettonie, il ne serait officiellement plus utilisé, mais l’EDRi émet quelques doutes. « Dans ce milieu-là, on est souvent face à une #opacité complète et il est très dur d’obtenir des informations. Difficile de dire à l’heure actuelle si cette technologie est encore utilisée, mais dans tous les cas, c’est une volonté européenne que d’avoir ce genre de systèmes aux frontières. »

Drones de surveillance, caméras thermiques, capteurs divers, les technologies de surveillance sont la partie émergée de l’iceberg, la face visible de l’intelligence artificielle. Pour que ces systèmes puissent fonctionner, il leur faut un carburant : les #données.

Les bases de données se multiplient

L’Europe en a plusieurs en matière d’immigration. La plus connue, #Eurodac – le fichier des #empreintes_digitales – vise à ficher les demandeurs et demandeuses d’asile appréhendés lors d’un passage de frontière de manière irrégulière. Créée en 2002, la nouvelle réforme européenne sur l’asile étend considérablement son pouvoir. En plus des empreintes, on y trouve aujourd’hui des photos pour alimenter les systèmes de #reconnaissance_faciale. Les conditions d’accès à Eurodac pour les autorités policières ont également été assouplies. « Elles pourront le consulter pour des objectifs d’enquêtes criminelles, on retrouve donc cette idée que de facto, on traite les demandeurs d’asile, les réfugiés, avec une présomption d’illégalité », conclut Chloé Berthélémy.

Or, ces collectes d’informations mettent de côté un principe clef : celui du #consentement, condition sine qua non dans l’UE du traitement des données personnelles, et clairement encadré par le Règlement général de protection des données (#RGPD). Les politiques migratoires et de contrôles aux frontières semblent donc faire figures d’#exception. Lorsqu’une personne pose le pied sur le sol européen, ses empreintes seront collectées, qu’il soit d’accord ou non. Selon l’EDRi, « l’Union européenne est en train de construire deux standards différents. Un pour ceux qui ont les bons papiers, le bon statut migratoire, et un autre pour ceux qui ne les ont pas ».

Un nouveau cadre juridique qui a d’ailleurs été attaqué en justice. En 2021, en Allemagne, la GFF, la Société des droits civils (qui fait partie du réseau de l’EDRi) triomphe de l’Office allemand de l’immigration, condamné pour pratiques disproportionnées. Textos, données de géolocalisation, contacts, historique des appels et autres #fichiers_personnels étaient extraits des #smartphones des demandeurs d’asile à la recherche de preuve d’identité.

Automatisation des décisions

Une fois les frontières passées, l’intelligence artificielle continue à prendre pour cible des étrangers, à travers sa manifestation la plus concrète : les #algorithmes. Examiner les demandes de #visa ou de #naturalisation, attribuer un #hébergement, faciliter l’organisation des #expulsions, prédire les flux migratoires… la multiplication des usages fait craindre aux chercheurs une administration sans guichet, sans visage humain, entièrement automatisée. Problème : ces systèmes intelligents commettent encore beaucoup trop d’#erreurs, et leur prise de décisions est loin d’être objective.

En 2023, l’association La Quadrature du Net révèle que le code source de la Caisse nationale d’allocations familiales (Cnaf) attribue un « score de risque » à chaque allocataire. La valeur de ce score est ensuite utilisée pour sélectionner ceux qui feront l’objet d’un contrôle. Parmi les critères de calcul : avoir de faibles revenus, être au chômage, ou encore être né en dehors de l’Union européenne. « En assimilant la précarité et le soupçon de fraude, l’algorithme participe à une politique de #stigmatisation et de #maltraitance institutionnelle des plus défavorisés », estime Anna Sibley, chargée d’étude au Gisti. Quinze ONG ont d’ailleurs attaqué cet algorithme devant le Conseil d’État en octobre 2024 au nom du droit à la protection des données personnelles et du principe de non-discrimination.

Autre exemple : l’IA a déjà été utilisée par le passé pour soutenir une prise de décision administrative. En 2023, le ministère de l’Intérieur a « appelé à la rescousse » le logiciel #Google_Bard, un outil d’aide à la prise de décision, pour traiter la demande d’asile d’une jeune Afghane. « Ce n’est pas tant le fait que l’intelligence artificielle ait donné une réponse négative qui est choquant. C’est plutôt le fait qu’un employé du ministère de l’Intérieur appuie sa réponse sur celle de l’IA, comme si cette dernière était un argument valable dans le cadre d’une décision de justice », analyse la chercheuse.

#Dématérialisation à marche forcée

En 2024, un rapport du Défenseur des droits pointait du doigt les atteintes massives aux droits des usagers de l’ANEF, l’administration numérique des étrangers en France. Conçue pour simplifier les démarches, l’interface permet le dépôt des demandes de titres de séjour en ligne.

Pourtant, les #dysfonctionnements sont criants et rendent la vie impossible à des milliers de ressortissants étrangers. Leurs réclamations auprès du Défenseur des droits ont augmenté de 400% en quatre ans. Des #plaintes allant du simple problème de connexion aux erreurs de décisions de la plateforme. Un casse-tête numérique contre lequel il est difficile de se prémunir. « Les services d’accompagnement déployés sont trop limités », constate Gabrielle de Boucher, chargée de mission numérique droits et libertés auprès du Défenseur des droits. Selon elle, il est important que la France reconnaisse aux étrangers le droit de réaliser toute démarche par un canal humain, non dématérialisé, un accueil physique.

Le biais discriminatoire

Autre écueil de la dématérialisation croissante des administrations : le biais discriminatoire. Puisque les systèmes intelligents sont entraînés par des êtres humains, ces derniers reproduisent leurs biais et les transmettent involontairement à l’IA. Illustration la plus concrète : les erreurs d’#identification.

En 2023, un homme a été arrêté aux États-Unis après que les logiciels de reconnaissance faciale l’ont désigné par erreur comme l’auteur de vols. « On peut légitimement avoir des craintes sur le respect des droits, puisqu’on sait, par exemple, que le taux d’erreur est plus élevé pour les personnes non blanches », s’inquiète Gabrielle du Boucher. Comme elles sont sous représentées dans les #bases_de_données qui nourrissent l’apprentissage de l’IA, celle-ci sera moins fiable que lorsqu’elle devra, par exemple, se concentrer sur les personnes blanches.

►https://www.infomigrants.net/fr/post/62762/en-europe-les-migrants-premieres-victimes-de-lintelligence-artificiell
#IA #AI #intelligence_artificielle #migrations #réfugiés #victimes #frontières #technologie #contrôle #surveillance #accent #langue #discrimination

Fin de partie pour #23andMe, en passe d’être vendue - Next
▻https://next.ink/brief_article/fin-de-partie-pour-23andme-en-passe-detre-vendue

(...)

Pour les usagers installés dans des zones où la loi protège les données personnelles, il est encore possible de supprimer ses informations et données #génétiques pour éviter qu’elles ne soient transmises à un futur acheteur. 


C’est en tout cas ce que recommande le procureur général Bonta aux clients installés en Californie – l’État américain a passé une loi similaire au Règlement européen sur la protection des données (#RGPD).

#ADN

À #France_Travail, l’essor du #contrôle_algorithmique

« #Score_de_suspicion » visant à évaluer l’honnêteté des chômeur·ses, « #score_d’employabilité » visant à mesurer leur « #attractivité », algorithmes de #détection des demandeur·ses d’emploi en situation de « perte de confiance », en « besoin de redynamisation » ou encore à « risque de dispersion »… France Travail multiplie les #expérimentations de #profilage_algorithmique des personnes sans emploi.

Mise à jour du 12 juillet 2024 : le directeur général de France Travail a souhaité utiliser son droit de réponse. Vous la trouverez à la suite de l’article.

Après avoir traité de l’utilisation par la #CAF d’un algorithme de notation des allocataires, nous montrons ici que cette pratique est aussi partagée par France Travail, ex-#Pôle_Emploi. À France Travail, elle s’inscrit plus largement dans le cadre d’un processus de #numérisation_forcée du #service_public de l’#emploi.

–-> Retrouvez l’ensemble de nos publications sur l’utilisation par les organismes sociaux d’algorithmes à des fins de contrôle social sur notre page dédiée et notre Gitlab : ▻https://git.laquadrature.net/la-quadrature-du-net/algo-et-controle.

Au nom de la « #rationalisation » de l’action publique et d’une promesse « d’#accompagnement_personnalisé » et de « #relation_augmentée », se dessine ainsi l’horizon d’un service public de l’emploi largement automatisé. Cette #automatisation est rendue possible par le recours à une myriade d’algorithmes qui, de l’inscription au suivi régulier, se voient chargés d’analyser nos données afin de mieux nous évaluer, nous trier et nous classer. Soit une extension des logiques de #surveillance_de_masse visant à un #contrôle_social toujours plus fin et contribuant à une #déshumanisation de l’accompagnement social.

De la CAF à France Travail : vers la multiplication des « scores de suspicion

C’est, ici encore, au nom de la « #lutte_contre_la_fraude » que fut développé le premier algorithme de #profilage au sein de France Travail. Les premiers travaux visant à évaluer algorithmiquement l’#honnêteté des personnes sans emploi furent lancés dès 2013 dans la foulée de l’officialisation par la CAF de son algorithme de notation des allocataires. Après des premiers essais en interne jugés « frustrants » [1], France Travail – à l’époque Pôle Emploi – se tourne vers le secteur privé. C’est ainsi que le développement d’un outil de détermination de la probité des demandeur·ses d’emploi fut confié à #Cap_Gemini, une multinationale du CAC40 [2].

La #notation des chômeur·ses est généralisée en 2018. La présentation qui en est faite par France Travail donne à voir, comme à la CAF, l’imaginaire d’une institution assiégée par des chômeur·ses présumé·es malhonnêtes. Ses dirigeant·es expliquent que l’algorithme assigne un « score de suspicion » – dans le texte – visant à détecter les chômeur·ses les plus susceptibles « d’#escroquerie » grâce à l’exploitation de « #signaux_faibles » [3]. Une fois l’ensemble des personnes sans emploi notées, un système d’« #alertes » déclenche ainsi des #contrôles lorsque l’algorithme détecte des situations « suspectes » (emploi fictif, usurpation d’identité, reprise d’emploi non déclarée) [4].

Pour l’heure, France Travail s’est refusé à nous communiquer le code source de l’algorithme. Au passage, notons que ses dirigeants ont par ailleurs refusé, en violation flagrante du droit français, de fournir la moindre information aux demandeur·ses d’emploi que nous avions accompagné·es pour exercer leur droit d’accès au titre du #RGPD [5]. Nous avons cependant obtenu, via l’accès à certains documents techniques, la liste des variables utilisées.

On y retrouve une grande partie des données détenues par France Travail. Aux variables personnelles comme la nationalité, l’âge ou les modalités de contact (mails, téléphone…) s’ajoutent les données relatives à notre vie professionnelle (employeur·se, dates de début et de fin de contrat, cause de rupture, emploi dans la fonction publique, secteur d’activité…) ainsi que nos #données financières (RIB, droits au chômage…). À ceci s’ajoute l’utilisation des données récupérées par France Travail lors de la connexion à l’espace personnel (adresse IP, cookies, user-agent). La liste complète permet d’entrevoir l’ampleur de la #surveillance_numérique à l’œuvre, tout comme les risques de #discriminations que ce système comporte [6].

#Profilage_psychologique et gestion de masse

Fort de ce premier « succès », France Travail décide d’accroître l’usage d’algorithmes de profilage. C’est ainsi que, dès 2018, ses dirigeant·es lancent le programme #Intelligence_Emploi [7]. Son ambition affichée est de mettre l’#intelligence_artificielle « au service de l’emploi » pour « révéler à chaque demandeur d’emploi son #potentiel_de_recrutement » [8].

Un des axes de travail retient notre attention : « Accélérer l’accès et le retour à l’emploi [via un] #diagnostic “augmenté” pour un accompagnement plus personnalisé ». Ici, l’#IA doit permettre de d’« augmenter la capacité de diagnostic » relative aux « traitements des aspects motivationnels » via la « détection de signaux psychologiques » [9]. En son sein, deux cas d’usage retenus sont particulièrement frappants.

Le premier est le développement d’algorithmes visant à « anticiper les éventuels #décrochages », prévenir les « #risques_de_rupture » [10] ou encore « détecter les moments où ils [les personnes au chômage] peuvent se sentir découragés ou en situation de fragilité » [11].

Ces travaux ont trouvé, au moins en partie [12], un premier aboutissement dans l’outil du #Journal_de_la_Recherche_d’Emploi (#JRE) actuellement expérimenté dans plusieurs régions de France [13]. Le JRE assigne à chaque incrit·e quatre scores de « profilage psychologique » visant respectivement à évaluer la « dynamique de recherche » d’emploi, les « signes de perte de confiance », le « besoin de #redynamisation » ou les « risques de dispersion » [14].

Ces informations sont synthétisées et présentées aux conseiller·es sous la forme d’un tableau de bord. « Parcours à analyser », « Situations à examiner », « Dynamique de recherche faible » : des alertes sont remontées concernant les chômeur·ses jugé·es déficient·es par tel ou tel algorithme. Le ou la conseiller·e doit alors faire un « #diagnostic_de_situation » – via l’interface numérique – afin d’« adapter l’intensité » des « actions d’accompagnement ». Et là encore, ils et elles peuvent s’appuyer sur des « #conseils_personnalisés » générés par un dernier algorithme [15].

Contrôle, #mécanisation et déshumanisation de l’accompagnement : voilà la réalité de ce que le directeur de France Travail appelle « l’accompagnement sur mesure de masse » [16].

Diagnostic et score d’#employabilité

Le second cas d’usage est tout aussi inquiétant. Il s’agit de déterminer la « qualité » d’un·e demandeur·se d’emploi. Ou, pour reprendre les termes officiels, son « employabilité » [17]. Ce projet n’est pas encore déployé à grande échelle, mais nous savons qu’une première version – basée, elle, sur des techniques d’intelligence artificielle [18] – a été développée en 2021 [19].

L’algorithme alloue à chaque inscrit·e un score prédisant ses « chances de retour à l’emploi ». Véritable outil automatique de #tri des chômeur·ses, il vise à organiser la « #priorisation des actions d’accompagnement » [20] en fonction d’un supposé #degré_d’autonomie de la personne sans emploi.

Si les informations disponibles sur ce projet sont limitées, on peut imaginer que ce score permettra le contrôle en temps réel de la « progression de la #recherche_d’emploi » via les actions entreprises pour améliorer « l’attractivité [de leur] profil » [21]. Il serait alors un indicateur d’évaluation en continu de la bonne volonté des chômeur·ses.

Mais on peut aussi penser qu’il sera utilisé pour inciter les personnes sans emploi à se diriger vers les « #métiers_en_tension », dont une majorité concentre les conditions de travail les plus difficiles. En demandant aux chômeur·ses d’améliorer leur score, via une #réorientation, ils et elles seraient encouragé·es à accepter un emploi au rabais.

Agenda partagé & agences virtuelles

Mais l’étendue du processus de numérisation à l’oeuvre à France Travail va bien au-delà de ces exemples. Côté contrôle numérique, citons l’interface « #XP_RSA » [22], l’outil numérique déployé dans le cadre de la récente réforme du #RSA. Cette interface n’est rien d’autre qu’un agenda partagé permettant de déclarer, et de contrôler, les quinze à vingt « #heures_d’activité » hebdomadaires dont vont devoir s’acquitter les bénéficiaires du minima social. Son remplissage forcé est un pas supplémentaire vers le #flicage des plus précaires.

Côté IA, France Travail a lancé en 2024 le programme « #Data_IA » [23], successeur d’Intelligence Emploi mentionné plus haut. Présenté avec fracas au salon de l’« innovation technologique » VivaTech – organisé par le groupe Publicis –, on retrouve parmi les projets en développement une #IA_générative visant à numériser l’accompagnement et la #recherche_d’emploi (« #Match_FT ») [24]. France Travail s’intéresse aussi aux « #maraudes_numériques » pour « remobiliser les jeunes les plus éloignés de l’emploi » [25] et au développement d’« #agences_virtuelles » [26].

#Austérité, automatisation et #précarisation

La numérisation de France Travail signe la naissance d’un modèle de gestion de masse où coexistent une multitude d’algorithmes ayant chacun la tâche de nous classifier selon une dimension donnée. Risque de « fraude », de « dispersion », de « perte de confiance », suivi des diverses obligations : les capacités de collecte et de traitements de données sont mises au service de la détection, en temps réel, des moindres écarts à des normes et règles toujours plus complexes [27]. Cette numérisation à marche forcée sert avant tout à contrôler les personnes sans emploi [28].

À l’heure où Gabriel Attal annonce une énième réforme de l’assurance-chômage passée en force alors que l’Assemblée nationale est dissoute, ce contrôle ne cache plus son but : forcer les plus précaires à accepter des #conditions_de_travail toujours plus dégradées [29].

Loin des promesses de « libérer du temps pour les conseillers » ou d’offrir un accompagnement « plus réactif et plus personnalisé » [30] aux personnes sans emploi, cette numérisation contribue à la déshumanisation d’un service essentiel et à l’#exclusion des plus précaires, voire tend à une généralisation du #non-recours_aux_droits. Il ne s’agit pas d’idéaliser le traitement « au guichet », mais de rappeler que la numérisation forcée accentue les écueils de ce dernier. En accompagnant la fermeture des points d’accueil, elle transfère une partie du travail administratif aux personnes usagères du service public, participant à l’éloignement de celles et ceux qui ne sont pas en mesure de le prendre en charge [31].

En standardisant les processus d’accompagnement, via la #quantification de chaque action et le profilage de toute une population, elle restreint les possibilités d’échange et supprime toute possibilité d’accompagnement réellement personnalisé [32].

En facilitant le contrôle généralisé, elle accentue enfin la #stigmatisation des plus précaires et participe activement à leur #paupérisation.

–-

Mise à jour du 12 juillet 2024

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, a souhaité exercer son droit de réponse que nous publions ci-dessous in extenso.

« Madame, Monsieur,

Je reviens vers vous suite à mon précédent courrier du 2 juillet.

Bien que le délai de 3 jours prévu à l’article 1.1-III de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique soit aujourd’hui expiré, je constate que le droit de réponse qui vous a été adressé n’a pas été publié. Pour rappel, le non-respect de cette obligation est passible d’une amende de 3 750 €.

Aussi, je réitère par la présente ma demande de publication d’un droit de réponse suite à la parution le 25 juin 2024 de l’article intitulé « A France Travail, l’essor du contrôle algorithmique » (librement accessible à l’adresse : ►https://www.laquadrature.net/2024/06/25/a-france-travail-lessor-du-controle-algorithmique).

Dans cet article, vous évoquez un « service public de l’emploi largement automatisé », ainsi qu’une utilisation des algorithmes qui « contribue à la déshumanisation d’un service essentiel », favorise « la stigmatisation des plus précaires et participe activement à leur paupérisation » et constitue « un pas supplémentaire vers le flicage des plus précaires ». Il s’agirait d’une « extension des logiques de surveillance de masse visant à un contrôle social toujours plus fin et contribuant à une déshumanisation de l’accompagnement social », cette « numérisation à marche forcée ser[van]t avant tout à contrôler les personnes sans emploi ». Vous faites également état de « la fermeture des points d’accueil ».

Nous nous inscrivons en faux contre ces propos erronés qui conduisent à jeter un discrédit sur le travail des plus de 55 000 collaborateurs qui accompagnent chaque jour les demandeurs d’emploi et les entreprises et à travestir la réalité concernant l’usage que nous faisons de ces algorithmes.

L’utilisation des algorithmes au sein de France Travail ne vise en aucun cas à remplacer le travail des conseillers. L’intelligence artificielle (IA) vient en complément et ne se substitue jamais à une intervention humaine. Au contraire, nous concevons les algorithmes et l’IA comme des outils d’aide à la décision pour les conseillers ou un moyen de leur libérer du temps administratif afin de leur permettre de se consacrer pleinement à l’accompagnement des demandeurs d’emploi.

Toute utilisation d’algorithmes est en outre encadrée par une charte éthique (▻https://www.francetravail.org/accueil/communiques/pole-emploi-se-dote-dune-charte-pour-une-utilisation-ethique-de-linte) qui décrit nos engagements pour garantir un cadre de confiance respectueux des valeurs de France Travail, à l’opposé de toute « notation de chômeurs » que vous pointez dans votre article. Un comité d’éthique externe composé de personnalités qualifiées garantit le respect de ce cadre. En aucun cas, les algorithmes ne sont utilisés pour « encourager les demandeurs d’emploi à accepter des emplois au rabais ».

Concernant la « mécanisation » ou la « déshumanisation » de l’accompagnement que vous avancez, c’est méconnaitre le travail que réalisent les conseillers quotidiennement dans plus de 900 agences ou par téléphone. Aucun projet de fermeture d’agence n’est d’ailleurs envisagé contrairement à ce que vous dites et France Travail est un des rares services publics à être ouvert tous les jours, sur flux le matin et sur rendez-vous l’après-midi. Plus de 8,8 millions de personnes sont venues dans nos agences l’année dernière. Cet accueil en agence reflète justement notre politique de proximité et d’accompagnement notamment des plus précaires. L’ambition de la loi pour le plein emploi est en outre de renforcer l’accompagnement humain des plus éloignés, en particulier des bénéficiaires du RSA.

Vous parlez enfin de « flicage des plus précaires » à travers l’utilisation d’algorithmes concernant le contrôle de la recherche d’emploi et la lutte contre la fraude. Il convient tout d’abord de souligner que ce sont deux activités distinctes, le contrôle de la recherche d’emploi ne saurait être assimilé à de la lutte contre de la fraude, qui est, par définition, une activité illégale et susceptible de poursuites pénales. Sur ce dernier point, l’utilisation des données dans la lutte contre la fraude vise avant tout à protéger nos usagers. En effet, la majorité des situations recherchées par les équipes de France Travail ne concerne pas des demandeurs d’emploi mais des individus qui détournent les services d’indemnisation du chômage, bien souvent au préjudice de nos usagers : usurpation d’identité des demandeurs d’emploi pour s’approprier leurs droits à l’assurance chômage ou détourner leurs paiements, individus se fabricant un faux passé professionnel ou une fausse résidence en France pour ouvrir des droits indus. Concernant le contrôle de la recherche d’emploi, là encore nous réfutons vivement l’idée selon laquelle nous mènerions une chasse aux plus précaires. Tout demandeur d’emploi inscrit à France Travail bénéficie de droits mais a également des devoirs qui lui sont présentés dès son inscription, dont celui de rechercher activement un emploi. 600 conseillers sont dédiés à ce contrôle et là encore, l’IA est un outil d’aide et en aucun la pierre angulaire des contrôles réalisés par ces conseillers en contact avec les demandeurs d’emploi tout au long de ce processus de contrôle. Là encore votre article méconnaît le travail de nos conseillers et constitue une atteinte à leur engagement et à leur intégrité.

Je vous remercie de publier sans délai ce droit de réponse. A défaut, je me réserve la possibilité de saisir les juridictions à cet effet.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes sincères salutations.

Thibaut Guilluy »

Notre réponse :

À la suite de notre article, France Travail, via son directeur général Thibaut Guilly, nous a initialement écrit pour faire des remarques d’ordre général sur notre article. Puis, dans une nouvelle lettre reçue aujourd’hui, il est subitement passé aux menaces : nous n’aurions, selon lui, pas fait droit à sa prétendue « demande de publication d’un droit de réponse ». Ces menaces sont particulièrement malvenues et, au demeurant, totalement vaines, puisque rien dans son courrier initial n’indiquait qu’il s’agissait d’une demande de droit de réponse…

Le directeur général de France Travail s’en tient à une poignée d’éléments de langage sans jamais répondre sur le fond. Pas un mot sur la multiplication des algorithmes de profilage à des fins de contrôle. Tout au plus y apprend-on que des algorithmes d’IA sont aussi utilisés à des fins de « contrôle de la recherche d’emploi », ce que nous ignorions.

Cette lettre se borne ainsi à un simple exercice, maladroit et malvenu, de communication. Elle s’essaye vainement à réfuter l’expression de « flicage des plus précaires » pour décrire les outils de surveillance des allocataires du RSA. La mise en place d’un agenda partagé pour le contrôle des 15 à 20 heures d’activité de ces dernier·ès serait ainsi – il faut savoir apprécier l’humour – une mesure visant à « renforcer l’accompagnement humain ».

Quant à l’impact de la numérisation sur l’accueil des plus précaires, le directeur général de France Travail nie la réalité, tout comme son homologue de la CNAF, afin de minimiser l’étendue de la surveillance et le projet politique sous-jacent. Qu’a-t-il donc à répondre à la Défenseure des droits qui, en 2022 dans son deuxième rapportsur la dématérialisation des services publics, rappelait la hausse des inégalités et des réclamations en raison de cette dématérialisation « à marche forcée » ?

Enfin, opposer, comme le fait cette lettre, le travail des salarié·es de France Travail et notre action de documentation et d’alerte sur les abus de l’administration est stérile : la déshumanisation et le changement de nature du service public se font non seulement au détriment des personnes au chômage mais également des agent·es de France Travail, comme l’ont dénoncé syndicats et associations au moment de la réforme de l’assurance chômage et la transformation de Pôle Emploi en France Travail [33].

Ce que cette lettre souligne avant tout c’est donc l’absence de recul, de capacité de remise en cause et d’esprit critique du directeur général de France Travail quant à l’extension des logiques de contrôle numérique au sein de son institution. Ou sa pleine adhésion à ce projet.
Notes

[1] Voir cette note de synthèsenote de synthèse revenant sur les premières expérimentation faites par Pôle Emploi.

[2] Voir cet article sur l’implication de Cap Gemini dans la réalisation de l’outil de scoring.

[3] L’expression « score de suspicion » est extraite de l’analyse d’impact disponible ici, celle de « signaux faibles » d’une note de suivi des travaux OCAPI 2018 disponible ici, celle d’« indices » de l’ article présentant la collaboration de France Travail avec Cap Gemini. Quant au terme d’« escroquerie », il est issu d’un échange de mails avec un·e responsable de France Travail.

[4] L’algorithme utilisé semble se baser sur des arbres de décisions, sélectionnés via XGBoost. Les principaux cas d’entraînement semblent être la détection de périodes d’activité dites « fictives » – soit des périodes de travail déclarées mais non travaillées – d’usurpation d’identité et de reprise d’emploi non déclarée. Voir ce document.

[5] Nous accompagnons différentes personnes dans des demandes d’accès à leurs données personnelles. Pour l’instant, France Travail s’est systématiquement opposé à leur donner toute information, en violation du droit.

[6] Voir notamment nos articles sur l’algorithme de la CAF, en tout point similaire à cette page.

[7] Ce programme, financé à hauteur de 20 millions d’euros par le Fond de Transformation de l’Action Publique a été construit autour de 3 axes et s’est déroulé de 2018 à 2022. Voir notamment la note de 2020 envoyée à la DINUM par France Travail, disponible ici.

[8] Rapport annuel 2018 de Pôle Emploi disponible ici.

[9] Voir cette note envoyée par Pôle Emploi à la DINUM.

[10] voir note 9

[11] Voir ce support de webinaire.

[12] En partie puisqu’au cœur des algorithmes du JRE, nulle trace de machine learning ou de traitements statistiques complexes. Chaque score résulte de l’application de règles simples, bien loin des ambitions initiales de recours à l’intelligence artificielle. Les dirigeant·es de France Travail semblent ici avoir éprouvé les limites d’un techno-solutionnisme béat. Voir ce document. À noter aussi que ce document évoque une « brique IA Mire » portant sur la détection de « situations de décrochage ». Il se pourrait donc que des algorithmes plus avancés soient en développement.

[13] Le JRE est une refonte de l’interface numérique. Voir à ce sujet l’excellent article de Basta disponible ici. Si le JRE ne semble pas avoir été créé dans le cadre du programme Intelligence Emploi, il semble avoir été le cadre d’expérimentations de plusieurs des solutions produites. Voir ici.

[14] Voir le document « Fiches pratiques à destination des conseillers » portant sur le JRE disponible ici.

[15] Les documents les plus parlants sur la mécanisation de l’accompagnement via le JRE sont ce support et ce document à destination des conseiller·es. Voir aussi les documents que nous mettons en ligne sur l’utilisation d’IA pour générer des conseils automatisés, consultables par les personnes sans emploi et les conseiller·es.

[16] Voir cette interview du directeur actuel de France Travail.

[17] Pour un aperçu historique de la notion d’employabilité, voir le chapitre 5 de France Travail : Gérer le chômage de massse de J.-M Pillon.

[18] Voir cette note envoyée par Pôle Emploi à la DINUM en 2020.

[19] Voir cette autre note envoyée par Pôle Emploi à la DINUM en 2021.

[20] voir note 18

[21] Voir ce document sur l’utilisation de l’IA à Pôle Emploi.

[22] Voir ce document de présentation de XP RSA.

[23] Voir ce document de présentation du programme Data IA.

[24] Pour Match FT, voir cet entretien, ce tweet et cet article de la Banque des Territoires. Voir aussi Chat FT, l’IA générative pour l’instant dédiée aux conseillers·es, dans ce document.

[25] Voir ce tweet.

[26] Voir ce tweet.

[27] Sur la réforme à venir, voir notamment cet article du Monde. Sur le triplement des contrôles, voir cet articledu même journal.

[28] Sur l’histoire du contrôle à France Travail, voir le livre Chômeurs, vos papiers de C. Vivès, L. Sigalo Santos, J.-M. Pillon, V. Dubois et H. Clouet, le rapport Le contrôle des chômeurs de J.-M. Méon, E. Pierru et V. Dubois disponible Sur le triplement des contrôles, voir ici et le livre France Travail : gérer le chômage de masse de Jean-Marie Pillon.

[29] voir note 27

[30] Voir, entre autres, cette vidéo du responsable du programme Data IA.

[31] Voir le livre L’Etat social à distance de Clara Deville.

[32] Voir le texte Déshumaniser le travail social de Keltoum Brahan et Muriel Bombardi, publié dans le numéro de février 2017 de CQFD.

[33] La CGT a dénoncé une réforme qui n’« est pas favorable » aux personnes sans emploi. La CGT Pôle Emploi y voit une numérisation du service public qui « détruira les nécessaires relations humaines, et accentuera la fracture numérique et donc la précarité » et une réforme qui va « renforcer les devoirs au détriment des droits », ou encore « accroître les tensions entre les agents et les demandeurs d’emploi ». Solidaires a dénoncé le caractère « trompeur » de l’accompagnement. Côté personnes sans emploi, le constat est le même : cette transformation rend les personnes « Coupable[s] d’être au chômage » d’après le comité National CGT des Travailleurs Privés d’Emploi et Précaires. Enfin, les associations de solidarité et des syndicats ont ensemble dénoncé dans le Monde le « risque des contrôles abusifs de la situation globale des ménages ».

▻https://lagrappe.info/?A-France-Travail-l-essor-du-controle-algorithmique-1132
#algorithme #chômage #profilage

[au cas où] Association Collaborative d’Adoration de Bridget @shilderi

pensez a allez la dedans au plus vite
y’a eu une maj qui vous fait accepter par défaut de fournir vos données a l’#ia de twitter

https://pbs.twimg.com/media/GTZY1MvXMAAlVmx?format=jpg&name=medium#.jpeg

le opt in obligatoire dans le #rgpd c’est pour les chiens apparement mais on a l’habitude

#X #extractivisme

David Libeau - LinkedIn La RATP profite des concerts de Taylor Swift à Paris pour tester ses outils de surveillance généralisée dopée à l’IA, d’après un arrêté de la PP
▻https://www.linkedin.com/posts/davidlibeau_vidaezosurveillance-tayloswift-cnil-activity-71933437082373160

La Préfecture de Police de Paris vient de publier un nouvel arrêté pour autoriser l’usage de hashtag#vidéosurveillance algorithmique lors du concert de #TayloSwift de ce week-end.

▻https://lnkd.in/e3_xbFyY

Depuis le 30 avril, la RATPgroup avait modifié sa page Politique générale de confidentialité pour informer d’une nouvelle expérimentation qui devait être faite du 9 au 12 mai.

Finalement le préfet autorise l’usage de la VSA du 7 au 14 mai, en publiant l’arrêté ce 6 mai, soit la veille, ne permettant pas un recours juridictionnel.

Les stations Nanterre Préfecture et La Défense Grande Arche sont concernées.

#CNIL #RGPD #videoprotection #Paris #JO2024 #Paris2024

David Libeau
Ingénieur d’études @Arcom (direction des plateformes en ligne)

via @paniersalade

RGPD -L’effacement de son nom sur les registres de baptême peut être refusé par l’Église | Service-Public.fr
▻https://www.service-public.fr/particuliers/actualites/A17177

L’intérêt qui s’attache, pour l’Église, à la conservation des données personnelles relatives au baptême figurant dans le registre, doit être regardé comme un motif légitime impérieux, prévalant sur l’intérêt moral du demandeur à demander l’effacement définitif de ses données.

Et ce alors même que la personne n’a, en général vu son jeune age, pas donné son consentement pour une telle inscription.
#baptême #apostasie #RGPD

Gilets Jaunes : « c’est le plus gros corpus d’expression citoyenne qu’on ait analysé en France et peut-être dans le monde », que sont devenus les cahiers de doléances ?
►https://france3-regions.francetvinfo.fr/paris-ile-de-france/paris/gilets-jaunes-c-est-le-plus-gros-corpus-d-expression-ci

(...)

La mission du grand débat national a par la suite disparu et le gouvernement a demandé à l’entreprise chargée de traiter les cahiers de doléances de supprimer purement et simplement toutes les données récupérées jusqu’alors sur les ordinateurs. Des centaines de milliers de doléances perdues à jamais.

Pourquoi la #promesse de « vidéogérer » les #villes avec des caméras couplées à une #intelligence_artificielle séduit et inquiète

Sécurité, stationnement, déchets… #Nîmes a inauguré, à l’automne 2023, son « #hyperviseur_urbain ». Alors que la collecte et la circulation des #données sont au cœur de ce système, l’antenne locale de la Ligue des droits de l’homme s’inquiète. D’autres villes, comme #Dijon, ont déjà fait ce choix.

La salle a des allures de centre spatial : un mur de plus de 20 mètres de long totalement recouvert d’écrans, 76 au total, chacun pouvant se diviser en neuf. Ici parviennent les images des 1 300 #caméras disposées dans la ville de Nîmes et dans certaines communes de son agglomération.

A la pointe depuis 2001 sur le thème des #caméras_urbaines, se classant sur le podium des villes les plus vidéosurveillées du pays, Nîmes a inauguré, le 13 novembre 2023, son « #hyperviseur ». Ce plateau technique et confidentiel de 600 mètres carrés est entièrement consacré à une « nouvelle démarche de #territoire_intelligent », indique le maire (Les Républicains), Jean-Paul Fournier, réélu pour un quatrième mandat en 2020.

Avec cet outil dernier cri, sur lequel se relaient nuit et jour une cinquantaine de personnes, la ville fait un grand pas de plus vers la #smart_city (la « #ville_connectée »), une tendance en plein développement pour la gestion des collectivités.

Ce matin-là, les agents en poste peuvent facilement repérer, à partir d’images de très haute qualité, un stationnement gênant, un véhicule qui circule trop vite, un dépotoir sauvage, un comportement étrange… L’hyperviseur concentre toutes les informations en lien avec la gestion de l’#espace_public (sécurité, circulation, stationnement, environnement…), permet de gérer d’un simple clic l’éclairage public d’un quartier, de mettre une amende à distance (leur nombre a augmenté de 23 % en un an avec la #vidéoverbalisation) ou de repérer une intrusion dans un des 375 bâtiments municipaux connectés.

La collecte et la circulation des données en temps réel sont au cœur du programme. Le système s’appuie sur des caméras dotées, et c’est la nouveauté, de logiciels d’intelligence artificielle dont les #algorithmes fournissent de nouvelles informations. Car il ne s’agit plus seulement de filmer et de surveiller. « Nous utilisons des caméras qui permettent de gérer en temps réel la ville et apportent des analyses pour optimiser la consommation d’énergie, par exemple, ou gérer un flux de circulation grâce à un logiciel capable de faire du comptage et de la statistique », explique Christelle Michalot, responsable de ce centre opérationnel d’#hypervision_urbaine.

#Reconnaissance_faciale

Si la municipalité n’hésite pas à présenter, sur ses réseaux sociaux, ce nouveau dispositif, elle est en revanche beaucoup plus discrète lorsqu’il s’agit d’évoquer les #logiciels utilisés. Selon nos informations, la ville travaille avec #Ineo, une entreprise française spécialisée dans le domaine de la #ville_intelligente. Le centre de police municipale est également équipé du logiciel de #surveillance_automatisée #Syndex, et d’un logiciel d’analyse pour images de vidéosurveillance très performant, #Briefcam.

Ce dernier logiciel, de plus en plus répandu dans les collectivités françaises, a été mis au point par une société israélienne rachetée par le japonais #Canon, en 2018. Il est surtout au cœur de plusieurs polémiques et d’autant d’actions en justice intentées par des syndicats, des associations et des collectifs qui lui reprochent, notamment, de permettre la reconnaissance faciale de n’importe quel individu en activant une fonctionnalité spécifique.

Le 22 novembre 2023, le tribunal administratif de Caen a condamné la communauté de communes normande #Cœur-Côte-Fleurie, ardente promotrice de cette solution technologique, « à l’effacement des données à caractère personnel contenues dans le fichier », en estimant que l’utilisation de ce type de caméras dites « intelligentes » était susceptible de constituer « une atteinte grave et manifestement illégale au #respect_de_la_vie_privée ». D’autres décisions de la #justice administrative, comme à #Nice et à #Lille, n’ont pas condamné l’usage en soi du #logiciel, dès lors que la possibilité de procéder à la reconnaissance faciale n’était pas activée.

A Nîmes, le développement de cette « surveillance de masse » inquiète la Ligue des droits de l’homme (LDH), la seule association locale à avoir soulevé la question de l’utilisation des #données_personnelles au moment de la campagne municipale, et qui, aujourd’hui encore, s’interroge. « Nous avons le sentiment qu’on nous raconte des choses partielles quant à l’utilisation de ces données personnelles », explique le vice-président de l’antenne nîmoise, Jean Launay.

« Nous ne sommes pas vraiment informés, et cela pose la question des #libertés_individuelles, estime celui qui craint une escalade sans fin. Nous avons décortiqué les logiciels : ils sont prévus pour éventuellement faire de la reconnaissance faciale. C’est juste une affaire de #paramétrage. » Reconnaissance faciale officiellement interdite par la loi. Il n’empêche, la LDH estime que « le #droit_à_la_vie_privée passe par l’existence d’une sphère intime. Et force est de constater que cette sphère, à Nîmes, se réduit comme peau de chagrin », résume M. Launay.

« Des progrès dans de nombreux domaines »

L’élu à la ville et à Nîmes Métropole Frédéric Escojido s’en défend : « Nous ne sommes pas Big Brother ! Et nous ne pouvons pas faire n’importe quoi. L’hyperviseur fonctionne en respectant la loi, le #RGPD [règlement général sur la protection des données] et selon un cahier des charges très précis. » Pour moderniser son infrastructure et la transformer en hyperviseur, Nîmes, qui consacre 8 % de son budget annuel à la #sécurité et dépense 300 000 euros pour installer entre vingt-cinq et trente nouvelles caméras par an, a déboursé 1 million d’euros.

La métropole s’est inspirée de Dijon, qui a mis en place un poste de commandement partagé avec les vingt-trois communes de son territoire il y a cinq ans. En 2018, elle est arrivée deuxième aux World Smart City Awards, le prix mondial de la ville intelligente.

Dans l’agglomération, de grands panneaux lumineux indiquent en temps réel des situations précises. Un accident, et les automobilistes en sont informés dans les secondes qui suivent par le biais de ces mâts citadins ou sur leur smartphone, ce qui leur permet d’éviter le secteur. Baptisé « #OnDijon », ce projet, qui mise aussi sur l’open data, a nécessité un investissement de 105 millions d’euros. La ville s’est associée à des entreprises privées (#Bouygues_Telecom, #Citelum, #Suez et #Capgemini).

A Dijon, un #comité_d’éthique et de gouvernance de la donnée a été mis en place. Il réunit des habitants, des représentants de la collectivité, des associations et des entreprises pour établir une #charte « de la #donnée_numérique et des usages, explique Denis Hameau, adjoint au maire (socialiste) François Rebsamen et élu communautaire. La technique permet de faire des progrès dans de nombreux domaines, il faut s’assurer qu’elle produit des choses justes dans un cadre fixe. Les données ne sont pas là pour opprimer les gens, ni les fliquer ».

Des « systèmes susceptibles de modifier votre #comportement »

Nice, Angers, Lyon, Deauville (Calvados), Orléans… Les villes vidéogérées, de toutes tailles, se multiplient, et avec elles les questions éthiques concernant l’usage, pour le moment assez flou, des données personnelles et la #surveillance_individuelle, même si peu de citoyens semblent s’en emparer.

La Commission nationale de l’informatique et des libertés (CNIL), elle, veille. « Les systèmes deviennent de plus en plus performants, avec des #caméras_numériques capables de faire du 360 degrés et de zoomer, observe Thomas Dautieu, directeur de l’accompagnement juridique de la CNIL. Et il y a un nouveau phénomène : certaines d’entre elles sont augmentées, c’est-à-dire capables d’analyser, et ne se contentent pas de filmer. Elles intègrent un logiciel capable de faire parler les images, et ces images vont dire des choses. »

Cette nouveauté est au cœur de nouveaux enjeux : « On passe d’une situation où on était filmé dans la rue à une situation où nous sommes analysés, reprend Thomas Dautieu. Avec l’éventuel développement des #caméras_augmentées, quand vous mettrez un pied dans la rue, si vous restez trop longtemps sur un banc, si vous prenez un sens interdit, vous pourrez être filmé et analysé. Ces systèmes sont susceptibles de modifier votre comportement dans l’espace public. Si l’individu sait qu’il va déclencher une alerte s’il se met à courir, peut-être qu’il ne va pas courir. Et cela doit tous nous interpeller. »

Actuellement, juridiquement, ces caméras augmentées ne peuvent analyser que des objets (camions, voitures, vélos) à des fins statistiques. « Celles capables d’analyser des comportements individuels ne peuvent être déployées », assure le directeur à la CNIL. Mais c’est une question de temps. « Ce sera prochainement possible, sous réserve qu’elles soient déployées à l’occasion d’événements particuliers. » Comme les Jeux olympiques.

Le 19 mai 2023, le Parlement a adopté une loi pour mieux encadrer l’usage de la #vidéoprotection dite « intelligente ». « Le texte permet une expérimentation de ces dispositifs, et impose que ces algorithmes ne soient mis en place, avec autorisation préfectorale, dans le temps et l’espace, que pour une durée limitée, par exemple pour un grand événement comme un concert. Ce qui veut dire que, en dehors de ces cas, ce type de dispositif ne peut pas être déployé », insiste Thomas Dautieu. La CNIL, qui a déjà entamé des contrôles de centres d’hypervision urbains en 2023, en fait l’une de ses priorités pour 2024.

▻https://www.lemonde.fr/societe/article/2024/01/02/pourquoi-la-promesse-de-videogerer-les-villes-avec-des-cameras-couplees-a-un
#vidéosurveillance #AI #IA #caméras_de_vidéosurveillance

Comment la CAF a traité mon dossier avec un « robot à dettes » | Le Club
▻https://blogs.mediapart.fr/lucieinland/blog/150421/comment-la-caf-traite-mon-dossier-avec-un-robot-dettes

26 mars, appel de la CAF. Le conseiller confirme que c’est bien « le logiciel » qui a traité mon dossier selon certains paramètres. Jugé trop complexe depuis la déclaration de création de micro-entreprise, il a été remis à zéro puis re-traité, d’où la demande de documents. Malgré mes questions je n’ai pas compris pourquoi seule ma situation d’auto-entrepreneuse est retenue, bien qu’aussi salariée, avec les déclarations de revenus adéquates. Le mail notifiant ma dette a été envoyé dès que l’algorithme a détecté une erreur dans mon dossier. La machine menace d’abord, les humain·es vérifient ensuite. Seul mon mail a permis à la CAF de classer vite et correctement mon dossier. Et ce sont bien leurs outils automatisés qui m’ont mis en difficulté.

Kritik an « Wahnsinn » : EU-Kommission gibt Datentransfer in die USA wieder frei
▻https://www.heise.de/news/Kritik-an-Wahnsinn-EU-Kommission-gibt-Datentransfer-in-die-USA-wieder-frei-921

La commission européenne en violation du #RGPD autorise de nouveau le transfert de données personnelles aux États Unis. L’article nous apprend que dans ce pays la protection des droits constitutionnels n’existe que pour ses propres citoyens et la protection des informations personnelles ne peut alirs pas s’y appliquer pour les données de citoyens européens. La décision de la commission est applaudie par les syndicats des entreprises européennes du secteur numérique qui profitent de la collaboration avec les États Unis.

10.7.2023 von Stefan Krempl - Die EU-Kommission hat am Montag die rechtliche Basis für den geplanten Datenschutzrahmen für den Transfer persönlicher Daten in die USA angenommen. Dabei geht es um den sogenannten Angemessenheitsbeschluss: Damit erklärt die Brüsseler Regierungsinstitution, dass personenbezogene Informationen in den Vereinigten Staaten vergleichbar gut geschützt sind wie in der EU. Damit kann der geplante EU-USA-Datenschutzrahmen in Kraft treten. Auf dessen Grundlage ist die Übermittlung an Daten an US-Unternehmen möglich, die an dem Rahmenwerk teilnehmen, ohne dass Firmen und Behörden zusätzliche Schutzvorkehrungen treffen müssen.

Es handelt sich insgesamt schon um den dritten Versuch beider Seiten, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen. Der Europäische Gerichtshof (EuGH) hat im Sommer 2020 im „Schrems-II“-Urteil festgestellt, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act weiterhin eine Massenüberwachung durch die NSA & Co ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht. Damit war nach dem vorausgegangenen Safe-Harbor-Vertrag auch der Privacy Shield erledigt.

Mit dem neuen Anlauf „werden neue verbindliche Garantien eingeführt“, um allen vom EuGH geäußerten Bedenken Rechnung zu tragen, versichert die Kommission nun: „So ist vorgesehen, dass der Zugang von US-Geheimdiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist“. Es werde ferner eine Art Gericht zur Datenschutzüberprüfung geschaffen, zu dem EU-Bürger Zugang haben. Der neue Rahmen bringe generell „erhebliche Verbesserungen“ gegenüber dem im ursprünglichen Privacy Shield bestehenden Mechanismus mit sich. Stelle das Gericht etwa fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, könne es die Löschung der Informationen anordnen.
Sicherer Datenverkehr

Die neue Übereinkunft werde „einen sicheren Datenverkehr“ für die Europäer gewährleisten und „den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten“, gibt sich Kommissionspräsidentin Ursula von der Leyen (CDU) überzeugt. Nach der im März 2022 gemeinsam mit US-Präsident Joe Biden vorgestellten grundsätzlichen Einigung hätten die USA „beispiellose Zusagen“ gemacht. Die USA zeigten sich vorige Woche startklar für das neue Abkommen und betonten, alle Pflichten zur Umsetzung erfüllt zu haben. Laut Bidens Durchführungsverordnung 14086 vom Oktober 2022 sollen die US-Geheimdienste künftig bei ihren Datensammlungen darauf achten, dass diese „notwendig und verhältnismäßig“ sind sowie besser kontrolliert werden können.

Anders als von der Kommission behauptet, „ändert sich am US-Recht wenig“, hält die österreichische Bürgerrechtsorganisation Noyb dagegen. Das grundsätzliche Problem mit dem FISA-Abschnitt 702 werde von den USA nicht angegangen. Demnach haben nach wie vor nur US-Bürger verfassungsmäßige Rechte und dürfen nicht anlasslos überwacht werden. Insgesamt ist das angeblich „neue“ transatlantische Datenschutzabkommen laut Noyb weitgehend eine Kopie des gescheiterten Privacy Shields und werde „in wenigen Monaten“ wieder vor dem EuGH landen.
Neue EuGH-Klage wahrscheinlich

„Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet“, kommentiert der Noyb-Vorsitzende Max Schrems, der beide Vorläufer bereits vor dem EuGH zu Fall gebracht hatte, den neuen Angemessenheitsbeschluss. Die präsentierte Übereinkunft basiere wieder auf kurzfristigem politischen Denken. Der Datenschutzverein habe die erneute Anfechtung beim EuGH schon in der Schublade, „obwohl wir dieses juristische Pingpong satthaben“. Wahrscheinlich werde ein solcher Fall den Luxemburger Richtern bis Ende 2023 oder Anfang 2024 von einem nationalen Gericht vorgelegt. Eine endgültige Entscheidung wäre 2024 oder 2025 zu erwarten. Der EuGH könnte den neuen Rahmen für die Dauer des Verfahrens aussetzen.

„Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende“, freut sich dagegen Bitkom-Präsident Ralf Wintergerst über die Brüsseler Entscheidung. Firmen erhielten damit „grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen“. Vor allem kleine und mittelständische Unternehmen profitierten davon, „dass künftig keine Einzelfallprüfungen mehr notwendig sind“. Die US-Regierung sei mit dem Erlass Bidens „auf die EU zugegangen“. Sicher sei aber auch, dass das Abkommen erneut gerichtlich überprüft werde. Dann werde sich zeigen, ob die Kommission „eine rechtlich belastbare Regelung gefunden hat“.

Die Computer & Communications Industry Association (CCIA) begrüßt den Beschluss als „großen Durchbruch“. Der Innenausschuss des EU-Parlaments sah jüngst zwar Schritte in die richtige Richtung, aber keine ausreichenden Garantien etwa für einen Schutz vor Massenüberwachung. Auch die EU-Datenschützer meldeten Bedenken an. Die Funktionsweise des Vertrags soll regelmäßig gemeinsam von der Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Sondierung ist binnen eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses vorgesehen.

#USA #safe_harbour #Union_Européenne #protection_de_données #commerce #politique #Europe

Meta interdit d’utilisation des données personnelles pour la publicité
▻https://grenoble.ninja/meta-interdit-l-utilisation-des-donnees-personnelles-pour-la-publicite

La CNIL condamne EDF à une amende de 600 000 euros pour violation du RGPD, les détails de cette décision
▻https://www.nextinpact.com/article/70493/la-cnil-condamne-edf-a-amende-600-000-euros-pour-violation-rgpd-details-

https://cdnx.nextinpact.com/data-next/images/bd/wide-linked-media/4990.jpg

EDF est condamnée par la formation restreinte de la CNIL pour plusieurs manquements au RGPD, avec une amende administrative de 600 000 euros à la clé. Plus que le résultat, le raisonnement et le détail des points soulevés par la CNIL sont intéressants à analyser.

La CNIL explique avoir été « saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020 ». La Commission a effectué un contrôle en ligne du site www.edf.fr le 15 février 2021. Un questionnaire était envoyé quelques semaines plus tard (le 25 mars) auquel EDF a répondu le 29 avril. Des échanges complémentaires se sont déroulés jusqu’en septembre.

En juin de cette année, la rapporteure proposait à la formation restreinte de la CNIL de prononcer « une amende administrative au regard des manquements » et de rendre la décision publique pendant deux ans. Après de nouveaux échanges pendant quelques semaines, le contradictoire était clos mi-septembre.

Afin de planter le décors, la CNIL rappelle que, « fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services », soit l’équivalent de 40 % de la population française environ, excusez du peu.
Surprise (ou pas) : un formulaire non rempli ne vaut pas consentement

Dans la délibération de la formation restreinte, le premier manquement concerne « l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique ». Problème, suite à des opérations de ce genre, la société n’était « pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects dont les données proviennent de courtiers en données avant d’être démarchées » .

Ce n’est pas tout. Dans le cadre de l’instruction de trois plaintes, EDF n’a pu obtenir du courtier des éléments prouvant que le recueil du consentement avait bien été réalisé : « le courtier en données a produit le formulaire type, et non le formulaire rempli individuellement par chaque prospect ».

Pour sa défense, EDF expliquait que les prospections exploitant des données collectées auprès de courtiers « sont très ponctuelles et visent un nombre non significatif de prospects ». Elle ajoutait avoir « toujours strictement encadré ses relations contractuelles avec les courtiers en données auxquels elle fait appel et que des échanges fréquents avaient lieu, même s’ils n’étaient pas nécessairement formalisés sous forme d’audits ». Enfin, elle affirmait « que les données déjà collectées dans le cadre de campagnes précédentes ont été supprimées ». Depuis novembre 2021, des audits formalisés sont en place pour éviter que cela ne se reproduise.

Quoi qu’il en soit, la CNIL « considère dès lors que les mesures mises en place par la société EDF pour s’assurer auprès de ses partenaires que le consentement a été valablement donné par les prospects avant d’être démarchés étaient insuffisantes ». EDF a « méconnu ses obligations résultant des articles L. 34-5 du CPCE et 7, paragraphe 1, du RGPD .

EDF joue la carte de la refonte en cours

La deuxième série de reproches concerne le manquement à l’obligation d’information des personnes. Il s’agit des articles 13 et 14 du RGPD qui disposent que des informations doivent être communiquées aux personnes concernées, notamment « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».

La rapporteure explique que « la base légale n’était pas mentionnée et les durées de conservation des données n’étaient pas développées de manière suffisamment précise ». De plus, « les personnes démarchées par voie postale par la société n’étaient pas informées de la source précise de leurs données à caractère personnel, à savoir l’identité de la société auprès de laquelle EDF les a obtenues ».

La société concède que sa charte de protection des données personnelles contenait l’ensemble des données au titre de l’article 13 du RGPD, mais reconnait que seules « certaines durées de conservation étaient mentionnées ». EDF ajoute qu’une refonte des durées de conservation était en cours lors du contrôle en ligne : « elle considère qu’il n’était donc pas possible d’indiquer l’ensemble des durées de conservation, puisque celles-ci étaient en cours de revue et de modification ».
Des informations vagues et imprécises

L’argument ne fait pas mouche auprès de la formation restreinte : « il n’en demeure pas moins que, au moment de ces constatations, ladite charte précisait " Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée " ». Une information « vague et imprécise », insuffisante pour garantir un traitement équitable et transparent.

Dans ses courriers, EDF indiquait que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données ». C’est l’article 14 du RGPD dont il est question ici. Pour la CNIL, cela manque de précision, car cette information ne permet pas de « garantir un traitement équitable et transparent […] en particulier dans un contexte de reventes successives de données entre de multiples acteurs et dans l’hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l’identité ».

C’est donc un combo perdant des articles 13 et 14 sur l’obligation d’information des personnes. La CNIL note néanmoins que dans le premier cas, EDF détaille les bases légales et durées de conservation dans sa charte évoquée, tandis que dans le second elle a « modifié les mentions d’information figurant dans les courriers de prospection ».
Des manquements sur l’obligation de transparence

On enchaine avec des manquements sur l’exercice des droits des personnes, en lien avec les articles 12, 15 et 21. Premier point abordé : l’obligation de transparence. La CNIL se base sur deux saisines pour affirmer que la société n’a pas respecté ce point du RGPD :

« S’agissant de la première saisine, la rapporteure a relevé que la société EDF avait contacté le plaignant par téléphone pour lui apporter une réponse, sans lui adresser d’écrit, en violation de l’article 12, paragraphe 1, du RGPD. En outre, la réponse qui lui a été apportée sur l’organisme à l’origine des données était erronée. Enfin, la société a répondu à ses questions, de nouveau par téléphone, plus de neuf mois plus tard.

S’agissant de la seconde saisine, la rapporteure a relevé que la société avait clôturé la demande du plaignant au lieu de la transmettre au service en charge des demandes d’exercice de droits et n’avait pas répondu […]. Ce n’est que six mois après sa demande initiale – dans le cadre de la procédure de contrôle – qu’une réponse a été apportée au plaignant ».

Dans le premier cas, EDF plaide « l’erreur humaine commise par le conseiller, lequel n’a pas suivi les procédures internes ». Concernant les retards, elle met en avant un « contexte particulièrement difficile à la fois de la crise sanitaire, qui a conduit à un accroissement du nombre de demandes d’exercice de droit, et de report de la fin de la trêve hivernale au 1er septembre 2020 ». La CNIL en prend note, mais considère tout de même « que le manquement à l’article 12 du RGPD est constitué ».
Article 15 : CNIL 1 - EDF 1, balle au centre

On continue avec l’obligation de respecter le droit d’accès, là encore la CNIL se base sur deux saisines. Dans la première, la première réponse apportée au plaignant par téléphone sur la source des données collectées était erronée. La société reconnait que la réponse était « en partie inexacte » à cause d’une erreur sur la source des données.

Sur la seconde saisine, la société affirmait à une personne « qu’elle n’avait aucune autre donnée la concernant que son prénom et son nom dans ses bases de données ». Problème pour la rapporteure, cette affirmation était inexacte : la société devait au moins avoir son (ancienne) adresse « pour effectuer le rapprochement avec les nom et prénom de la plaignante, puisque la société EDF lui a adressé un courrier au domicile de ses parents ».

Pour EDF par contre, la réponse du conseiller était correcte « puisque les seules données rattachables à la plaignante étaient ses nom et prénom ». Pour la formation restreinte (qui a suivi la proposition de la rapporteure), « le manquement invoqué n’est pas caractérisé ».

On termine avec le droit des personnes avec l’article 21. Selon la rapporteure et une saisine, la société n’a pas pris en compte l’opposition d’un plaignant « au traitement des données à caractère personnel de son fils mineur à des fins de prospection commerciale ». Il a en effet reçu un second courrier. EDF reconnait un cafouillage interne : « le conseiller a bien procédé à l’effacement des données comme il l’avait indiqué par téléphone au plaignant, mais n’a pas complètement suivi la procédure interne en ne procédant pas à l’opposition avant d’effacer les données ».

La procédure est désormais simplifiée. Les faits n’étant pas contestés, ils constituent donc un manquement au titre de l’article 21 du RGPD.
Quand EDF utilisait encore MD5 en 2022

Enfin, dernier manquement : l’obligation d’assurer la sécurité des données (article 32). Sur son portail prime énergie, des mots de passe « étaient stockés au moyen de la fonction de hachage MD5 », complètement dépassée aujourd’hui.

EDF affirme pour sa défense que, « depuis janvier 2018, la fonction de hachage SHA-256 est utilisée », mais que, « jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5 ».

L’entreprise se défausse sur un prestataire et tente d’éteindre l’incendie (sans convaincre) : « Le hachage MD5 correspond uniquement au niveau de hachage mis en place historiquement par la société […], sous-traitant d’EDF, et pour lequel seuls quelques milliers de comptes étaient encore concernés en avril 2021. La société ajoute que ces mots de passe étaient tout de même stockés avec la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées ».

Peu sensible à ces arguments, la CNIL rappelle que « le recours à la fonction de hachage MD5 par la société n’est plus considéré depuis 2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite ». EDF n’a que 18 ans de retard.
Le hachage de 2,4 millions de mots de passe manque de sel

Sur l’espace client EDF, ce n’est pas franchement mieux. Selon les déclarations initiales de la société, les mots de passe « étaient stockés sous forme hachée et salée au moyen de la fonction SHA-1, pourtant réputée obsolète ». Lors de sa défense, l’entreprise revient sur sa déclaration et explique que l’algorithme « est en réalité SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017, et non SHA-1, contrairement à ce qu’elle avait pu indiquer à la délégation de contrôle ».

Il reste un problème pour la rapporteure : « si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés ». Cette faiblesse a été corrigée et désormais « il n’existe plus à ce jour aucun mot de passe haché en SHA-512 sans mécanisme d’ajout d’aléa (salage) ». EDF ne conteste donc pas le manquement de l’article 32, « mais demande à ne pas être sanctionnée dans la mesure où elle a dorénavant remédié au manquement ».
La « bonne volonté » ne suffit pas à effacer l’ardoise

Enfin la formation restreinte détaille sa réflexion sur les mesures correctrices et leur publicité. Sans surprise, EDF met en avant sa « bonne volonté et les efforts dont elle a fait preuve tout au long de la procédure » pour demander à la formation restreinte de « ne pas prononcer de sanction financière ou à tout le moins à réduire très significativement le montant de l’amende proposée par la rapporteure ». Pour la CNIL, « une amende administrative d’un montant de 600 000 euros apparaît justifiée ».

Pas d’injonction de mettre en conformité néanmoins, car « la société a pris des mesures de mise en conformité s’agissant de l’ensemble des manquements relevés par la rapporteure ». Enfin, EDF demandait « de ne pas la publier ou, à titre subsidiaire, de l’anonymiser immédiatement ou au plus tard dans un délai de huit jours » la décision de sanction.

La formation restreinte de la CNIL n’est pas sur la même longueur d’onde : « la publicité de la sanction se justifie au regard de la nature et du nombre de manquements commis, ainsi que du nombre de personnes concernées par lesdites violations, en particulier plus de 2 400 000 clients s’agissant du manquement à la sécurité des données ». La décision sera anonymisée après un délai de deux ans. »

#cnil #edf #rgpd

La Fnac retire de la vente un jeu de société sur les « antifas », et ça ne passe pas
▻https://www.huffingtonpost.fr/france/article/la-fnac-retire-de-la-vente-un-jeu-de-societe-sur-les-antifas-et-ca-ne

https://huffpost-focus.sirius.press/2022/11/28/79/0/571/321/1820/1024/75/0/596fa14_1669626414510-screenshot-2022-11-28-10-06-48.png

La Fnac est sous le feu des critiques. En cause, le tollé suscité par la présence d’un jeu de société sur les « antifas » dans son catalogue, puis celui provoqué par son retrait, annoncé dimanche 27 novembre. La chaîne de magasins a effectivement été interpellée durant le weekend par un syndicat de commissaires de police et plusieurs élus et militants d’extrême droite qui exigeaient le retrait de son site d’un jeu de cartes dans lequel il est proposé aux joueurs d’animer un groupe antifasciste fictif.

#doctolib joue sur les mots : rien d’illégal dans sa pratique de sécurisation des données puisque « ce n’est pas à strictement parler du chiffrement de bout en bout mais cela peut l’être en termes de communication ».

ENQUETE. Doctolib : certaines données médicales ne sont pas entièrement protégées
▻https://www.francetvinfo.fr/internet/securite-sur-internet/enquete-doctolib-certaines-donnees-medicales-ne-sont-pas-entierement-pr

« On a reçu de Doctolib les données en clair sur vos prochains rendez-vous. On ne les a pas reçues chiffrées, explique Benjamin Sonntag. Donc cela veut dire que Doctolib lui-même a ces informations en clair. » Or ces rendez-vous médicaux sont signifiants et renseignent sur l’état de santé d’une personne. « Si vous allez régulièrement chez un oncologue ou chez un psychologue, cela raconte quelque chose sur votre état de santé », poursuit Benjamin Sonntag.

#protection_des_données #santé_privatisée #RGPD #chiffrement

Voir aussi : ▻https://seenthis.net/messages/954868

Le Conseil d’État annule partiellement les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion
▻https://www.conseil-etat.fr/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cni

https://www.conseil-etat.fr/var/storage/images/_aliases/slider/9/7/4/2/1592479-1-fre-FR/20200619_cnil_jumbo.jpg

Le lobbying des entreprises empêche la protection de la vie privée. Le Conseil d’État leur cède au risque de transformer la vie privée en une simple déclaration de soumission.
L’idée « data contre service » recèle trop de dissymétrie d’information et de pouvoir pour devenir une règle de fonctionnement garantissant les libertés individuelles.
Mais les instances trouvent, quand elles veulent céder aux arguties des lobbies économiques, des arguments de procédure pour éviter de juger sur le fond, mais quand même satisfaire les puissants groupes économiques contre les citoyens.

Le Conseil d’État juge que la CNIL ne pouvait légalement interdire dans ses lignes directrices les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Le Conseil d’État confirme en revanche la légalité des autres points contestés, relatifs au recueil du consentement des internautes aux cookies et autres traceurs.

À la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet dans les ordinateurs, tablettes ou téléphones des utilisateurs à des fins, notamment, de ciblage publicitaire.

Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices.

L’interdiction des « cookie walls » ne pouvait pas figurer dans les lignes directrices

Les requérants contestaient en particulier l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion.

Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.

Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement de données

Les requérants critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.

Le Conseil d’Etat confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.

#RGPD #Conseil_Etat #Vie_privée

Vie privée : les internautes, même précautionneux, pistés à leur insu
▻https://www.lemonde.fr/sciences/article/2022/04/12/vie-privee-les-internautes-meme-precautionneux-pistes-a-leur-insu_6121754_16

https://img.lemde.fr/2022/04/10/2430/0/3638/1819/1440/720/60/0/c0b5b81_1649618709364-lemonde-cookies-rvb.jpg

Deux études montrent comment la désactivation des cookies peut être contournée pour continuer à suivre et profiler les utilisateurs du Web, notamment dans le secteur de la santé.

Deux articles de recherche corrigent sérieusement cette naïveté. Près de 4 % des sites Web les plus fréquentés arrivent à recréer des cookies, que l’on pensait pourtant avoir effacés. Plus de 60 % de sites « santé » identifient le visiteur avant même de proposer la fameuse bannière de consentement. Et 15 % continuent à le pister, même s’il l’a refusé !

La première étude montre comment régénérer un cookie tiers ou en tout cas « identifiant ». La seconde explique comment un cookie peut être synchronisé entre plusieurs sites, parfois sans que le site propriétaire en soit informé, transformant même un cookie propriétaire en un cookie tiers. « On montre qu’il existe des techniques méconnues pour faire du traçage, mais bien sûr on ne peut pas montrer si elles servent effectivement dans ce but », précise Arnaud Legout.

Détaillons la première étude, sur la recréation de cookies. Les chercheurs ont mis en évidence des techniques qui pistent les internautes par leur « empreinte de navigation ». Celle-ci consiste en une série d’informations comme le fuseau horaire, la version du navigateur ou du système d’exploitation, la langue préférée… Le site Amiunique.org permet de se faire une idée de cette empreinte. Contrairement aux cookies, elle ne peut être effacée, mais elle est moins stable, car elle peut changer pour un même utilisateur au cours du temps, par exemple lors d’une mise à jour.

Des prises de rendez-vous chez un pédiatre, un dermatologue ou un cancérologue en disent beaucoup sur l’état de santé des personnes, ce qui pourrait intéresser les assurances ou les banques

L’équipe de l’Inria a découvert que l’empreinte peut servir à recréer un cookie. Au départ, un cookie est associé à une empreinte dans la base de données du site « suiveur ». Puis si ce cookie est effacé, mais que l’empreinte ne change pas, alors le cookie est recréé pour assurer le suivi.

Des « pixels invisibles »

La méthode a consisté à vérifier si ces sites utilisent des techniques subtiles que les auteurs de l’étude avaient dévoilées en 2020 et qui permettent de synchroniser des cookies entre plusieurs sites, et donc de suivre les internautes. Ces six méthodes recourent à des « pixels invisibles », c’est-à-dire que, lors d’une visite, une requête est envoyée vers un site tiers qui renvoie un pixel blanc, donc invisible pour l’utilisateur, mais qui génère un dépôt ou une récupération de cookie chez l’internaute. Une extension de navigateur a même été développée pour automatiser la détection de ces techniques. « Nous avions montré que les techniques habituelles de blocage, basées sur des listes noires de sites suiveurs, ratent entre 25 % et 30 % des “traceurs” », rappelle Imane Fouad, doctorant dans ces études.

Appliquées à 385 sites de santé, les conclusions sont sévères : 62 % d’entre eux recourent à ces pistages méconnus… avant même que l’internaute ne réponde à la bannière de consentement ; 40 % ne permettent pas de refuser le traçage. Et 15 % tracent même si le visiteur a refusé ! « Malheureusement, il était déjà connu que les bannières ont ce genre de défauts. Nous montrons en plus que c’est le cas avec des techniques peu connues et qui échappent aux bloqueurs habituels », résume Arnaud Legout.

Ces résultats arrivent dans un contexte particulier, où le plus grand acteur de la navigation sur le Web, Google avec son outil Chrome, a annoncé vouloir bloquer les cookies tiers, tout en fournissant des solutions techniques aux publicitaires, dont le géant fait lui aussi partie, permettant de « cibler » sans « suivre » chaque internaute. Mais en 2021, l’entreprise a annoncé reporter ce déploiement technique à 2023.

« On peut faire l’hypothèse que les techniques que nous avons mises au jour servent aux entreprises qui les développent pour montrer leur savoir-faire et offrir de meilleurs services. Mais c’est aussi sûrement pour se préparer à la fin des cookies tiers », estime Arnaud Legout. La bataille n’est pas finie.

David Larousserie

#Cookies #Traçage #Trace #RGPD #Données_santé #Vie_privée

Faciliter la conformité #RGPD : le fichier GDPR.txt
▻https://framablog.org/2022/03/08/faciliter-la-conformite-rgpd-le-fichier-gdpr-txt

Dans le cadre de mon bénévolat pour Framasoft, je suis amené à travailler sur la conformité de l’association au Règlement Général sur la Protection des Données (RGPD). Ça fait des années qu’on essaye d’avancer sur le sujet, mais il faut … Lire la suite­­

#Droits_numériques #Internet_et_société #formats-ouverts #Internet #vie_privée

Appel à témoignages CAF – Changer de cap
▻https://changerdecap.net/2022/02/05/appel-a-temoignages-caf

Appel à témoignages sur l’évolution des pratiques des CAF

Le Collectif Changer de Cap est alerté par certains de ses membres sur l’utilisation des algorithmes utilisés par les services publics pour le contrôle de nos concitoyens et en particulier des plus précaires. Notre attention se porte sur les contrôles automatisés des CAF (Caisses d’allocations familiales) et le recueil des données des allocataires :

Pas moins de 1000 données seraient consignées par allocataire, pour 13 millions de foyers représentant 30 millions de personnes (cf. Télérama du 13 octobre 2021).

Ce fichier est nourri par l’interconnexion à notre insu des fichiers administratifs, bancaires, URSSAF, électricité, etc. auxquels les CAF ont maintenant accès.
Les données sont manipulées pour établir un « profil » des familles et établir un « scoring de risque ».
La CNAF elle-même annonce plus de 32 millions de contrôles automatisés en 2020 (voir p. 8 ▻https://www.caf.fr/sites/default/files/cnaf/210617%20DP_résultats%202020%20de%20la%20politique%20de%20prévention%20et%20lutt)
Le scoring enclenche de façon quasi-automatique un surcontrôle des personnes les plus précaires, en particulier les allocataires des minima sociaux, les familles monoparentales, ou les personnes à faible revenubénéficiant d’allocations sous conditions de ressources (prime d’activité, allocations logement…).

En parallèle, une numérisation forcée des procédures et de la vie quotidienne impose à tous des démarches par Internet alors que l’on compte 17 % d’exclus numériques dans la population.

Les premiers témoignages recueillis sont parfois accablants. Il semble que le déclenchement d’un contrôle puisse se traduire par la suspension des versements (allocations familiales, APL, allocation adulte handicapé, etc.). La plupart des décisions ne sont pas motivées, et il est quasiment impossible de trouver un interlocuteur pour rectifier une erreur, car les relations sont assurées par des machines et de nombreux emplois ont été supprimés. Ainsi, la CAF créée à l’origine pour assurer une sécurité aux familles tend à instaurer une insécurité croissante pour les plus modestes d’entre nous et à les enfermer dans la précarité., elle contribue aujourd’hui à l’émergence d’une société inhumaine.

Notre collectif ne peut pas rester insensible à ce gigantesque espionnage de nos vies et à ce harcèlement des plus précaires. Les associations membres du collectif nous indiquent que certaines populations sont soumises à un véritable harcèlement et souhaitent une action commune.

C’est pourquoi nous lançons un appel à témoignages afin de recueillir des exemples d’atteintes aux droits, d’absence de dialogue ou de discriminations, montrer en quoi ils sont systématiques et contraires à la loi, aux droits fondamentaux et à la dignité des personnes.

[...]

#toctoc #CAF #contrôle #data #précaires #contrôles_automatisés #recueil_de_données #allocataires #droits_sociaux #non_recours #témoignages #arbitraire #minima_sociaux #mères #prime_d’activité #APL #AAH #précarité #dématérialisation #numérisation #droits_fondamentaux

Tentative de censure de la part du ministère - Paris-luttes.info
▻https://paris-luttes.info/tentative-de-censure-de-la-part-du-15655

https://paris-luttes.info/IMG/arton15655.jpg?1643471655#.jpeg

Un bien curieux cadeau nous attendait mi-décembre : une lettre de mise en demeure de la part du ministère de la transition écologique, nous ordonnant de dépublier des listes de logements vides des bailleurs sociaux en France. Ces listes sont publiées ici et là. Petite explication dans l’article !

Voici la lettre de mise en demeure envoyée à « Madame ou Monsieur l’éditeur du site Internet paris-luttes.info ».

En vrac, on nous menace de poursuites, avec des amendes allant jusqu’à 20 000 000 euros, et des peines pouvant atteindre 5 ans de prison.

Les motifs ? Qu’« on » se soit procuré des listes de logements vides appartenant à des bailleurs sociaux, et qu’on les ait publiées. Ce serait selon leur courrier illégal car il s’agirait de documents confidentiels ; et qu’il y aurait des données à caractère personnel dans les listes, et par conséquent on est accusé·e·s d’enfreindre la RGPD [1].

À noter que la lettre est signée par la cheffe du service des données et d’études statistiques du ministère, Béatrice Sédillot, qui a été nommée « chevalier de la légion d’honneur » le 31 décembre 2021 (on imagine pour bons et loyaux services en tant que fonctionnaire zélée tout au long de sa carrière). Comme quoi, cette breloque n’a vraiment aucune sorte de valeur.

Sur le plan juridique d’abord : ça ne tient pas la route au ministère de la transition écologique !

Sur le fait qu’on enfreigne la #RGPD et le fait qu’on se servirait de données à caractère personnel pour les traiter :

s’il y a bien des gens qui analysent ces données, c’est le service d’études statistiques duquel émane la mise en demeure. C’est vraiment ballot de nous attaquer là-dessus parce qu’à Paris-luttes, niveau données personnelles et vie privée, on est plutôt contre leur traitement et contre tout ce qui favorise la société de contrôle. On pensait bien faire en publiant ces listes : le gouvernement n’avait-il pas enclenché une dynamique d’ouverture des données publiques ?
Il n’y a aucune donnée relevant de la vie privée dans ces listes. La RGPD stipule : « le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale. » Les bailleurs sociaux étant des personnes morales, ils ne sont pas concernés par la RGPD.
Bref, si le but était de nous intimider, c’est rapé... Il va falloir revoir la copie !

#Data_security in #science

#DSGVO #GDPR #RGPD

Austrian DSB : EU-US data transfers to Google Analytics illegal
▻https://noyb.eu/fr/ord-autrichien-les-transferts-de-donnees-entre-lue-et-les-etats-unis-vers-googl

(traduction de : ▻https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal)

Max Schrems: “We expect similar decisions to now drop gradually in most EU member states. We have filed 101 complaints in almost all Member States and the authorities coordinated the response. A similar decision was also issued by the European Data Protection Supervisor last week.”

Voir aussi : ▻https://www.blogdumoderateur.com/google-analytics-rgpd-non-coupable pour la tentative d’évitement de Google (en gros le problème légal ne résiderait pas dans l’application en tant que telle, mais dans l’usage de certains utilisateurs)

#NOYB #noyb.eu #google_analytics #rgpd