#rgpd

  • Grandébat.fr
    http://grandebat.fr

    Mes chers compatriotes, L’heure est venue de donner la parole à ceux qui ne sont rien, ces gaulois réfractaires qui nous coûtent un pognon de dingue. Je brûle d’impatience de lire avec toute l’attention qui leur est dûe vos analyses macro-économiques affutées et disruptives. Votre dévoué Jupiter Source : Relevé sur le Net...



  • Open Data et protection des données personnelles : vers une conciliation raisonnable (ou pas) | Calimaq
    https://scinfolex.com/2018/12/18/open-data-et-protection-des-donnees-personnelles-vers-une-conciliation-ra

    « Il faut qu’une porte soit ouverte ou fermée. » C’est le titre d’une pièce d’Alfred de Musset, mais aussi une bonne manière d’introduire aux tiraillements juridiques qui peuvent résulter des injonctions contradictoires, d’une part, à l’ouverture des données publiques et, d’autre part, à la protection des données personnelles. Depuis 2016 et la loi République numérique, les… Source : : : S.I.Lex : :


  • GitHub - mistergraphx/spip_moncompte : Gestion de compte utilisateur/visiteur coté publique du site
    https://github.com/mistergraphx/spip_moncompte

    Gestion de compte utilisateur/visiteur coté publique du site (avant RGPD). Extensible sous forme de dashboards à ajouter via pipelines

    En relation avec la gestion des RGPD dans SPIP, cf https://contrib.spip.net/Gestion-Mon-Compte et https://contrib.spip.net/Recap-RGPD-webmestres-SPIP

    #mon-compte #SPIP #RGPD #dashboard #pipeline


  • #Microsoft enfreint la #loi aux #Pays-Bas concernant les #données_personnelles – Association des juristes europeens
    http://www.association-des-juristes-europeens.eu/microsoft-enfreint-la-loi-aux-pays-bas-concernant

    La CNIL néerlandaise [...] affirme que Microsoft collecte des données de performance technique et utilisateurs de manière continue. Cela concerne la manière dont les applications sont utilisées ainsi que les habitudes de surf web depuis les terminaux Windows 10 Home et Pro. La stratégie d’approche choisie par Microsoft fut d’une telle subtilité que les utilisateurs perdaient aisément le contrôle de leurs données.

    [...] une toute nouvelle version du système d’exploitation Windows 10 sera à l’ordre du jour. De son nom Fall Creators Update, cette nouvelle version permettra de pallier aux soucis relatifs à la protection des données personnelles.

    #infraction #RGPD

    J’avais pas vu ça fin juin.


  • Après un sombre état des lieux, l’Éducation nationale veut rattraper le train du RGPD
    https://www.nextinpact.com/news/106945-apres-sombre-etat-lieux-leducation-nationale-veut-rattraper-train

    Comment protéger les données scolaires personnelles à l’heure du RGPD ? Certaines des mesures préconisées par un rapport d’inspecteurs généraux de l’Éducation nationale vont servir à une longue remise à niveau du ministère à partir de la rentrée 2018.

    C’est peu de le dire, ce large état des lieux est précieux puisque depuis le 25 mai, le Règlement général sur la protection des données (RGPD) est entré en application. Le texte s’applique de plein fouet à ce secteur qui concerne des millions de mineurs, sans compter les enseignants et le personnel administratif.

    Ce rapport, remis en février, mais pointé que récemment par le site du ministère, souffle le chaud et le froid.

    Le chaud, en considérant que l’exploitation des données scolaires présente de sérieux avantages : rêve d’un parcours pédagogique mieux adapté, de nouvelles solutions pour les enseignants ou d’une meilleure connaissance des situations d’apprentissage, sans compter les charmes du « big data » pour améliorer encore la collecte et l’usage de ces informations.

    Le froid, lors d’un sombre inventaire s’agissant de la connaissance des lieux de stockage, des règles de sécurisation, des conditions générales d’utilisation, de l’impact des données… Par exemple, les délégations académiques au numérique pour l’éducation (Dane) et les directeurs des systèmes d’information (DSI) ont été « nombreux à rapporter une grande ignorance de ce que recouvre ce texte pour une large majorité des professeurs, des chefs d’établissement et des pilotes à l’échelle académique ».

    #RGPD #Education #Edutech


  • Affaire DisinfoLab : quelles retombées potentielles sur la recherche publique et la science ouverte ? – – S.I.Lex –
    https://scinfolex.com/2018/08/21/affaire-disinfolab-quelles-retombees-potentielles-sur-la-recherche-publiq

    Le début du mois d’août a été marqué par l’affaire Disinfolab qui a mis un violent coup de projecteur sur la question de la réutilisation des données issues des réseaux sociaux à des fins de recherche. S’inscrivant dans le contexte explosif de l’affaire Benalla, elle a fait naître une bruyante polémique, pas forcément propice au développement d’une analyse juridique rigoureuse des différentes questions qu’elles soulèvent. Maintenant qu’un peu de temps est passé, il paraît intéressant de se replonger dans cette affaire qui constitue un véritable cas d’école pour l’application du nouveau cadre de la protection des données personnelles issu du RGPD. La CNIL ayant été saisie suite au dépôt de nombreuses plaintes, il sera extrêmement intéressant de regarder sa décision, qui va devoir trancher beaucoup de points épineux.

    Par ailleurs, l’affaire Disinfolab soulève aussi des questions vis-à-vis de la Science Ouverte. La personne à l’origine de l’étude – le doctorant Nicolas Vanderbiest – justifie le choix de publier les fichiers problématiques en ligne par un souci de transparence pour permettre à des tiers de vérifier les résultats par l’accès aux données source. C’est typiquement ce que prône l’idée d’ouverture des données de la recherche, promue notamment par le Plan national pour la Science Ouverte publié par le Ministère de l’Enseignement et de la Recherche en juillet dernier. Plus encore, l’ouverture des données de recherche est même une obligation légale à laquelle les équipes de recherche sont désormais soumises, comme l’a montré un rapport récent de la BSN. Mais l’exigence d’accès aux données est à concilier avec l’impératif de protection des données personnelles et l’obligation d’ouverture ne concerne pas ces informations. Il n’en reste pas moins que si les principes sont relativement clairs, les chercheurs vont se retrouver pris entre des injonctions contradictoires qui peuvent être assez redoutables à concilier, surtout dans le contexte tendu d’une affaire médiatisée comme celle-ci.

    C’est la raison pour laquelle il me semble intéressant d’examiner les principales questions juridiques soulevées par cette affaire, sans l’ambition d’en faire le tour mais en essayant de faire ressortir les enjeux qui seront sans doute au coeur de la décision à venir de la CNIL

    #RGPD #Données_personnelles #Desinfolab

    • C’est là que l’affaire Disinfolab va mettre la CNIL dans une situation délicate, car il va lui falloir se prononcer sur « ce qu’est la science », ce qui n’est jamais confortable lorsqu’on est une institution publique. L’étude de Disinfolab a reçu de nombreuses critiques, y compris de la part d’autres chercheurs, pointant la méthodologie employée ou des « biais » introduits pour conduire au résultat recherché. D’autres ont aussi souligné l’origine des financements de la structurante, la proximité dérangeante entre l’ONG et une agence de communication, ainsi que les liens entre certains des co-auteurs de l’étude et la République en Marche.

      Jusqu’à quel point l’emploi d’une méthodologie défaillante remet-elle en cause la scientificité d’une étude ? Et jusqu’à quel point des biais politiques peuvent aussi avoir cet effet ? C’est une question délicate et il est difficile de répondre dans l’absolu. Peut-être vaudrait-il mieux d’ailleurs que la CNIL puisse se prononcer sans avoir entrer dans ce genre de débats, mais il sera difficile sans doute de les esquiver puisque la légalité des agissements de Disinfolab dépend en partie de leur rattachement à la recherche scientifique.


  • #RGPD : Les « dark patterns », ou comment s’asseoir sur le Règlement
    https://open-freax.fr/rgpd-dark-patterns

    Vous l’avez sûrement remarqué, que ce soit pour exprimer vos préférences vis-à-vis des cookies sur d’innombrables sites web, ou au travers de diverses applications mobiles, réseaux sociaux… Quand bien même on vous demande de « revoir vos paramètres », il y a des dizaines (voire des centaines dans certains cas, coucou Yahoo) de cases à décocher, alors que c’est pénible et que c’est supposé être un véritable « opt-in » (à savoir, une inscription qui nécessite une véritable action positive de votre part, comme un clic dans une case).

    Du côté des gros affamés de données (Google, Facebook), c’est la même, en plus chafouin. Tout est pensé pour que la collecte de données personnelles puisse continuer à avoir lieu. Le tout bien caché derrière un petit assistant en 4-5 écrans qui vous explique que olala le RGPD on l’a bien pris en compte. Et quand vous creusez… C’est la cata.

    Toutes ces techniques, on les appelle les « dark patterns » (eux-même partie intégrante de la « captologie »), et l’équivalent norvégien de l’UFC Que Choisir (le CCN, pour Consumer Council of Norway) les a documentées, fort précisément (mais en anglais). Du coup, je vais vous résumer leur rapport, qui se concentrait sur 3 acteurs : Facebook, Google, et Microsoft (au travers de Windows 10).

    #dark_patterns #data (Quand c’est gratuit ... j’utilise Cookie Auto delete.)

    • Sur le fond, je te suis. À mon sens, ils peuvent vaguement s’appuyer sur les autorisations passées pour ce qui est des users existant avant le 25/5/18. Par contre, pour le nouveaux ils sont clairement en infraction. Et si on va chercher du côté des applis pour ordiphones, c’est une horreur complète.


  • Le congrès américain vote le Cloud Act à deux mois de l’entrée en application du RGPD
    https://www.journaldunet.com/solutions/expert/69017/le-congres-americain-vote-le-cloud-act-a-deux-mois-de-l-entree-en-appl

    Le Cloud Act a été joint au projet de loi sur le budget fédéral (le Consolidated Appropriations Act, 2018) et adopté sans examen spécifique (c’est-à-dire directement intégré dans le texte de la loi de finances), avant d’être promulgué le 23 mars 2018.

    Le Département de la Justice, dans l’affaire qui l’oppose à Microsoft concernant l’exploitation du contenu d’une boîte email d’un utilisateur en Irlande, a invoqué l’adoption du Cloud Act pour réquisitionner de fait ces données. Cette décision inédite, qui oblige désormais les entreprises américaines à fournir les données de leurs utilisateurs stockées à l’étranger a reçu un accueil favorable chez Microsoft, comme chez d’autres géants du web, qui se sont tous réjouis de l’avènement d’un tel paradigme législatif.

    Le Cloud Act entre ainsi en contradiction avec les dispositions du RGPD (Règlement UE 2016/679), notamment les articles 44 et suivants et spécialement l’article 48 sur les « Transferts ou divulgations non autorisés par le droit de l’Union » qui dispose que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».

    Faut-il comprendre que les US ont une nouvelle fois fait un bras d’honneur à une loi européenne ? :-)



  • Barcelona is leading the fightback against smart city surveillance
    https://www.wired.co.uk/article/barcelona-decidim-ada-colau-francesca-bria-decode

    (…) The low-hanging fruit was procurement: it now bakes these considerations into its contracts with tech companies. “We are introducing clauses into contracts, like data sovereignty and public ownership of data,” says Bria. “For example, now we have a big contract with Vodafone, and every month Vodafone has to give machine readable data to city hall. Before, that didn’t happen. They just took all the data and used it for their own benefit.”

    But city hall is going further, creating technological tools that mean citizens themselves can control the data they produce in the city and choose precisely who they share it with. This is Project DECODE (DEcentralised Citizen-owned Data Ecosystems). DECODE aims to develop and test an open source, distributed and privacy-aware technology architecture for decentralised data governance and identity management. It will effectively invert the current situation where people know little about the operators of the services they are registered with, while the services know everything about them. Instead, “citizens can decide what kind of data they want to keep private, what data they want to share, with whom, on what basis, and to do what,” says Bria. “This is a new social pact — a new deal on data.”

    It’s a technical challenge, and one they are still working on. The tools are being put to the test in two pilots in Barcelona. The first focuses on the internet of things. City hall is giving residents sensors to place in their neighbourhoods. These sensors are directly integrated into the city’s sensor network, Sentilo, and gather data on air quality and noise pollution to influence city-level decisions. This pilot addresses the technical challenge of collating and storing a stream of citizen-sourced data, while giving those citizens complete control over what information is shared. The idea is that citizens could go out their way to collect useful data to improve public services — a very modern form of volunteering.

    The second pilot relates to Decidim. When people use it, they see a dashboard of their data, aggregated and blended from a range of sources, from sensor noise levels, to healthcare data and administrative open data. From that dashboard, they can control the use of that information for specific purposes — such as informing policy proposals. Ultimately, they envisage citizens managing their data flows through an app, with a “DECODE wallet that manages people’s decryption keys, with an interface that lets you select that you want to give your transport data to the city, because you know that they can improve public transport with it—but you don’t want to give that kind of private data to an insurance company or an advertiser,” Bria explains.

    The pilots will run into 2019, before potentially scaling citywide. Bria is convinced that the city is the right level of government for this experimentation. “There is a crisis of trust. Governments need to reshape their relationships with citizens, and cities are closer to the citizens. Cities also run data-intensive, algorithmic processes: transport, public housing, healthcare, education. This is the level at which a lot of services are run, and so cities can experiment with alternatives. It’s the same reason why there was the smart city boom — cities have this capacity.”

    Barcelona is not alone in this. DECODE is an EU-funded project and sits neatly alongside the incoming General Data Protection Regulation (#RGPD), which will update regulation for internet companies. Together, they’re a kind of one-two for the data-driven internet economy. Barcelona also leads a network of rebel cities, “Fearless Cities”, that is adopting its tools and practices. They hosted the first conference last year, bringing together more than 180 cities from 40 countries and five continents. They are watching as Barcelona leads the way with its experiments in open democracy and data protection. Everything Barcelona has developed is open source, and all the code is posted on Github. They want these ideas to spread.

    Le genre de mesures préconisées dans cet article de Frank Pasquale dans le @mdiplo du mois https://www.monde-diplomatique.fr/2018/05/PASQUALE/58653


  • « Mais qu’en est-il des lois applicables [sur la protection des données personnelles] depuis plusieurs années déjà ? Nos institutions nationales respectent-elles la loi ? »

    https://blog.axe-net.fr/en-attendant-le-rgpd

    Résumé : non. Les politiciens font des beaux discours sur les méchants #GAFA qui piquent nos données et ne respectent pas les lois européennes, mais tous les sites Web des institutions publiques violent la loi, souvent de manière caricaturale.

    #I&L #RGPD #CNIL #hypocrisie #données_personnelles


  • « Veuillez accepter nos conditions » : la fabrique du consentement chez Facebook (et les moyens d’y mettre fin) | Calimaq
    https://scinfolex.com/2018/04/22/veuillez-accepter-nos-conditions-la-fabrique-du-consentement-chez-faceboo

    Facebook s’y était engagé cette semaine et cela s’est produit hier : des millions d’utilisateurs en Europe ont reçu un mail de la plateforme les invitant à accepter les nouveaux paramètres de confidentialité mis en place pour de se mettre en conformité avec le Règlement Général de Protection des Données (RGPD) qui entrera en vigueur le mois prochain. Le message était intitulé « Veuillez accepter nos conditions d’utilisation avant le 25 mai pour continuer à Facebook » et en elle-même, cette formulation est problématique, car elle revient une nouvelle fois à exercer sur les utilisateurs une forme de « chantage au service ». Source : :: S.I.Lex (...)


  • Hilfestellungen für Datenschutz in EU-Institutionen | iX
    https://www.heise.de/ix/meldung/Hilfestellungen-fuer-Datenschutz-in-EU-Institutionen-4004648.html

    Der erste Leitfaden „Guidelines on the protection of personal data in IT governance and IT management of EU institutions“ erklärt, wie die bei der Durchführung operativer und administrativer Aufgaben verarbeiteten personenbezogenen Daten angemessen und rechtskonform geschützt werden. Das umfasst sowohl den Datenschutz „by default“ und „by design“ in den Informationssystemen als auch die Etablierung von IT-Governance unter Einhaltung der Berichts- und Rechenschaftspflichten. Die Liste der vorgeschlagenen Maßnahmen ist weder erschöpfend noch verpflichtend. EU-Institutionen können alternative Mittel wählen, etwa unter Berücksichtigung ihrer spezifischen Bedürfnisse. Sie müssen allerdings nachweisen, dass diese Maßnahmen einen gleichwertigen Schutz der personenbezogenen Daten bedeuten.

    Die Tücken der Cloud
    Der zweite Leitfaden „Guidelines on the use of cloud computing services by the European institutions and bodies“ beinhaltet eine Analyse spezieller Risiken für personenbezogene Daten in Cloud-Umgebungen sowie rechtliche, technische und organisatorische Maßnahmen, wie man mit diesen Risiken umgehen kann. Besondere Aufmerksamkeit gilt den Anforderungen an die Beschaffungsprozesse der öffentlichen Hand. Für die beiden Richtlinienwerke haben sich die europäischen Datenschützer mit IT-, IT-Sicherheitsexperten sowie Managern von EU-Institutionen beraten. Berücksichtigt haben sie außerdem mehrere Hundert Kommentare und Vorschläge.

    Wie die Datenschutzbeauftragten sich auf die DSGVO und die ebenfalls in naher Zukunft kommende E-Privacy-Regulierung vorbereiten, zeigt auch der aktuelle EU-Datenschutzbericht, der am 19. März erschienen ist. Auch die deutschen Aufsichtsbehörden sind mit der Umsetzung befasst. Welche konkreten Maßnahmen geplant sind, beleuchtet etwa der ebenfalls gerade veröffentlichte Jahresbericht der Berliner Datenschutzbeauftragen Maja Smoltczyk.

    https://edps.europa.eu/sites/edp/files/publication/it_governance_management_en.pdf
    https://edps.europa.eu/sites/edp/files/publication/18-03-16_cloud_computing_guidelines_en.pdf

    https://edps.europa.eu/data-protection/our-work/our-work-by-type/annual-reports_en
    https://www.datenschutz-berlin.de/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2017-Web.pdf

    #GDRP #RGPD #DSGVO


  • How to make Matomo GDPR compliant in 12 steps
    https://matomo.org/blog/2018/04/how-to-make-matomo-gdpr-compliant-in-12-steps

    InnoCraft, April 3, 2018 in Privacy
    Important note: this blog post has been written by digital analysts, not lawyers. The purpose of this article is to briefly show you where Matomo is entering into play within the GDPR process. This work comes from our interpretation of the UK privacy commission: ICO. It cannot be considered as professional legal advice. So as GDPR, this information is subject to change. We strongly advise you to have a look at the different privacy authorities in order to have up to date information.

    The General Data Protection Regulation (EU) 2016/679, also referred to RGPD in French, Datenschutz-Grundverordnung, DS-GVO in German, is a regulation on data protection and privacy for all individuals within the European Union. It concerns organizations worldwide dealing with EU citizens and will come into force on the 25th May 2018.

    The GDPR applies to ‘personal data’ meaning any information relating to an identifiable person who can be directly or indirectly identified in particular by reference to an identifier. It includes cookies, IP addresses, User ID, location, and any other data you may have collected.

    We will list below the 12 steps recommended by the UK privacy commissioner in order to be GDPR compliant and what you need to do for each step.

    The 12 steps of GDPR compliance according to ICO and how it fit with Matomo
    As mentioned in one of our previous blog post about GDPR, if you are not collecting any personal data with Matomo, then you are not concerned about what is written below.

    If you are processing personal data in any way, here are the 12 steps to follow along with some recommendations on how to be GDPR compliant with Matomo:

    1 – Awareness
    Make sure that people within your organization know that you are using Matomo in order to analyze traffic on the website/app. If needed, send them the link to the “What is Matomo?” page.

    2 – Information you hold
    List all the personal data you are processing with Matomo within your record of processing activities. We are personally using the template provided by ICO which is composed of a set of 30 questions you need to answer regarding your use of Matomo. In the near future, we will write a blog post specifically for this. Please be aware that personal data may be also tracked in non-obvious ways for example as part of page URLs or page titles.

    3 – Communicating privacy information
    a – Add a privacy notice
    Add a privacy notice wherever you are using Matomo in order to collect personal data. Please refer to the ICO documentation in order to learn how to write a privacy notice. In the near future, we will write a blog post about this part. Make sure that a privacy policy link is always available on your website or app.

    b – Add Matomo to your privacy policy page
    Add Matomo to the list of technologies you are using on your privacy policy page and add all the necessary information to it as requested in the following checklist.

    4 – Individuals’ rights
    Make sure that your Matomo installation respects all the individuals’ rights. To make it short, you will need to know the features in Matomo that you need to use to respect user rights (right of access, right of rectification, right of erasure…). These features are currently in development and will be released soon.

    5 – Subject access requests
    Make sure that you are able to answer an access request from a data subject for Matomo. For example, when a person would like to access her or his personal data that you have collected about her or him, then you will need to be you able to provide her or him with this information. We recommend you design a process for this like “Who is dealing with it?” and check that it is working. If you can answer to the nightmare letter, then you are ready. The needed features for this in Matomo will be available soon.

    6 – Lawful basis for processing personal data
    There are different lawful basis you can use under GDPR. It can be either “Legitimate interest” or “Explicit consent”. Do not forget to mention it within your privacy policy page.

    7 – Consent
    Users should be able to remove their consent at any time. By chance, Matomo is providing a feature in order to do just that: add the opt-out feature to your privacy policy page.
    We are currently also working on a feature that allows you optionally to require consent. This will be useful if a person should be only tracked after she or he has given explicit consent to be tracked.

    8 – Children
    If your website or app is targeted for children and you are using Matomo, extra measures will need to be taken. For example you will need to write your privacy policy even more clear and moreover getting parents consent if the child is below 13. As it is a very specific case, we strongly recommend you to follow this link for further information.

    9 – Data breaches
    As you may be collecting personal data with Matomo, you should also check your “data breach procedure” to define if a leak may have consequences on the privacy of the data subject. Please consult ICO’s website for further information.

    10 – Data Protection by Design and Data Protection Impact Assessments
    Ask yourself if you really need to process personal data within Matomo. If the data you are processing within Matomo is sensitive, we strongly recommend you to make a Data Protection Impact Assessment. A software is available from the The open source PIA software helps to carry out data protection impact assessment, by French Privacy Commissioner: CNIL.

    11 – Data Protection Officers
    If you are reading this article and you are the Data Protection Officer (DPO), you will not be concerned by this step. If that’s not the case, your duty is to provide to the DPO (if your business has a DPO) our blog post in order for her or him to ask you questions regarding your use of Matomo. Note that your DPO can also be interested in the different data that Matomo can process: “What data does Matomo track?” (FAQ).

    12 – International
    Matomo data is hosted wherever you want. So according to the location of the data, you will need to show specific safeguard except for EU. For example regarding the USA, you will have to check if your web hosting platform is registered to the Privacy Shield: privacyshield.gov/list
    Note: our Matomo cloud infrastructure is based in France.

    That’s the end of this blog post. As GDPR is a huge topic, we will release many more blog posts in the upcoming weeks. If there are any Matomo GDPR topic related posts you would like us to write, please feel free to contact us.

    #GDRP #RGPD #DSGVO #WWW


  • #RGPD : la #Quadrature au carré
    https://framablog.org/2018/04/20/rgpd-la-quadrature-au-carre

    Le 16 avril dernier, la Quadrature du Net a lancé un appel inédit en France pour une action de groupe contre les #GAFAM. Cette action s’appuiera sur l’application prochaine du Règlement général sur la protection des données (RGPD). Sans attendre … Lire la suite­­

    #Dégooglisons_Internet #Droits_numériques #G.A.F.A.M. #Internet_et_société #Libertés_Numériques #ActionDeGroupe #Facebook


  • A flaw-by-flaw guide to Facebook’s new GDPR privacy changes | TechCrunch
    https://techcrunch.com/2018/04/17/facebook-gdpr-changes

    Facebook is about to start pushing European users to speed through giving consent for its new GDPR privacy law compliance changes. It will ask people to review how Facebook applies data from the web to target them with ads, and surface the sensitive profile info they share. Facebook will also allow European and Canadian users to turn on facial recognition after six years of the feature being blocked there. But with a design that encourages rapidly hitting the “Agree” button, a lack of granular controls, a laughably cheatable parental consent request for teens and an aesthetic overhaul of Download Your Information that doesn’t make it any easier to switch social networks, Facebook shows it’s still hungry for your data.

    The new privacy change and terms of service consent flow will appear starting this week to European users, though they’ll be able to dismiss it for now — although the May 25th GDPR compliance deadline Facebook vowed to uphold in Europe is looming. Meanwhile, Facebook says it will roll out the changes and consent flow globally over the coming weeks and months with some slight regional differences. And finally, all teens worldwide that share sensitive info will have to go through the weak new parental consent flow.

    First up is control of your sensitive profile information, specifically your sexual preference, religious views and political views. As you’ll see at each step, you can hit the pretty blue “Accept And Continue” button regardless of whether you’ve scrolled through the information. If you hit the ugly grey “Manage Data Setting” button, you have to go through an interstitial where Facebook makes its argument trying to deter you from removing the info before letting you make and save your choice. It feels obviously designed to get users to breeze through it by offering no resistance to continue, but friction if you want to make changes.

    Overall, it seems like Facebook is complying with the letter of GDPR law, but with questionable spirit. Sure, privacy is boring to a lot of people. Too little info and they feel confused and scared. Too many choices and screens and they feel overwhelmed and annoyed. Facebook struck the right balance in some places here. But the subtly pushy designs seem intended to steer people away from changing their defaults in ways that could hamper Facebook’s mission and business.

    Making the choices equal in visible weight, rather than burying the ways to make changes in grayed-out buttons and tiny links, would have been more fair. And it would have shown that Facebook has faith in the value it provides, such that users would stick around and leave features enabled if they truly wanted to.

    When questioned about this, Sherman pointed the finger at other tech companies, saying he thought Facebook was more upfront with users. Asked to clarify if he thought Facebook’s approach was “better,” he said “I think that’s right.” But Facebook isn’t being judged by the industry standard, because it’s not a standard company. It’s built its purpose and its business on top of our private data, and touted itself as a boon to the world. But when asked to clear a higher bar for privacy, Facebook delved into design tricks to keep from losing our data.

    #Facebook #RGPD #Design


  • Exclusive: Facebook to put 1.5 billion users out of reach of new EU privacy law
    https://www.reuters.com/article/us-facebook-privacy-eu-exclusive/exclusive-facebook-to-put-1-5-billion-users-out-of-reach-of-new-eu-privacy-

    Facebook members outside the United States and Canada, whether they know it or not, are currently governed by terms of service agreed with the company’s international headquarters in Ireland.

    Next month, Facebook is planning to make that the case for only European users, meaning 1.5 billion members in Africa, Asia, Australia and Latin America will not fall under the European Union’s General Data Protection Regulation (GDPR), which takes effect on May 25.

    The previously unreported move, which Facebook confirmed to Reuters on Tuesday, shows the world’s largest online social network is keen to reduce its exposure to GDPR, which allows European regulators to fine companies for collecting or using personal data without users’ consent.

    That removes a huge potential liability for Facebook, as the new EU law allows for fines of up to 4 percent of global annual revenue for infractions, which in Facebook’s case could mean billions of dollars.

    #internet #vie_privée #GDRP #RGPD #DSGVO


  • Un contrat à 10 millions d’euros avec la DGSI
    http://www.telerama.fr/medias/palantir-big-data-renseignement,153229.php

    En mars 2015, quelques semaines après l’attentat contre Charlie Hebdo et l’Hyper Cacher, Palantir a ouvert une filiale française, sur la très chic avenue Hoche, à quelques centaines de mètres de l’Arc de Triomphe. En toute discrétion, comme à son habitude. Après des mois de démarchages et de tractations, la firme américaine a trouvé un accord avec la Direction générale de la sécurité intérieure (DGSI). Selon nos informations, recueillies auprès de plusieurs sources au sein des services de renseignement, le contrat aurait été signé à l’été 2016. Montant estimé : 10 millions d’euros. 5% du budget de la DGSI. Auditionné par la commission défense de l’Assemblée nationale en mai dernier, Patrick Calvar, son patron, balisait le terrain en invoquant l’urgence : « Nous ne manquons pas de données ni de métadonnées, mais nous manquons de systèmes pour les analyser [...] Les entreprises françaises qui [les] développent ne sont pas encore capables de répondre à nos besoins, alors que nous devons acquérir ce big data immédiatement. Nos camarades européens sont dans la même situation. Le choix n’a pas encore été fait mais, en tout état de cause, la solution sera temporaire. »

    #palantir #dgsi #data #surveillance #silicon_army
    #Peter_Thiel #Alex_Karp #trump #NSA #RGPD


  • Richard Stallman, le RGPD et les deux faces du consentement – – S.I.Lex –
    https://scinfolex.com/2018/04/05/richard-stallman-le-rgpd-et-les-deux-faces-du-consentement

    Par Lionel Maurel

    La question que l’on peut se poser est de savoir si le principe de protection par défaut du RGPD (privacy by default) va aussi loin que l’interdiction par défaut que Stallman propose. Il dit bien qu’un système n’aurait le droit de collecter des données que si ces dernières sont strictement nécessaires à l’accomplissement de ses fonctionnalités. Est-ce que le RGPD de ce point de vue va interdire à la RATP d’identifier les utilisateurs des transports à Paris au motif qu’il y aurait une façon pour le passe Navigo de fonctionner tout en garantissant l’anonymat des personnes ? Le RGPD ne va sans doute pas aussi loin, car il n’emploie pas la notion de finalité exactement de cette manière. Le texte dit qu’un traitement réalisé sans finalité précise est illicite, alors que Stallman propose que la finalité d’un traitement soit en elle-même déclarée illicite s’il y a moyen de faire fonctionner un système sans collecter de données personnelles, ce qui n’est pas la même chose.

    Néanmoins, il semble que le RGPD ne soit pas complètement fermé non plus à une telle interprétation et il n’est pas impossible qu’un service comme celui de la RATP doive revoir en profondeur ses principes de collecte et de traitement de données pour se mettre en conformité avec le RGPD. Mais c’est surtout la jurisprudence à venir qui sera déterminante, car c’est elle qui va fixer la portée exacte de principes comme celui de la protection par défaut des données (privacy by default). D’où l’importance des recours qui vont être lancés dans les premiers temps de l’application du texte, notamment les nouveaux recours collectifs, qui nous permettront de savoir si Stallman avait raison dans sa critique du RGPD ou si cette réglementation s’approchait au contraire de sa vision.

    Néanmoins, on ne peut pas réduire le consentement à cette seule dimension « subjective » étant donné que la notion comporte aussi une face « objective », qui paraît bien plus intéressante en termes de protection des données. Dans cette conception, au lieu de donner à l’individu le pouvoir de fragiliser ses propres droits à travers son consentement, on va au contraire fixer des règles établissant qu’un consentement ne peut être valablement donné s’il a pour effet d’aboutir à une telle fragilisation des droits. C’est ce que permet la manière dont le consentement est défini dans le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

    Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir au contraire ce à quoi il ne peut pas consentir.

    Le G29 a fixé des lignes directrices pour l’interprétation de la notion de consentement dans le RGPD qui vont encore renforcer cette dimension « objective ». Les autorités de régulation européennes considèrent notamment que pour être véritablement libre, le consentement doit être « inconditionné« , c’est-à-dire que la personne doit avoir un véritable choix et que l’absence de consentement ne doit pas avoir de conséquences négatives pour elle. Cela va mettre fin à ce que l’on peut appeler le « chantage au service » qui reste la règle dans l’environnement numérique, vu que les plateformes nous placent généralement face au choix d’accepter telles quelles leurs conditions d’utilisation ou de renoncer au service qu’elles proposent.

    Mais tout ceci ne vaut que dans une conception « subjectiviste » du consentement, alors que le RGPD va accentuer au contraire la dimension « objective » de la notion. Or il existe une chance que le mode de fonctionnement de plateformes comme Facebook soient déclarées par les tribunaux « structurellement » incompatibles avec l’exigence du recueil d’un consentement libre et éclairé. Si cette lecture l’emporte dans la jurisprudence, alors le souhait de Stallman serait exaucé, car cela revient à dire que nous serons en mesure « d’arrêter la surveillance avant même qu’elle ne vienne demander le consentement » ou plutôt que les plateformes dont le modèle économique est intrinsèquement basé sur la surveillance ne seraient plus en mesure de demander un consentement valide. Comme le capitalisme de surveillance repose tout entier sur la « servitude volontaire » des individus, cela revient à dire que le RGPD aurait le potentiel de détruire purement et simplement ce modèle.

    Bien évidemment, les grands acteurs du numérique (mais aussi sans doute les États…) vont tout faire pour empêcher que cette lecture s’impose dans la jurisprudence. C’est la raison aussi pour laquelle ils manoeuvrent déjà dans le règlement ePrivacy pour faire en sorte que certains types de traitements (géolocalisation, profilage) échappent à l’obligation de recueillir le consentement des individus. Et le RGPD comporte lui-même de nombreuses failles qu’ils pourront essayer de faire jouer, notamment en invoquant d’autres fondements comme l’intérêt légitime ou l’exécution d’un contrat pour se passer du consentement individuel (mais surtout se protéger de son redoutable versant « objectif »).

    #RGPD #Consentement #Vie_privée


  • La justice américaine s’appuie sur le nouveau Cloud Act pour exiger de Microsoft des données hébergées en dehors des Etats-Unis

    ... reste aussi à savoir si l’European Data Protection Board (qui accompagnera le GDPR) reconnaîtra qu’il s’agit d’une mesure nécessaire et proportionnée afin de sauvegarder la sécurité nationale américaine ou estimera au contraire que la demande est une atteinte à la réglementation européenne.

    https://www.channelnews.fr/la-justice-americaine-sappuie-sur-le-nouveau-cloud-act-pour-exiger-de-mi

    #RGPD #GDPR


  • Opinion | Can Europe Lead on Privacy? - The New York Times
    https://www.nytimes.com/2018/04/01/opinion/europe-privacy-protections.html

    The American government has done little to help us in this regard. The Federal Trade Commission merely requires internet companies to have a privacy policy available for consumers to see. A company can change that policy whenever it wants as long as it says it is doing so. As a result, internet companies have been taking our personal property — our private information — while hiding this fact behind lengthy and coercive legalese and cumbersome “opt out” processes.

    The European rules, for instance, require companies to provide a plain-language description of their information-gathering practices, including how the data is used, as well as have users explicitly “opt in” to having their information collected. The rules also give consumers the right to see what information about them is being held, and the ability to have that information erased.

    Why don’t we have similar protections in the United States? We almost did. In 2016, the Federal Communications Commission imposed similar requirements on the companies that provide internet service, forcing them to offer an explicit “opt in” for having personal data collected, and to protect the information that was collected.

    This didn’t last. Internet service providers like Comcast and AT&T and companies that use their connections, like Facebook and Google, lobbied members of Congress. Congress passed a law this year, signed by President Trump, that not only repealed the protections but also prohibited the F.C.C. from ever again imposing such safeguards. The same coalition of corporate interests succeeded in discouraging California from passing a state privacy law similar to the 2016 F.C.C. requirements.

    The New World must learn from the Old World. The internet economy has made our personal data a corporate commodity. The United States government must return control of that information to its owners.

    Tom Wheeler, the chairman of the Federal Communications Commission from 2013 to 2017, is a visiting fellow at the Brookings Institution and a fellow at the Harvard Kennedy School.

    #Vie_privée #RGPD #FCC


  • Opinion | Facebook Is Not the Problem. Lax Privacy Rules Are. - The New York Times
    https://www.nytimes.com/2018/04/01/opinion/facebook-lax-privacy-rules.html

    As recently as 2010, Mark Zuckerberg, the founder and chief executive of Facebook, believed that privacy was no longer a “social norm.” But over the past few weeks — and not a moment too soon — he and his colleagues have learned that privacy still matters to individuals and society.

    what we have learned about the data collection practices of social media firms, advertisers, political campaigns, online publishers and other groups suggests that company-specific changes like Facebook’s will be insufficient. What is needed is for Congress to adopt rigorous and comprehensive privacy laws.

    The technology and advertising industries have long resisted such rules, and neither this Congress nor the Trump administration has shown any interest in privacy. But someday new politicians will be in charge, and now is as good a time as any to begin a serious examination of how American privacy regulations can be strengthened.

    Today, it is standard procedure for many companies to vacuum up as much data as they can by getting users to agree to long, impenetrable terms of service. Companies might not even know how they will use the information being collected but collect it anyway, in case they later develop a specific use for it. Recently, some Facebook users discovered that the company’s Android app had been logging metadata from every incoming and outgoing phone call and text message, in some cases for years. The company said that users had consented to sharing this information and that doing so “helps you find and stay connected with the people you care about, and provides you with a better experience across Facebook.” That statement is positively Orwellian. It’s hard to believe that many people would have given the company access to so much personal data if they actually understood what they were agreeing to.

    But it is increasingly clear that businesses will figure out how to live with and make money under tougher privacy rules. Some companies are also planning to apply some or all of the data protection requirements to all of their customers, not just Europeans. And other countries have or are considering adopting similar rules. Throughout history, meatpackers, credit card companies, automakers and other businesses resisted regulations, arguing they would be ruined by them. Yet, regulations have actually benefited many industries by boosting demand for products that consumers know meet certain standards.

    #Vie_privée #Législation #Régulation #RGPD


  • RGPD : les 9 principales mesures qui encadreront votre vie numérique
    https://www.numerama.com/politique/331422-rgpd-les-9-principales-mesures-qui-encadreront-votre-vie-numerique.

    Le Règlement général sur la protection des données (RGPD) contient un certain nombre d’avancées pour encadrer la collecte et le traitement des données personnelles. Pour le particulier, cela se traduit par un certain nombre de droits. Voici les principales mesures qu’il faut retenir. C’est le 25 mai que le Règlement général sur la protection des données (RGPD) sera appliqué. Imposé y compris aux entreprises basées hors de l’Union européenne, mais qui s’adressent à des personnes européennes, le texte (...)

    #algorithme #marketing #BigData #données #publicité #profiling #CNIL

    ##publicité


  • Home Office plans to deny immigrants access to data ’are illegal’
    https://www.theguardian.com/technology/2018/mar/05/home-office-immigration-data-access-eu-citizens-data-protection-bill

    Digital rights campaigners threaten legal action if data protection bill clause is enacted Plans to deny millions of people the right to access immigration data held on them by the Home Office are illegal and will be challenged in court, the government has been told. Organisations representing up to 3 million EU citizens living in the UK and digital rights activists have written to the home secretary, Amber Rudd, giving notice that they will take legal action if a clause in the data (...)

    #RGPD #données_ #discrimination #OpenRightsGroup