Cette semaine est un peu spéciale, puisque plutôt que de vous proposer un article signé Aeon, nous souhaitons vous demander votre avis sur la Maj. Si vous avez quelques minutes à nous consacrer (entre 2 et 10, pas plus, promis), n’hésitez pas à vous rendre ici pour répondre à notre enquête sur la Maj ! Merci d’avance !
L’année 2018 sera charnière pour la protection des données personnelles, puisque le nouveau Règlement européen pour la protection des données personnelles (le fameux RGPD 🇫🇷 ou GDPR 🇬🇧selon votre préférence linguistique) entre en vigueur le 25 mai. Il s’agit, pour rappel, d’une harmonisation massive des règles de protection des données à caractère personnel sur tout le territoire de l’UE, avec un renforcement de la portée territoriale de ces règles désormais applicables à toute entreprise, même étrangère, qui cible l’UE par ses produits et services, un renforcement des pouvoirs de sanction des autorités administratives type CNIL, et un renforcement des droits des personnes dont les données sont collectées.
La data, nerf de la guerre aujourd’hui et demain
L’actu de la semaine nous montre qu’il n’y a pas besoin d’attendre le 25 mai pour que les données personnelles soient sur le devant de la scène : au contraire, les remous causés par l’arrivée prochaine du RGPD sont dus à l’importance prise ces dernières années par les données personnelles. Elles sont désormais au cœur des modèles économiques de la plupart des entreprises du web, qui, rappelons-le, font partie des plus grandes capitalisations boursières au monde, et tout changement législatif dans un domaine si sensible va forcément brusquer ses acteurs. Mais les données personnelles sont donc déjà (en France, depuis 1978) appréhendées par le droit d’une manière à tenter de préserver un équilibre précaire entre le droit de chacun à maitriser ses informations privées et la valeur économique créée à partir de l’exploitation de ces informations. Celles-ci sont généralement utilisées pour créer des profils publicitaires ciblés mais aussi, depuis peu, pour entrainer des intelligences artificielles et développer de nouvelles fonctionnalités.
On voit ainsi régulièrement apparaitre de nouveaux usages des données personnelles qui laissent à penser que ce pétrole d’Internet va continuer à être au centre des préoccupations durant les années à venir, au fur et à mesure des développements technologiques centrés sur l’accumulation et l’exploitation de ces données. Reste à voir si le droit de la protection des données personnelles, qui se veut neutre face à la technologie et donc applicable en toutes circonstances, pourra effectivement suivre la cadence.
L’actu en bref
Cette semaine a été vraiment très chargée en petites nouvelles, donc en voici un florilège aussi condensé que possible : SpaceX a foiré le lancement d’un satellite militaire ; la Commission européenne a remis la pression sur les acteurs du Web pour qu’ils retirent le contenu illicite plus rapidement, a lancé une consultation publique sur les fake news et veut investir 1 milliard d’euros dans un superordinateur ; le futur de la sécurité du WiFi est bientôt là et s’appelle WPA3 ; Dropbox a lancé une procédure pour entrer en bourse ; Kodak (oui, Kodak) va créer une blockchain et une cryptomonnaie, le KodakCoin, et ce pendant que la Corée du Sud bouleverse le marché des cryptomonnaies avec des rumeurs de régulation stricte ; il ne faut plus dire smartphone mais mobile multifonction ; la Newsfeed Facebook va changer en 2018 et se recentrer sur la famille et les amis ; et enfin, de la glace propre a été découverte sur Mars.
À ne pas rater cette semaine
Sinon, la CNIL a infligé l’une des plus lourdes amendes de son histoire en sanctionnant Darty à hauteur de 100 000 € pour une faille dans une URL mise en place par un sous-traitant mais dont Darty ne semblait pas avoir connaissance. Toujours sur le contentieux des données persos, UFC-Que-Choisir a assigné la Fnac et Amazon pour manquements relatifs aux enceintes connectées, pendant que la discorde règne en Inde sur un mégafichier national peu sécurisé, qui rappellera notre fichier TES à nous. On parle également ouverture des données publiques sur les décisions de justice et valeur des données anonymisées. Enfin (en ce qui concerne la data), la CNIL a sorti un pack de conformité dédié aux produits et services liés au troisième âge. On parle aussi quand même un peu d’autre chose, avec un article sur l’autocensure de l’intelligence artificielle de Google pour ne pas être raciste, le développement de puces Intel inspirées du cerveau humain et la création d’une chaine télé française consacrée à l’eSport.
Faites la Maj, et à la semaine prochaine !
Ce qu'on lit cette semaine
#donnéespersos
#sanction
#responsabledetraitement
#traitementencatimini
La semaine dernière, la CNIL a encore une fois sanctionné un responsable de traitement à l’occasion d’une relation avec un sous-traitant : c’était Darty, et c’était 100.000 euros. Dans les faits, il s’agissait d’une URL, hébergée par un sous-traitant de Darty, générée dans le cadre du remplissage d’un formulaire de service après-vente et dont la modification permettait d’accéder aux fiches d’autres clients. La particularité de l’affaire ? Darty ne semblait pas avoir connaissance de l’existence de cette URL. La CNIL, très peu sensible à l’argument du « c’est pas moi », a décidé que Darty restait responsable du traitement envisagé dès lors que celui-ci était intervenu dans le cadre d’un contrat de prestation de services et que les formulaires remplis par cette voie étaient quand même traités par son SAV. Responsables de traitement, il serait peut-être bon de rajouter dans ses contrats de sous-traitance une clause imposant au sous-traitant de récapituler tous les moyens de traitement que ce dernier a mis en place dans le cadre de ses prestations. A bon entendeur.
#opendata
#legaltech
#justicenumérique
#démerdenzizich
Le rapport sur l’open data des décisions de justice, initié dans le sillage de la Loi sur la République numérique, a enfin été remis par la Chancellerie. Au programme, un optimisme dans le constat de ce que l’open data favorisera l’émergence d’outils permettant d’automatiser les tâches les plus fastidieuses du quotidien des acteurs du droit, l’aveu de ce qu’il faudra se satisfaire de la pseudonymisation des parties, mais également le constat d’un clash entre ordres judiciaire et administratif. En somme, une absence de consensus et des difficultés à protéger toutes les valeurs en présence, la patate chaude est donc renvoyée au Conseil d’Etat qui devra se débrouiller pour concilier des intérêts contradictoires dans la rédaction du décret que l’on attend tous depuis octobre 2016.
#e-commerce
#consommation
#-50%surlesactionsenjustice
C’est non sans une certaine maîtrise du timing de la surprise que l’UFC Que Choisir a décidé d’assigner la Fnac ainsi qu’Amazon devant le Tribunal de Grande Instance de Paris au moment de l’ouverture des soldes. Données personnelles, garanties contractuelles et légales, aspects techniques essentielles, l’association reproche ainsi aux vendeurs en ligne de ne pas fournir suffisamment d’information aux consommateurs à propos des objets connectés proposés sur leurs plateformes. Le contentieux touche donc aux difficultés inhérentes de la marketplace liées à la complexité, pour son éditeur, de la gestion et de la normalisation de la présentation des produits mis en ligne par une multitude de tiers, très souvent étrangers, qui ne connaissent pas les exigences légales des pays où leurs produits sont commercialisés voire même ne détiennent pas les informations nécessaires pour s’y conformer. Affaire à suivre de très près.
#anonymisation
#donnéespersos
#privacybyuber
Une présentation saisissante du projet Cabanon, piloté successivement par la CNIL et l’ARCEP, qui fait mentir tous les oiseaux de mauvais augure : non, les données anonymisées ne sont pas dénuées de valeur, y compris commerciale. En témoigne cet exercice de haut vol par lequel les autorités françaises sont parvenues à concevoir un service de transport “Uber-like”, optimisé à l’échelle d’un quartier de New York, sur la seule base de données anonymisées. L’occasion pour la CNIL de rappeler que l’anonymisation n’est jamais un absolu : les méthodes pour y parvenir sont nombreuses, et la qualité du résultat à apprécier en fonction du contexte et des enjeux de sécurité qui lui sont propres.
#donnéespersos
#cybersécurité
#lanceurd'alerte
#touchonsdenombreuxbois
Comme bien souvent avec les lanceurs d’alerte, il s’agit d’une histoire de David contre Goliath. Cette fois-ci, le David est une femme et le Goliath le gouvernement indien. Une journaliste a ainsi annoncé, dans un article paru dans le quotidien The Tribune, avoir eu indument accès à bon nombre de données personnelles contenus dans le mégafichier national, lequel regroupe des informations sur plus d’un milliard de citoyens indiens, et avoir eu en sa possession un logiciel permettant d’imprimer leurs documents d’identité. Le gouvernement n’a pas attendu pour riposter en déposant plainte contre la journaliste et son employeur. L’on se remémorera à l’occasion que la création du fichier TES était intervenue malgré les inquiétudes de la CNIL et espérera qu’il est mieux sécurisé que celui de nos amis indiens.
#donnéespersos
#cnil
#économieargentpourâged'or
Après les compteurs électriques connectés, le logement social, les assurances et les véhicules connectés, c’est au tour de la “silver economy” (comprenez : les produits et services liés au troisième âge) de faire l’objet d’un pack de conformité de la CNIL. L’autorité poursuit ainsi son oeuvre de production de référentiels de conformité, dans un souci bienvenu d’accompagnement des entreprises concernées. Face aux enjeux particuliers de ces produits et services (données sensibles, protection des personnes vulnérables…), la CNIL reprend notamment sa fameuse approche en triptyque “IN-IN”, “IN-OUT”, “IN-OUT-IN”, déjà développée dans le pack “Compteurs connectés”. Une question reste encore en suspens : qui, franchement, est chargé d’inventer les noms de ces “nouvelles économies” ?
#IA
#discrimination
#machineintelligente,solutionbêteetméchante
Face aux défis encore nouveaux de l’intelligence artificielle, les solutions proposées ont parfois l’air d’un aveu de faiblesse : ainsi, depuis que l’algorithme machine-learning de reconnaissance d’images de Google s’est vu accusé d’associer gorilles et personnes de couleur, le tour de passe-passe consiste à… lui faire oublier les gorilles. La solution, radicale, a le mérite d’illustrer la bonne volonté du géant de Mountain View, mais aussi sa relative impuissance face à un important risque sociétal de l’IA, d’ailleurs identifié par la CNIL : celui de perpétuer et renforcer des discriminations existantes. On hasardera qu’ici comme ailleurs, une partie de la réponse doit dépendre des data sets employés…
#e-sport
#télévision
#j'airatétéléfoot
Un peu plus d’un an après sa consécration juridique à travers la loi République Numérique et ses deux décrets d’application, respectifs relativement à l’organisation de tournois et au statut des joueurs, le e-sport continue son petit bonhomme de chemin dans l’Hexagone. En témoigne le lancement de cette nouvelle chaîne de télévision, ES1, le “beIN Sports du jeu vidéo”, entièrement centré sur la diffusion et l’analyse des compétitions. Après quelques légers démêlés avec le CSA, la chaîne du groupe Webedia devra désormais faire face à un défi de plus grande envergure encore : trouver son public, dans un pays où la pratique (surtout professionnelle) des jeux vidéo souffre encore d’une image parfois stéréotypée…
