Commit 2ddc212c authored by piks3l's avatar piks3l

correcting titles

parent a0e2a56b
Tous les messages transmis sur le Net ainsi que les sites et vidéos consultés par tous les internautes sont analysés par les géants d'Internet (Google, Facebook, Apple, eBay, Amazon, Microsoft).
Quelles informations ces entreprises en tirent-elles ?
Une <a href="http://lexpansion.lexpress.fr/high-tech/dis-moi-ce-que-tu-aimes-sur-facebook-je-te-dirais-qui-tu-es_1443091.html">étude</a> de l'université de Cambridge en donne un aperçu : 58.000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous les « j'aime » que ces personnes avaient laissés sur Facebook. En repartant de leurs seuls « j'aime », l'université a alors pu déterminer leur couleur de peau (avec 95% de certitude), leurs orientations politique (85%) et sexuelle (80%), leur confession religieuse (82%), s'ils fumaient (73%), buvaient (70%) ou consommaient de la drogue (65%).
Cette étude aurait évidemment été bien plus précise en se fondant sur les <a href="http://techcrunch.com/2016/01/27/facebook-earnings-q4-2015/">1.59 milliards d'inscrits</a> (EN) à Facebook en janvier 2016.
En outre, Facebook a créé des <a href="http://rue89.nouvelobs.com/rue89-eco/2011/10/30/plaintes-nouveaux-concurrents-facebook-en-difficulte-sur-la-vie-privee-226066">profils fantômes</a> sur les internautes à qui des proches ont envoyé une invitation à s'inscrire et est aussi en mesure de surveiller tout internaute visitant un site internet proposant <a href="http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1717563">un bouton « j'aime »</a> (EN), et cela même si cet internaute ne clique pas sur le bouton en question ou n'est pas inscrit sur Facebook.
Facebook se livre aussi à des expérimentations sur ses utilisateurs, à leur insu. Il a par exemple filtré les informations du wall de 689 003 inscrits pour ne laisser que les mauvaises nouvelles pour certains ou les bonnes pour d'autres, dans le but de voir s'il a le pouvoir d'<a href="http://o.nouvelobs.com/high-tech/20140630.OBS2147/quand-facebook-manipule-les-emotions-de-ses-utilisateurs-en-secret-pour-une-etude.html">influencer leurs émotions</a> (<a href="http://www.pnas.org/content/111/24/8788.full">travaux</a> de l'Université de Princeton ayant utilisé ces détournements de Facebook).
Ce géant des réseaux sociaux voit même plus grand. En 2012, Facebook a manipulé les murs de 1,9 millions d'utilisateurs américains afin de les pousser à aller voter pour leur prochain président. Selon certaines <a href="http://huff.to/1scpjuj">sources</a> (EN), cela a pu influencer jusqu'à 3% des votants.
De la même manière, Google a la possibilité d'observer le milliard d'individus qui utilise son moteur de recherche et ses nombreux services. Google peut par exemple surveiller toute personne qui visite un site affichant une publicité, dès que cette dernière est comprise parmi les milliards d'espaces publicitaires que cette entreprise vend chaque jour (voir <a href="http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2013-174__13_juin_2013_Bureau_Publication_Societe_GOOGLE_INC.pdf">ce qu'en dit la CNIL</a>). Par exemple, tous les messages envoyés ou reçus depuis Gmail sont analysés, comme le démontrent les <a href="http://www.begeek.fr/gmail-ne-confondez-pas-vos-mails-avec-la-publicite-98935">publicités très personnalisées</a> intégrées aux boite de réception gmail. Et Google n'est pas le seul à suivre ses utilisateurs à la trace : eBay, Amazon, Apple, Microsoft, Yahoo, etc. surveillent aussi leurs millions de visiteurs quotidiens.
Le développement d’Internet a permis l’émergence du « courtage d’informations » (ou data broking), autrement dit le commerce de données personnelles. Cela consiste à collecter et revendre des informations personnelles, le plus souvent sans le consentement des consommateurs et citoyens concernés.
Ces entreprises peuvent collecter ces données par l’intermédiaire de cookies, d’analyse des réseaux sociaux ou d’achat d’informations auprès d’entreprises ou organisations publiques. Le <strong>croisement de ces données</strong> permet à ces entreprises de constituer des bases de données très denses, reprenant aussi bien l’adresse, l’âge et le sexe des populations étudiées, que des informations sur leur état de santé, leurs achats en ligne ou leurs opinions politiques. A titre indicatif, <a href="http://www.lesechos.fr/idees-debats/cercle/cercle-133077-quelle-ethique-pour-exploiter-le-big-data-en-marketing-1119149.php">cet article</a> des Echos nous apprend qu'« Acxiom, désigné par Forrester Research comme le plus grand courtier en données (ou data broker) au monde, détiendrait en moyenne trois mille segments de données sur la quasi-totalité des consommateurs étatsuniens ».
Ces pratiques peuvent provoquer des dérives, comme la <a href="http://www.reuters.com/article/2015/08/12/usa-ftc-fraud-idUSL1N10N1KP20150812">revente par des data broker des informations financières de clients</a> (EN) d’un organisme de crédit à des organisations coupables d’escroqueries financières en ligne. Ou encore la collecte puis la vente par « Exact Data », entreprise basée à Chicago, de <a href="http://www.cbsnews.com/news/data-brokers-selling-personal-information-60-minutes/">noms de personnes ayant été touchées par des maladies sexuellement transmissibles</a> (EN).
Enfin, la collecte massive des données personnelles présente des risques si les entreprises ne sécurisent pas suffisamment leur site. En témoigne le site de rencontres <a href="http://www.lemonde.fr/pixels/article/2015/08/19/les-sites-de-rencontre-cibles-privilegiees-des-piratages_4730294_4408996.html?xtmc=ashley_madison&amp;xtcr=15">Ashley Madison</a> dont les données des utilisateurs se sont retrouvées en accès libre sur Internet. Le Wall Street Journal <a href="http://www.wsj.com/articles/the-hacked-data-broker-be-very-afraid-14416848605">estime</a> (EN) que ces entreprises, en développant des bases de données « énormes et délibérément mal maitrisées » font peser des risques élevés sur la société.
Actuellement, c'est par une <a href="http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML">directive de 1995</a> que l'Union européenne protège la vie privée des européens sur Internet. Elle encadre la collecte, l'exploitation et la revente de leurs données personnelles.
On qualifie de <strong>donnée personnelle</strong> toute information qui, <strong>directement ou indirectement</strong>, permet d'<strong>identifier</strong> une <strong>personne physique</strong>. La loi française protège toutes les <a href="https://fr.wikipedia.org/wiki/Personne_physique">personnes physiques</a>, qu'elles soient françaises ou pas, du moment qu'elles sont <strong>sur le sol français</strong>. Cela étant dit, pour simplifier la lecture et la compréhension, nous parlons souvent de citoyen sur ce site.
<h2> Pourquoi la loi actuelle n'est plus satisfaisante&nbsp;?</h2>
Chaque État membre de l'Union européenne a transposé la directive de 1995 dans son droit national en votant de nouvelles lois. En France, cela s'est fait en 2004 par une réforme de notre <a href="http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460">Loi Informatique et Libertés</a>, qui encadre depuis 1978 l'exploitation des données personnelles des citoyens.
La directive a instauré une autorité de contrôle dans chaque État, chargée d'en faire respecter les règles auprès des administrations et des entreprises. En France, c'est la Commission nationale de l'informatique et des libertés (ou la <a href="http://www.cnil.fr/">CNIL</a>) qui se charge de ces missions. La France étant l'un des précurseurs de la protection des données personnelles, la CNIL existait déjà puisqu'elle a été créée en 1978.
Cependant, toutes les autorités nationales de protection des données personnelles ne bénéficient pas des mêmes ressources et du même mandat en fonction de l’État membre dans lequel elles se situent. La majorité de ces autorités nationales sont dénuées d’un pouvoir de sanction dissuasif et de moyens leur permettant de faire respecter les lois. C'est le cas par exemple de l'autorité irlandaise qui a <a href="http://www.wedemain.fr/Ce-petit-village-irlandais-devenu-le-garant-de-nos-vies-privees-sur-Internet_a1336.html">de très faibles moyens juridiques et financiers</a> pour contraindre les entreprises à respecter les lois en vigueur, tandis que de nombreuses entreprises multinationales comme Facebook, LinkedIn ou Twitter choisissent l’Irlande pour domicilier leur filiale européenne (notamment à des fins d’optimisation fiscale).
Ainsi, l’autorité en charge de soumettre ces entreprises multinationales au cadre légal, national et européen, en matière de protection des données se situe dans <a href="http://www.gutjahr.biz/wp-content/uploads/2012/07/Data-Protection-Commission1.jpg">ce bâtiment</a>, partagé par un supermarché discount.
D'autre part, l'évolution d'Internet accroît la nécessité de revoir les règles de la directive de 1995. Rappellons qu'en 1995 Google n'existait même pas&nbsp;! C'est pourquoi la Commission européenne (le « gouvernement » de l'Union européenne) a proposé en janvier 2012 un nouveau règlement européen.
<h2> Qu'est-ce qu'un règlement européen et qu'est-ce que celui-ci peut changer&nbsp;?</h2>
Contrairement aux directives, comme celle de 1995, les règlements européens s'appliquent directement à tous des États européens, sans avoir à passer par des lois nationales qui le transpose. Les règlements assurent ainsi une forte uniformisation du droit en Europe. De plus, ce <a href="http://www.europarl.europa.eu/sed/doc/news/document/CONS_CONS(2016)05419(REV1)_FR.docx">règlement</a> renforcera considérablement la protection de nos données sous plusieurs aspects, dont les plus importants sont détaillés plus bas. Pour une analyse exhaustive, vous pouvez voir notre <a href="https://wiki.laquadrature.net/Synth%C3%A8se_du_r%C3%A8glement_sur_la_protection_des_donn%C3%A9es">wiki</a>.
L'exploitation de nos données personnelles génère énormément d'argent, que ce soit pour les services de publicité, les banques ou les assurances.
Ces entreprises craignent simplement que de nouvelles exigences posées par le règlement ne perturbent leur modèle économique et constituent un frein à leur développement.
<h2> Faut-il empêcher ces entreprises de gagner de l'argent en exploitant les données des internautes&nbsp;? </h2>
Non, sûrement pas. Il ne s'agit pas ici de porter un jugement sur les entreprises qui exploitent les données personnelles des internautes, mais simplement de protéger la vie privée des citoyens européens.
Au contraire, même, on peut sincèrement espérer que les entreprises européennes regagneraient la confiance des internautes si, grâce à ce règlement, leurs clients pouvaient enfin contrôler la manière dont leurs données sont exploitées. Ces entreprises bénéficieraient ainsi d'un avantage certain face aux entreprises non-européennes, soumises à des législations donnant beaucoup moins de contrôle à leurs clients.
<b>Le droit actuel</b> vous permet&nbsp;:
</p><ul>
<li> D'être informés de la nature, des destinataires et du but des traitements des données ;</li>
<li> D'obtenir une copie de vos données possédées par l'acteur privé ou public (sauf l'administration) qui traite vos données, dans un format lisible </li>
<li> De faire respecter votre volonté de faire rectifier ou supprimer ces données si elles sont inexactes ou qu'elles ont été obtenues sans votre consentement ;</li>
<li> D'exiger que l'acteur qui traite vos données ne les utilise pas pour vous démarcher par courrier, email ou SMS à moins que vous y ayez consenti explicitement et qu'il se cantonne à vous démarcher pour des produits similaires à ceux que vous avez déjà achetés.</li>
</ul><p></p>
<p>Si vous êtes tout de même victime de démarchage illégal par mail ou par SMS et que vous avez fait savoir à leur émetteur que vous vouliez qu'ils cessent, vous trouverez sur le site de la CNIL les moyens de <a href="http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/spam-phishing-arnaques-signaler-pour-agir/">vous défendre</a>. Il est important de faire valoir ses droits, afin de pousser les entreprises à respecter la loi, et la CNIL à agir.</p>
<p><b>Le futur règlement</b> prévoit d'étendre sensiblement vos droits.</p>
<p>D'abord, le droit d'information portera désormais aussi sur <b>la durée de conservation des données</b> et sur leur éventuel transfert en dehors de l'Union européenne. De plus, les données obtenues auprès de tiers devront aussi indiquer l'identité de ces tiers.</p>
<p>Ensuite, vous pourrez aussi demander la suppression de vos données :
</p><ul>
<li>En retirant votre consentement, pour les traitements qui le permettent ;</li>
<li>Dès que le traitement de vos données, tel qu'initialement prévu, aura pris fin ;</li>
<li>Dès que leur durée de conservation, telle qu'initialement acceptée, aura pris fin ;</li>
<li>Lorsqu'un traitement de vos données ne sera pas ou plus légal.</li>
</ul>
<p></p>
<p>Néanmoins, par dérogation, votre droit de suppression pourra être écarté lorsque prévaudra la liberté d'expression, une raison médicale, scientifique ou historique suffisante ou lorsque le respect d'une obligation légale l'imposera. </p>
<p>Enfin, les entreprises devront fournir, aux personnes en faisant la demande, une copie réutilisable des données les concernant, afin que ces personnes puissent les transmettre à d'autres entreprises.</p>
<p>Il était initialement prévu que la mise en œuvre de tous ces droits serait gratuite, mais certains députés ont obtenu pour les demandes les plus «&nbsp;complexes&nbsp;», les entreprises puissent en demander dédommagement aux personnes qui les feront, ou simplement les leur refuser.</p>
Nos données pourraient être collectées et exploitées sans notre consentement, pour le simple «&nbsp;intérêt légitime&nbsp;» d'une entreprise.
<b>Le droit actuel</b> autorise l'exploitation des données personnelles&nbsp;:
<ul>
<li> lorsque la personne concernée y a consenti ;</li>
<li> afin d'exécuter un contrat conclu par cette personne ;</li>
<li> en cas d'urgence médicale ; </li>
<li> lorsque cela est exigé par la loi ou l'intérêt public ;</li>
<li> pour un intérêt historique, statistique ou scientifique ;</li>
<li> dans l'exercice de la liberté d'expression ; </li>
<li> lorsque cela est dans « <b>l'intérêt légitime</b> » d'une entreprise. </li>
</ul>
Cette autorisation à se passer du consentement lorsqu'il existe un « intérêt légitime » a pour but d'éviter que notre droit ne soit trop rigide et n'interdise certaines pratiques innovantes qui n'auraient pas été envisagées au moment de la rédaction de la loi. Hélas, cette notion est très mal définie et représente en réalité une importante faille dans l'ensemble de notre droit à la protection des données. Ainsi, n'importe quelle entreprise peu scrupuleuse peut essayer d'exploiter cette faille afin d'utiliser des données sans le consentement des personnes concernées.
Malgré tout, la loi impose que tout traitement de données ait une ou plusieurs finalités (c'est à dire un objectif) clairement présentées et communiquées à l'internaute préalablement au début du traitement de ses données. Si l'objectif du traitement venait à changer avec le temps, le consentement de l'internaute ne serait plus valable, il faudrait l'obtenir une nouvelle fois.
<b>Le nouveau règlement</b> brille par l'absence de définition claire associée à la notion d'« intérêt légitime », comme mentionné dans l'encart sur le consentement. Il sera donc possible de se passer du consentement lorsqu'il existera un « intérêt légitime » pour le professionnel. Cette dernière possibilité est une faille dangereuse, l'« intérêt légitime » étant excessivement large et trop facilement invocable à cause du règlement. Tant que l'« intérêt légitime » n'aura pas une définition précise, il n'y aura aucun garde-fou à son interprétation à leur avantage par les entreprises qui pourront en faire une finalité à proprement parler. Si l'intérêt légitime d'une entreprise permet de justifier le traitement des données sans notre consentement, l'obligation de finalité spécifique de traitement (c'est à dire l'obligation d'accord de l'utilisateur avec l'objectif de chaque différent traitement opéré sur ses données) est vidée de son sens. Il deviendrait alors possible de se passer du consentement des internautes afin d'exploiter des données personnelles pour bon nombre d'activités commerciales différentes.
En droit français, nos données peuvent être exploitées sans notre consentement lorsqu'elles ne nous rendent pas identifiable. C'est tout à fait normal, puisqu'il ne s'agit pas de données « personnelles ». Pour être personnelle une donnée doit soit nous identifier, soit nous rendre identifiable. C'est l'essence du droit à la protection des données.
<b>Le droit actuel</b> protège donc toutes nos données personnelles - toutes informations nous concernant et pouvant nous être rattachées. Mais le futur règlement européen sur les données personnelles intègre une notion nouvelle, porteuse de grands risques pour la vie privée. Il s'agit de la <b>« pseudonymisation »</b>.
<b>La version du Parlement européen du projet de règlement</b> prévoyait de créer une nouvelle catégorie de données personnelles, dont l'exploitation pourrait se faire sans notre consentement : les données « pseudonymes ». De telles données seraient toute information nous concernant mais ne pouvant pas nous être rattachée, à moins d'être recoupée à d'autres informations extérieures.
Lors des négociations, les Institutions européennes sont revenues sur cette proposition et on décidé de ne parler que du processus de « pseudonymisation », et non de données « pseudonymes » afin d'éviter de créer une sous-catégorie qui comporterait moins de droits. Cependant, cette différence ne protège pas beaucoup les utilisateurs.
Concrètement, un fichier comportant des informations nous concernant mais ne pouvant pas nous identifier, à moins d'être recoupées à d'autres informations extérieures, pourra être constitué. Ces données pourront alors être utilisées à des fins de recherche, sans l'accord de la personne concernée.
Or, la recherche en matière de ré-identification a <a href="http://pro.clubic.com/it-business/securite-et-donnees/actualite-715411-donnees-anonymes.html">solidement démontré</a> que des informations apparemment anonymes pouvaient être aisément rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs. Ainsi, en pratique, aucune information n'est réellement anonyme et les données personnelles, « pseudonymisées » ou non, méritent toutes de rester sous notre contrôle.
Prenons un cas concret : par géolocalisation, certaines applications installées sur des smartphones peuvent transmettre à des sociétés la liste des lieux visités par leurs utilisateurs. En principe, ces informations sont transmises de façon « anonyme », de sorte qu'on ne puisse les associer aux personnes qu'elles concernent. Mais l'itinéraire quotidien réalisé par chacun de ces utilisateurs (là où il travaille, là où il déjeune, là où il dort...) est en réalité unique parmi les itinéraires réalisés par tous les autres utilisateurs.
Il a ainsi été démontré (<a href="http://www.nature.com/articles/srep01376">rapport</a> (EN)) qu'il suffisait de connaître <a href="http://internetactu.blog.lemonde.fr/2013/12/13/big-data-pourquoi-nos-metadonnees-sont-elles-plus-personnelles-que-nos-empreintes-digitales/">quatre lieux</a> où une personne s'était rendue pour lui rattacher son identité, avec 95% de certitude. C'est presque trois fois plus précis que les analyses d'empreintes digitales, qui nécessitent 12 points pour vous identifier. Autrement dit, la liste « anonyme » des déplacements géolocalisés enregistrés par une application sur votre smartphone est donc plus fiable que vos empreintes digitales !
Par conséquent, la pseudonymisation n'est pas une solution suffisamment encadrée et protectrice pour les citoyens, qui peuvent être réidentifiés trop facilement.
<h3>Le droit à l'oubli n'est pas un droit consacré <b>en droit français</b>, mais on peut l'associer à l'article 6 de la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> qui impose à toutes structures publiques ou privées de définir une durée de conservation des données collectées. La loi n'impose pas de durée précise, car elle dépend de la finalité et de la proportionnalité de l'exploitation des données personnelles. Cependant la loi est précise sur un point : les données ne peuvent être gardées que tant que cela est nécessaire.</p>
</h3>
<p>De plus, la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> permet déjà aux internautes dont les données sont collectées en France par une entreprise d'accéder aux données conservées sur eux. Il vous est aussi possible de modifier ces informations, voire d'en demander la suppression (article 38). </p>
<p>Ce droit est l'un des plus importants pour tout internaute averti. En pratique, exercer ce droit est gratuit, mais une raison légitime vous sera demandée (à part dans le contexte de la prospection commerciale).</p>
<p><b>Le futur règlement</b> mentionne le droit à l'effacement des données personnelles aux articles 13 et article 17. Un particulier peut par exemple demander à ce que ses données soient effacées lorsqu'il ne consent plus au traitement ou à la conservation de ces données ou que ses données ont été collectées sans son autorisation.</p>
<p>Le règlement ajoute cependant qu'en cas d'objection de l'utilisateur au traitement de ses données, le responsable devra les effacer que s'il n'existe pas un intérêt légitime supérieur (voir encart « intérêt légitime »), justifiant leur conservation. Les tensions qui pèsent sur la protection du droit d'effacement sont énormes puisqu'à l'intérêt légitime de l'internaute peut donc s'opposer l'intérêt légitime d'une entreprise (ou toute autre structure qui collecte des données personnelles, comme une association ou l'administration) à parfois se passer du consentement de l'utilisateur. Ce conflit entre les droits des collecteurs de données et ceux des citoyens existe déjà en droit français, mais d'une part la loi française n'est pas satisfaisante pour l'utilisateur et d'autre part le projet de règlement « rebat les cartes » dans le sens où un règlement européen supplante la loi nationale portant sur le même sujet (en l’occurrence, la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Liberté</a>). Autrement dit, si notre droit national comporte peu de faiblesses, le futur règlement peut en instituer de nouvelles !</p>
<p>Les principales fragilités du projet concernant le droit à l'effacement sont avant tout que le texte ne prévoit pas vraiment de recours lorsque la personne en charge du traitement des données a disparu ou, ce qui est fréquent, qu'elle ne peut pas être identifiée.</p>
<h3>La <b>portabilité</b> des données correspond à la possibilité pour l'internaute de demander le transfert de ses données vers de nouveaux prestataires. La portabilité des données se fonde sur le même principe que la portabilité des numéros de téléphone, que l'on pourrait par exemple appliquer au mail ou a des services aux fonctionnalités équivalentes. Pour le mail par exemple il s'agit du transfert des correspondances et des contacts. </p>
</h3>
<p>Pour ce résultat, l'idéal est que les données soient transférées dans un <a href="https://fr.wikipedia.org/wiki/Format_ouvert">format ouvert</a> (appelé aussi format libre). L'avantage du format ouvert est qu'il ne comporte aucune restriction d'accès ou de mise en œuvre et qu'il survit généralement aux entreprises. </p>
<p>Il n'existe actuellement aucun droit à la portabilité des données en droits français et européen. Il s'agit donc d'un nouveau droit bientôt reconnu aux internautes.</p>
<p><b>Dans le nouveau règlement européen</b>, l'article mettant en place ce droit proposé par la Commission européenne prévoyait une <b>interopérabilité</b> des systèmes et plateformes au service de la portabilité des données. Le Parlement européen et le Conseil de l'Union européenne ont préféré limiter ce droit et ont fait disparaitre le critère d'interopérabilité. </p>
<p>Par ailleurs, ce droit n'inclut pas les cas où le traitement n'est ni basé sur un contrat ou ni sur le consentement (article 18 du règlement). Pourtant le droit à la portabilité des données pourrait permettre une plus grande transparence sur la manière dont les États exploitent nos données. </p>
<p>Même lorsque la portabilité des données n'est pas possible car les services ne sont pas fonctionnellement équivalents, l’utilisateur doit avoir le droit de récupérer ses données dans un format structuré, ouvert et interopérable. Or au lieu de ça le règlement ne prévoit la récupération que dans un format « structuré et couramment utilisé ». Or l'expression « couramment utilisé » n'a aucune définition claire et laisse une grande incertitude sur la mise en application de cette clause.</p>
<h3><p>Ne pas confondre transfert de données en vue de leur traitement et disponibilité des données. En effet, le simple fait de mettre des données personnelles sur un site visible dans le monde entier n'implique pas qu'un traitement de données soit fait dans chacun des pays du monde. Dans ce cas précis, elles ne sont que disponibles.</p>
</h3>
<p><b>Le droit actuel</b> autorise le transfert des données personnelles des Européens vers certains pays (Norvège, Uruguay, Canada, Argentine, Suisse, Islande, Israël, Nouvelle Zélande) considérés comme leur offrant une protection équivalente. Pour tous les autres pays, une autorisation doit préalablement être obtenue de la CNIL pour tout contrat encadrant un transfert de données.</p>
<p>Jusqu'au 6 octobre 2015 il existait un accord spécial entre les États-Unis et l'Union européenne, appelé le «&nbsp;Safe Harbor&nbsp;».</p>
<p>Le 6 octobre 2015 la Cour de Justice de l'Union Européenne a <a href="https://www.laquadrature.net/files/schrems-arret-de-la-cour.pdf">invalidé cet accord</a> car les révélations de Snowden ont permis au monde d'apprendre que la NSA imposait <a href="http://www.wired.com/images_blogs/threatlevel/2013/06/PRISM-Companies.jpg">aux géants du net</a> d'avoir accès aux données personnelles qu'ils ont collectées. Cet arrêt est donc un signal fort pour la protection des données personnelles ! Mais la Commission européenne est déjà en train de négocier un second «&nbsp;Safe Harbor&nbsp;» avec les autorités américaines. En conséquence, il faudra rester vigilants sur la direction prise par les négociations.</p>
<p>D'une manière générale, le règlement poursuit l'approche protectrice actuelle et développe les autorisations basées sur des clauses et statuts types, afin d'accompagner le commerce en ligne.</p>
<p>En outre, il introduit au sein des dérogations possibles à l'information de l'internaute l'exception d'intérêt légitime, dont la portée est toutefois réduite dans les cas d'exports.</p>
<p>De plus, une version antérieure du projet de règlement interdisait aux entreprises de transférer à une autorité non-européenne des données concernant des citoyens européens, à moins qu'une autorité européenne ne l'ait préalablement autorisé (voir l'article 42). Cette disposition n'est plus présente dans le texte final, alors même qu'elle permettrait d'interdire les transferts de données intervenant dans le cadre de PRISM entre de grandes entreprises américaines et la NSA. Cette disposition aurait dû être réintroduite, comme l'ont notamment prôné les amendements de Jan Philipp Albrecht, le rapporteur du Parlement européen sur la réglementation de la protection des données.</p>
<h3><p>Qu'entend-on par «&nbsp;fuite de données personnelles&nbsp;»&nbsp;? Dans le règlement, cette expression regroupe les violations des systèmes de sécurité qui aboutissent de manière accidentelle ou illégale à la destruction, la perte ou l'altération des données. Cette expression recouvre aussi la divulgation ou la mise en place d'accès à des données personnelles transmises, stockées ou exploitées de toute autre manière.</p>
</h3>
<p><b>Le droit actuel</b> a introduit en aout 2011 une obligation de notification des failles de sécurité. Cette obligation n'est pas contraignante en cas de perte ou de compromission de données par une entreprise ou toute autre entité (exemple&nbsp;: université). Pour l'instant, seuls les télécoms et les fournisseurs d'accès à Internet (FAI) sont tenus de prévenir leurs utilisateurs et la CNIL en cas de fuites de données. En d'autres mots, le droit actuel n'impose pas spécifiquement d'obligation de vous informer en cas de perte, de vol ou de détérioration de vos données. Pourtant, les pertes de données sont loin d'être rares, comme le montre cette <a href="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/">carte évolutive des plus grands vols de données</a> (EN)&nbsp;! Et les conséquences en terme d'usurpation d'identité ou d'utilisation des données bancaires sont dramatiques.</p>
<p>Pour cette raison, le <b>futur règlement européen</b> prévoit que les entreprises auront l'obligation de prévenir l'autorité nationale (la CNIL nationale) du pays où le traitement a été touché par une fuite de données. Le projet prévoyait à l'origine que l'autorité nationale devrait être prévenue dans les 24h. Mais les négociations ont abouti à une obligation de prévenir l'autorité dans les 72 heures.</p>
<p>Reste une faille dans le règlement&nbsp;: en définissant les fuites de données par une violation de système de sécurité on exclut toutes les situations où des données personnelles sont volées, perdues ou endommagées s'il n'y a pas eu de violation du système de sécurité ou s'il n'y a tout simplement pas de système de protection des données&nbsp;! La formulation des articles 31 et 32 est donc à repréciser afin qu'existe une obligation d'information dans tous les cas de fuites de données, <b>qu'importe la façon dont les données personnelles ont été accédées</b>.</p>
<p>L'Union européenne a voté le 14 avril 2016 un <strong><a href="https://wiki.laquadrature.net/Synth%C3%A8se_du_r%C3%A8glement_sur_la_protection_des_donn%C3%A9es#cite_ref-5">règlement</a></strong> qui participera à nous donner le contrôle de nos données. Ce règlement sera applicable à partir de <strong>2018</strong>.</p>
<p>Mais certaines entreprises veulent en garder le contrôle et ont mené une <strong>campagne de lobbying sans précédent</strong> auprès des institutions européennes. Le règlement compte donc aussi des points contre lesquels vous devez vous prémunir.</p>
<img src="https://controle-tes-donnees.net/wp-content/uploads/sites/3/2016/04/SHIELD_clef-261x300.png" alt="SHIELD_clef" width="261" height="300" class="aligncenter size-medium wp-image-209" />
Dans tous les cas, le futur règlement ne pourra pas résoudre tous les problèmes d'un coup. Il y aura toujours des entreprises ou des gouvernements qui tenteront de le contourner.
Nous devons apprendre à utiliser les <em>bons outils</em> qui laisseront toutes nos données <em>entre nos mains</em>.
Si vous savez naviguer sur Internet et installer un programme, vous saurez vous servir des outils que nous proposons. Il faudra toutefois vous investir un minimum pour les maîtriser correctement.
Nous ne vous proposons pas des logiciels prétendant vous protéger automatiquement, sans que vous n'ayez rien d'autre à faire que des les installer. En réalité, utiliser des logiciels dont nous ne pouvez pas comprendre le fonctionnement est la meilleure façon de perdre le contrôle de vos données.
À la place, les outils que nous vous proposons vous mettront directement aux commandes. Vous pourrez entièrement les contrôler, et donc être sûr que ce ne sont pas eux qui vous contrôlent.
<h2>Ne laissez plus de traces sur Internet</h2>
<ul>
<li><a href="/firefox/">Utilisez et configurez un navigateur libre&nbsp;: <b>Firefox</b></a></li>
<li><a href="/ixquick/">Utilisez un <b>moteur de recherche</b> qui ne vous surveille pas</a></li>
<li><a href="/modules/">Maîtrisez les traces que vous laissez en <b>améliorant Firefox</b></a></li>
<li><a href="/Tor/">Naviguez en ne laissant aucune trace avec <b>Tor</b></a></li>
</ul>
<h2> Gardez vos échanges confidentiels </h2>
<ul>
<li><a href="/jitsi/">Chiffrez vos discussions instantanées et appels vidéo avec <b>Jitsi</b></a></li>
<li><a href="/choisissez-un-fournisseur-demail-qui-vous-laisse-le-controle/">Choisissez un <b>fournisseur d'email</b> qui vous laisse le contrôle</a></li>
</ul>
<h2>Reprenez la mains sur tous vos outils</h2>
<ul>
<li><a href="/reprenez-le-controle-de-votre-ordinateur-avec-gnulinux/">Reprenez le contrôle de votre ordinateur avec <b>GNU/Linux</b></a></li>
</ul>
<h2>Maîtrisez toutes vos données en les hébergeant vous-même</h2>
<ul>
<li><a href="/auto-hebergement-sur-nas-le-cas-des-nas-synology/">Facilement, <b>sur un NAS</b></a></li>
<li>Sur un PC ou un raspberry, avec un OS dédié (Yunohost, Freenas...) - A venir.</li>
<li>Sur un PC, avec un GNU/Linux paramétré par vos soins - A venir.</li>
</ul>
Vous avez sûrement déjà remarqué que vous étiez <em>suivi</em> sur Internet, principalement par la publicité.
Mais saviez-vous que, sur Internet, chacun de vos <em>clics</em> et de vos <em>emails</em> étaient analysés afin de dresser un profil de vos opinions et de votre caractère.
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment