La Cnil a rappelé à l'ordre les ministères de l'Intérieur et de la Justice. Dans son collimateur, plusieurs manquements relatifs au fichier de traitement des antécédents judiciaires.

Chez Mozilla, ils ont passé en revue les 25 plus grandes marques automobiles du marché. Résultat : toutes sans exception ont été étiquetées « Confidentialité non incluse ». Comme quoi, en matière de respect de la vie privée, les constructeurs de voitures trustent la pole position au palmarès de la lose. Ils s’en donnent à cœur joie pour nous profiler et revendre nos données personnelles à tout va.

Entre le partage douteux de nos infos avec la police et les gouvernements, la revente de nos données de géolocalisation aux courtiers et le manque flagrant de protection de toutes ces données, les voitures connectées nous la jouent vraiment à la Mad Max côté vie privée. Concrètement, ça veut dire que n’importe qui ou presque peut savoir où vous êtes allés, à quelle vitesse, avec qui, ce que vous avez fait dans l’habitacle…etc
[...]
C’est encore pire quand on découvre que certains constructeurs comme Nissan ou Hyundai se permettent carrément de collecter des données sur votre « activité sexuelle », votre « niveau d’intelligence » ou vos « caractéristiques génétiques » ! Et refourguer ces infos ultrasensibles à des « partenaires marketing » pour du ciblage publicitaire.
[...]

Cette décision européenne est intéressante : le RGPD vous permet donc aussi de demander qui a consulté vos données et dans quel but.

Finalement, c'est le gouvernement français qui a apporté une solution au début du mois de février 2023. L'État a imaginé un dispositif impliquant l'utilisation d'un certificat numérique. Un internaute voulant consulter du contenu réservé aux majeurs devra installer une application qui effectuera toutes les vérifications nécessaires afin de savoir s'il a plus de 18 ans. De ces vérifications, la personne majeure recevra une attestation qu'il devra utiliser à chaque fois qu'il se connectera sur un site pornographique afin de confirmer son âge.

Dans un communiqué, la CNIL est revenue sur la future mise en place de ce dispositif. Elle rappelle que « le RGPD n’est pas incompatible avec un contrôle de l’âge pour l’accès aux sites pornographiques ». Si elle affirme que pour le moment, la solution visant à utiliser une carte de crédit pour prouver son âge peut être utilisée, l'organisme préfère clairement la solution trouvée par l'état.

dns0.eu est un projet de DNS européen lancé par une association française à but non lucratif fondée en 2022.
Les fondateurs proviennent de NextDNS.

Le but est de proposer un résolveur DNS récursif gratuit, souverain et conforme au RGPD avec un fort accent sur la sécurité pour protéger les citoyens et organisations de l’Union européenne.

Dans un arrêt du 12 janvier, la Cour de justice de l'Union européenne a confirmé qu'un utilisateur était en droit de demander au responsable de traitement la transmission de l'identité des destinataires de ses données personnelles. Une clarification du RGPD assortie de quelques limites.
[...]
Régulièrement, la Cour de justice de l’Union européenne peaufine sa jurisprudence autour de ce texte. C’est le cas de l’affaire C-154/21 opposant la poste autrichienne (österreichische Post) à un citoyen qui souhaitait connaître l’identité des destinataires de ses données personnelles au nom du RGPD. En réponse, le service postal lui a simplement rappelé qu’il « propose ces données à des partenaires commerciaux à des fins marketing », sans lui donner leur identité.

L’utilisateur a alors saisi la justice autrichienne et a pu obtenir que ses informations personnelles avaient été transmises à « des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques ». Mais toujours pas l’identité exacte des destinataires. La justice autrichienne a alors lancé une procédure de question préjudicielle auprès de la CJUE pour savoir si le RGPD « obligeait » le responsable de traitement à transmettre l’identité exacte des partenaires commerciaux.

Et la réponse de la juridiction communautaire est sans ambiguïté. « Lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires ». Cette obligation est rendue nécessaire selon la Cour pour que l’utilisateur puisse exercer d’autres droits couverts aussi par le RGPD. Elle cite par exemple le droit d’opposition, à l’oubli ou de recours en cas de dommage subi.

Pour autant, l’obligation est assortie de limitations, constate la CJUE. Elle fixe deux cas : quand il n’est pas encore possible d’identifier les destinataires ou quand la demande est jugée excessive ou infondée. Sur le premier point, le responsable de traitement peut alors indiquer uniquement les catégories des destinataires. Elle se garde bien cependant de juger sur le bienfondé des ces deux cas laissant les juridictions nationales statuer.

La CNIL vient de sanctionner Discord. L'autorité a infligé au logiciel une amende frôlant le million d'euros, pour divers manquements au RGPD sur la protection des données personnelles des utilisateurs.

Pffffff :-(

Plus de six mois après un « accord de principe » entre l'UE et les États-Unis, le président américain Joe Biden a signé le décret exécutif tant attendu qui vise à respecter les arrêts passés de la Cour européenne de justice (CJUE). Avec de décret, Joe Biden voudrait surmonter les limitations des transferts de données entre l'UE et les États-Unis.

Le décret est donc conçu pour codifier les accords que l'UE et l'Amérique ont conclus plus tôt cette année qui rétabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s'agit d'un framework qui définit comment, quand et quelles données des citoyens sont envoyées à l'étranger, entre l'Europe et l'Amérique.

Selon Joe Biden, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Indirectement, le président américain évoque l’application de lois américaines, telles que le Cloud Act, qui permettent aux agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines.

Toutefois, selon un défenseur de la vie privée qui a rejeté les réglementations précédentes devant les tribunaux, ce décret exécutif signé par le président Biden pourrait ne pas répondre aux exigences de l'UE.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur dès le 1er août 2016.

Puis est venu le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
[...]

Une cours allemande vient de statuer sur le fait qu'utiliser GoogleFonts sur un site web sans en avoir demandé l'autorisation à l'utilisateur est une violation du RGPD car Google collecte l'adresse IP du visiteur.
Et menace d'une amende de 250 000 € pour chaque violation. Par visiteur.
Cela va dans le sens des jurisprudences précédentes (GoogleAnalytics, etc.)

La cour d'appel de Bruxelles a rendu un arrêt intéressant. Un client s'est plaint que sa banque orthographiait mal son nom. La banque n'avait pas de support pour les signes diacritiques. Des signes comme á, è, ô, ü, ç, etc. Ces accents sont courants dans de nombreuses langues. Il était donc un peu surprenant que la banque ne les prenne pas en charge. La banque ayant refusé d'orthographier correctement le nom de son client, ce dernier a déposé une plainte au titre du RGPD en vertu de la loi sur la protection des données.

... Avec en prime une petite astuce pour obtenir satisfaction plus rapidement auprès des entreprises :-)

Extrait :
"Pour être sûr qu’elle réponde, je rajoute en cc, en plus du « webmaster » (déjà mis dans le 1e email car figurait dans les mentions légales du site de leur boîte comme responsable technique/données…), le Président Directeur Général du Groupe.

Oui, d’ailleurs c’est une astuce qui a toujours marché ça. Je l’ai apprise quand je travaillais dans une grande entreprise française au service clients, ils avaient un service « VIP & courriers présidence » qui était aux petits oignons avec les clients qui avaient envoyé un courrier à un membre du « board » et les « VIP » (le VIP étant uniquement mesuré par rapport à sa capacité de nuisance pour l’entreprise… avocats, politiques, journalistes, influenceurs…)."

Ce guide s’adresse-t-il uniquement aux développeurs ?

Ce guide s’adresse principalement aux développeurs travaillant seuls ou en équipe, aux chefs d’équipe, aux prestataires mais également à toute personne s’intéressant au développement web ou applicatif.

Il propose des conseils et des bonnes pratiques, et offre ainsi des clés de compréhension du RGPD utiles pour tous les acteurs, quelle que soit la taille de leur structure. Il peut également faire l’objet d’échanges au sein des services et dans la relation avec les clients.
Que contient le guide ?

Le guide RGPD du développeur offre une première approche des grands principes du RGPD et des différents points d’attention à prendre en compte dans le déploiement d’applications respectueuses de la vie privée de ses utilisateurs.

Il comprend 16 fiches thématiques qui couvrent la plupart des besoins des développeurs pour les accompagner à chaque étape de leur projet, de la préparation du développement à la mesure de l’audience :

Développer en conformité avec le RGPD
Identifier les données personnelles
Préparer son développement
Sécuriser son environnement de développement
Gérer son code source
Faire un choix éclairé de son architecture
Sécuriser vos sites web, vos applications et vos serveurs
Minimiser les données collectées
Gérer les utilisateurs
Maîtriser vos bibliothèques et vos SDK
Veiller à la qualité de votre code et sa documentation
Tester vos applications
Informer les personnes
Préparer l'exercice des droits des personnes
Gérer la durée de conservation des données
Prendre en compte les bases légales dans l’implémentation technique
Mesurer la fréquentation des sites web et des applications

Ces bonnes pratiques n’ont pas vocation à répondre à l’ensemble des exigences des règlementations ni à être à prescriptives. Cependant, elles apportent une réflexion sur les exigences du RGPD à garder en tête lors du développement de projets.

Ploum semble avoir eu pas mal de succès en faisant jouer le RGPD. À tester...

Modèle de message :
« Bonjour, En vertu de la loi RGPD, pourriez-vous m’informer de la manière par laquelle vous avez obtenu mes coordonnées et effacer toutes données me concernant de vos différentes bases de données. Si vous les avez acquises, merci de me donner les coordonnées de votre fournisseur. »