Partie 2 : Health Data Hub et protection des données personnelles, la sauvegarde d'une ambition française.

 

©Aphp.fr "Big-data", 2020

Mis en service en décembre 2019, le Health Data Hub est un projet de stockage unifié des données médicales et administratives de tous les assurés sociaux en France. Il s'agit de "Recourir au numérique pour mieux soigner" et pour cela  de donner aux chercheurs l'accès à un pool inédit de data. Prévu dans le cadre du projet de loi "Ma Santé 2022" de transition au numérique, les objectifs présentés par Emmanuel Macron dans le "Discours du Président de la République sur l'intelligence artificielle" au Collège de France en 2018[1], ont permis à la France de devenir une pionnière dans ce domaine, une position qu'il s'agit maintenant de tenir.

Le programme du Health Data Hub est exposé au Sénat en février 2019. Le député Cédric Villani et le sénateur Gérard Longuet [2] le présentent dans un rapport intitulé "l'intelligence artificielle et les données de santé". Le but de la transition numérique des services administratifs de santé est leur évolution vers un nouveau modèle technique. Deux ans plus tard, l'objectif pratique est déjà en partie atteint : le machine-learning assiste bel et bien le chercheur dans le traitement d'un capital de données pour y déceler des signaux fins, sinon ignorés [3].

L'expérience acquise par le Health Data Hub fait par ailleurs œuvre de référence. La plateforme française est  reconnue à l'échelle européenne pour son fonctionnement et ses travaux. Le 11 juin 2020, le Health Data Hub a été nommé autorité compétente pour contribuer à l'élaboration du "European Health Data Space", et a fournir à ses recommandations à la Commission européenne [4(26)]. Le 1 février 2021, le Health Data Hub a annoncé dans un communiqué le lancement du TEHDaS qui sera désormais un "espace européen des données de santé"[5], son nom signifie Towards the European Health  DAta Space.

Il faut cependant noter que le Health Data Hub fait également face à de nombreuses interrogations liées aux risques que présente l'hébergement de données à caractère personnel. C'est Microsoft qui, jusqu'à présent, a fourni ses outils aux Health Data Hub. Or, Microsoft est une entreprise privée américaine, ce qui est  problématique. La Cour de justice de l'union européenne a invalidé, le 16 juillet 2020, un accord avec les Etats-unis, le "Privacy Shield" ou "Bouclier de protection des données"[6]. Celui-ci empêchait tout transfert de data vers les Etats Unis. En 2018, la loi fédérale américaine a elle même évolué dans ce sens avec le "CLOUD act" qui permet un accès sans restriction aux données de puissances étrangères clientes d'entreprises américaines. 

En plus de cette question globale sur la souveraineté de l'accès aux données françaises, s'ajoute une échelle fine sur la protection de l'identité des individus représentés dans les data de la plateforme. Dès son lancement en 2019, la Commission Nationale Informatique et Liberté (la CNIL)[7] et le Conseil National de l'Ordre de Médecins [8] ont alerté à ce sujet. Le Sénat répond : les données hébergées ne peuvent pas être totalement anonymisées[9].

La raison est explicitée par Interhop une association technico-juridique dans une analyse détaillée : pour être accessibles et manipulables les données subissent un chiffrement au moment de la requête [10]. Ce chiffrement n'est pas très fort car les clefs peuvent être retrouvées facilement dans le cache des serveurs. La pseudonymisation est elle aussi limitée et la récupération d’identités facile à effectuer, comme l'ont démontré par l'expérience deux chercheur en juillet 2015[11].

A l'heure des projets européens le Health Data Hub garde le rôle de leader dans le domaine. Cependant les garanties sur la protection des données et des individus reste au centre du paysage de cette évolution technologique. Les évolutions réglementaires et techniques sont à poursuivre.

Références:

[1]M. le Président de la République, Emmanuel Macron. Discours du Président de la république sur l'intelligence artificielle. elysee.fr Publié le 29/03/2020 [En ligne] Disponible à l'adresse: <https://elysee.fr/emmanuel-macron/20218/03/29/discours-du-president-de-la-republique-sur--lintelligence-artificielle>

[2] LONGUET, Gérard ; VILLANI,Cédric. Rapport n°401 (2018-2019) "Sur l'intelligence artificielle et les données de santé".senat.fr Déposé le 21 mars 2019 [En ligne]. Disponible à l'adresse:<http://www.senat.fr/rap/r18-401/r18-401.html>

[3] Health Data Hub : page "tous les projets " : https://www.health-data-hub.fr/projets

[4] Health Data Hub. Kick-off officiel de l'action conjointe "espace européen des données de santé". <https://www.health-data-hub.fr/actualites/kick-officiel-de-laction-conjointe-espace-europeen-des-donnees-de-sante>

[5] Commission Européenne Santé en ligne : "Espace européen des données de santé"ec.europa.eu Publié le 18/11/2020 [En ligne] Disponible à l'adresse : <https://ec.europa.eu/health/ehealth/dataspace_fr>

[6] Cour de Justice de l'Union Européenne. C-311/18 The Court of Justice Invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield. curia.europa.eu Publié le 16/07/2020 [Téléchargement] Diponible à l'adresse : <https://tinyurl.com/curia-c31118>

[7]CNIL Plateforme des données de santé : le Conseil d'Etat confie à la CNIL la mission d'expertiser la robustesse des mesures de pseudonymisation. cnil.fr Publié le 19/06/2020 [En ligne]Disponible à l'adresse :<https://www.cnil.fr/fr/plateforme-des-donnees-de-sante-le-conseil-detat-confie-la-cnil-la-mission-dexpertiser-la-robustesse>

[8]Conseil National de l'Ordre des Médecins. Le Health Data Hub. conseil-national.medecin.fr Publié le 16/05/2019 [En ligne]. Consulté le 16/10/2020. Disponible à l'adresse : <https://www.conseil-national.medecin.fr/lordre-medecins/conseil-national-lordre/sante/donnees-personnelles-sante/health-data-hub>

[9]JO Sénat Q.n°14130 de Claude Reynal.Modalités de stockage du "health data hub". senat.fr Publié le 13/02/2020.[En ligne] Disponible à l'adresse : <http://senat.fr/questions/base/2020/qSEQ200114130.html>

[10]InterHop. Pourquoi le Health Data Hub travestit la réalité sur le chiffrement des données de santé sur Microsoft Azure. interhop.org Publié le 15/06/2020.  <https://interhop.org/2020/06/15/healthdatahub-travestit-le-chiffrement-des-donnees> 

[11]Controverses Mines ParisTech Ouverture des données de santé : Anonymisation ou pseudonymisation des données de santé. <https://controverses.minesparis.psl.eu/public/promo16/promo16_G13/www.controverses-minesparistech-3.fr/_groupe13/anonymisation-ou-pseudonymisation-des-donnees-de-sante/index.html>

Signal et Telegram profitent du dépit des utilisateurs de WhatsApp

Suite à l'annonce de changement de politique sur les données personnelles, des utilisateurs quittent WhatsApp notamment pour Signal. Cette dernière caracole en tête des applications téléchargées. S'agit-il d'un exode massif ou d'une simple vaguelette de départs ? Quelles sont les alternatives à WhatsApp? En effet, d'autres messageries sécurisées existent comme Telegram ou des acteurs français tel qu'Olvid, Skred ou Tchap. [1] 

 

Pour rappel, WhatsApp est « une application mobile multiplateforme qui fournit un système de messagerie instantanée chiffrée de bout en bout aussi bien via les réseaux de téléphonie que par Internet.» [Wikipédia]

 

Exode massif ou simple vaguelette de départs ? 

La question peut se poser après l'annonce, la semaine dernière, de WhatsApp de changer sa politique de partages de données. A compter du 8 février 2021, WhatsApp met à jour les termes de son service ainsi que ses règles relatives à la vie privée, et les utilisateurs qui ne les accepteraient pas, se retrouveraient tout simplement dans l'incapacité d'utiliser l'application. Face à ce changement à la hussarde, plusieurs personnes dont Elon Musk, Edward Snowden et Jack Dorsey ont appelé à abandonner WhatsApp pour un autre service de messagerie et notamment Signal [3].

 

 

Petite consolation : WhatsApp indique qu'elle va arrêter d'identifier les contacts de l'utilisateur qui n'utilisent pas son application. « Si l'un de vos contacts n'utilise pas encore nos services, nous gérerons ces informations pour vous de manière à ce que ces contacts ne puissent pas être identifiés par nous" a expliqué la société. Mais seront-ils si nombreux que cela à quitter le navire ? Le record d'appels vidéos et vocaux enregistrés par WhatsApp -1,4 milliard- rien que pour le 31 décembre 2020, laisse planer le doute.

 

 

Signal submergé par les demandes d'inscriptions

La décision de WhatsApp d'identifier la collecte et le partage de données de ses utilisateurs, qui ne concerne que les utilisateurs hors d'Europe, fait transpirer la toile. Suite à cette annonce, le sémillant fondateur Tesla Elon Musk n'y est pas allé par quatre chemins et s'est fendu d'un tweet aussi court que percutant : «Utilisez Signal.» Cause à effet ou non, le service de messagerie chiffré open source s'est rapidement retrouvé débordé par un afflux de demandes de création de comptes causant d'inhabituels délais de réception des codes de vérification d'activation. « On travaille avec les opérateurs pour résoudre cela le plus rapidement possible. Tenez bon.» [4]

 

 

Les alternatives à WhatsApp

Si Signal suscite un intérêt marqué, d'autres services de messagerie sécurisée peuvent profiter de l'affaire WhatsApp. En premier lieu, il y a Telegram qui a vu le nombre de téléchargements augmenter sensiblement depuis la fin de la semaine dernière. Pavel Durov, son fondateur et CEO, a expliqué dans un blog, «J'ai entendu dire que Facebook a un département entier qui consacre à comprendre pourquoi Telegram est devenu si populaire » et d'ajouter « Je suis ravi de faire économiser des dizaines de millions de dollars à Facebook en lui disant que le secret est le respect des utilisateurs. »

 

Et si vous passiez par des solutions « Made in France» ? Loin du tumulte de WhatsApp, il existe des services hexagonaux de messagerie sécurisée. La première est Olvid. La start-up propose une solution avec un système d'échange de clé (via 4 chiffres) pour chaque utilisateur promet le développement d'autres services prochainement. Parmi les autres solutions françaises, citons Skred,  proposée par le groupe Skyrock et son groupe Pierre Belanger. Elle a été développée avec l'aide de l'Inria et revendique 8 millions d'utilisateurs. Enfin, n'oublions pas la messagerie sécurisée de l'Etat français, Tchap. Après un retard à l'allumage, le projet développé à l'époque par la Dinsic s'installe dans plusieurs administrations notamment l'armée.

 

Reste maintenant à savoir si face aux 2 milliards d'abonnés de WhatsApp, les messageries alternatives vont réellement peser. Vont-elles bénéficier d'un effet d'aubaine face au changement de politique de la filiale de Facebook ? Il est peu probable que l'on assiste à un reversement des positions.[4] Face aux nombreux utilisateurs quittant WhatsApp, l'application mobile retarde sa politique de confidentialité. La messagerie instantanée a annoncé le 15 janvier 2021 un report de trois mois de leur entrée en vigueur. Ce délai lui permettra, d'après elle, de s'adresser avec sa communauté pour  dissiper toute confusion[5]. Pour justifier ce retard, WhatsApp avance que « beaucoup d'informations erronées ont circulé, ce qui a créé de l'inquiétude». [6]. Malgré cette annonce de renoncer à ses nouvelles conditions d'utilisation, les utilisateurs ayant quitté ou qui ont maintenu l'usage de WhatsApp, restent sceptiques en ce qui concerne le sort destiné à leurs données personnelles. Les autres applications alternatives à WhatsApp sont-elles meilleures en terme de gestion de données ? Le débat reste ouvert !

[1] CHEMINAT, Jacques. Signal et Telegram profitent du dépit des utilisateurs de WhatsApp. In  «Le monde informatique». [ En ligne]. Publié le 11 Janvier 2021. [Consulté le 26 Janvier 2021]. Disponible sur : « https://www.lemondeinformatique.fr/actualites/lire-signal-et-telegram-profitent-du-depit-des-utilisateurs-de-whatsapp-81596.html»

[2] Wikipédia. https://fr.wikipedia.org/wiki/WhatsApp

[3]  CHEMINAT, Jacques. Signal et Telegram profitent du dépit des utilisateurs de WhatsApp. In "Le monde informatique". [En ligne]. Publié le 11 Janvier 2021. [Consulté le 26 Janvier 2021]. Disponible sur : « https://www.lemondeinformatique.fr/actualites/lire-signal-et-telegram-profitent-du-depit-des-utilisateurs-de-whatsapp-81596.html»

[4] FILLIPONE, Dominique. WhatsApp impose le partage de données privées à la hussarde. In "Le monde informatique". [ En ligne]. Publié le 08 Janvier 2021. [Consulté le 25 Janvier 2021]. Disponible au : « https://www.lemondeinformatique.fr/actualites/lire-whatsapp-impose-le-partage-de-donnees-privees-a-la-hussarde-81578.html»

[5] LAUSSON, Julien. WhatsApp retarde finalement ses nouvelles règles controversées. In  « Numerama". [ En ligne]. Publié le 18 Janvier 2021. [Consulté le 24 Janvier 2021]. Disponible au 

 « https://www.numerama.com/tech/682941-les-utilisateurs-fuient-whatsapp-lapp-retarde-ses-nouvelles-regles-controversees.html»

[6] Ibidem. 

Partie 1 : Levée de Bouclier face à l'hébergement par Microsoft du Health Data Hub

 

©Copyright, Accessnow.org, 201

Mis en service le 2 décembre 2019, le Health Data Hub (HDH) est la nouvelle plateforme numérique des données médico-administratives françaises. Le 16 juillet 2020, un accord de confiance entre l'Union européenne et les États-Unis est révoqué, le "Privacy Shield" ou "bouclier de protection des données". Or, le Health Data Hub, est hébergé par Microsoft, une entreprise américaine soumise au droit fédéral des États-Unis. A la suite de cette décision,  la place de Microsoft est en question, l'interrogation sur la sécurité des données demeure et une clarification s'impose.

Le  14 octobre 2020, Conseil d’État appelé à juger sur le maintient du Health Data Hub, notait que "la Plateforme des données de santé et Microsoft se sont engagés, par contrat, à refuser tout transfert de données de santé en dehors de l'Union européenne"[1]. Le Conseil d’État a alors suggéré qu'en l'absence "d'illégalité grave et manifeste qui justifierait une suspension immédiate de la plateforme", Microsoft reste en charge de l’hébergement du Health Data Hub. Il rajoute pourtant que cela sera : "dans l'attente d'une solution qui permettra d'éliminer tout risque d'accès aux données personnelles par les autorités américaines."

Le risque de transfert des données vers les États-Unis n'est pas un élément nouveau à la connaissance des pouvoirs publics. La loi américaine en question, le "CLOUD Act" date de mars 2018[2]. Cette loi, "Clarifying Lawful Overseas Use of Data", donne la capacité au gouvernement fédéral  d'accéder aux données des clients de toute entreprise américaine. Elle est conçue comme une loi anti-terrorisme et anti-corruption visant à garantir la sécurité de l’État américain.  Nouveau jalon, elle vient s’inscrire en filiation intellectuelle deux lois qui la précèdent. La première, le Foreign Corrupt Practice Act de 1977, qui autorise le gouvernement américain à avoir accès aux données commerciales des entreprises américaines sur son territoire et à l'étranger [3]. La seconde, est le USA Patriot Act du 26 octobre 2001, une réponse immédiate aux attentats du World Trade Center. Celle-ci autorise le gouvernement fédéral américain à utiliser tous les outils jugés appropriés pour avoir accès aux données d'une personne privée ou morale, qu'elle se trouve sur le territoire américain ou non [4].

Coté européen, le Privacy Shield date, lui, du 12 juillet 2016 et définit les conditions de transferts des états membres de l'Union européenne vers des états tiers [5]. L'article 25 de ce décret pose les bases de ces échanges de données. Il y est établit que l'état tiers devra pouvoir garantir la protection des données et des droits de l'individu citoyen des état membres de l'Union. Mais aussi que ces échanges de données se feront dans le respect des lois commerciales et nationales en vigueur dans ce pays tiers. Dans cette même section, il est rappelé la décision 2000/520/CE ou "Safe Harbour Privacy Principles" [6] qui doit garantir un "niveau adéquat de protection pour les données personnelles transférées à partir de l'Union européenne à destination d'organisations établies aux États-Unis" [traduit de l'anglais]. 

Ces éléments définissent les contraintes sur les entreprises étrangères américaines et leurs obligations vis-à-vis de l'Union européenne. Pour comprendre la décision de la CJUE, quatre ans plus tard, il est important de savoir qu'elle est la conséquence des "Affaires Schems I & II" [7]. En 2011, Maximilien Schrems, un militant-activiste autrichien, demande à Facebook l'accès à ses données personnelles . Il se rend alors compte que l'utilisation qui en est faite dépasse le cadre prévu par la réglementation européenne : les données qu'il a supprimées ont été conservées par l'entreprise américaine, ici située en Irlande. Leur transfert vers les États-Unis n'est pas exclu. C'est pour cela qu'il déposera un plainte et poursuivra ensuite son action jusqu'à l'audience du 25 mars 2015 à la Cour de Justice de l'Union Européenne (CJUE), qui décidera de l'invalidation du Safe Harbour. La décision de la CJUE en juillet 2020 est le deuxième volet de l'affaire Schrems, qui conduit à l'invalidation du Privacy Shield :le dispositif qui devait suppléer au Safe Harbour. Pour l'Union européenne, ce sont les manquements à la protection des données privées qui ont conduit à cette décision.

Le Health Data Hub est donc soumis à ces tensions juridiques internationales puisqu'il est hébergé par une entreprise américaine. Microsoft présente ses engagements vis-à-vis de la gestion des données de leurs clients dans une section de leur documentation intitulée "Data Law" [11]. Il y est précisé que Microsoft ne communique pas directement avec les instances gouvernementales américaines ou des pays où ses filiales sont implantées. Microsoft mentionne plus bas  "nous fournissons les données utilisateur que lorsque nous recevons une ordonnance exécutoire ou une assignation."[traduit de l'anglais], ce qui constitue peut-être la limite de la protection légale que l'entreprise peut s'engager à offrir.

Ces dispositions prises en réaction aux risques d'application du CLOUD Act, ont certainement jouées en faveur du maintient de l'hébergement du Health Data Hub par Microsoft. Mais si la décision rendue par le Conseil prend le contre pied, il ne s'agit pas d'un retournement de la situation pour autant [12]. Ce sont en revanche les risques de transferts et de non-respect des clauses de la loi sur le Règlement Général sur la Protection des Données (RGPD) du 27 avril 2016 qui ont catalysé cette situation [13]. Le RPGD encadre les bonnes pratiques sur la manipulation des données personnelles au sein de l'Union européenne. Il est précisé dans l'article 3 que "[l]es sociétés non européennes sont également soumises au règlement [RGPD] dès qu'elles ciblent les résidents de l'UE par le profilage ou proposent des biens et des services à des résidents européens". C'est en définitive cela qui a conduit la CJUE à rendre sa décision sur l'inadéquation du RGPD avec le Privacy Shield [14].

 

Références bibliographiques :

[1] Conseil d'État. "Health Data Hub et protection de données personnelles : des précautions doivent êtres prises dans l'attente d'une solution pérenne". Décision contentieuse. conseil-etat.fr Publié le 14/10/2020. [En ligne]. Consulté le 16/10/2020.Disponible à l'adresse : <https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne>

[2] Congressional Research Service. H.R.4993. "Clarifying Lawful Overseas Use of Data or the CLOUD Act." congress.gov Publié le 02/06/2018. [En ligne]. Consulté le 23/10/2020.Disponible à l'adresse : <https://www.congress.gov/bill/115th-congress/house-bill/4943>

[3] 95th United States Congress. 91 STAT. 1494  L95-213 [S.305] "Foreign Corrupt Practices Act of 1977" uslaw.link Publié le 19/12/1977.Consulté le 23/10/2020 PDF disponible à l'adresse : < https://www.govinfo.gov/link/statute/91/1494?link-type=pdf>

[4] 107th United States Congress. H.R.3162. L357-66. Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorim (USA PATRIOT ACT) Act of 2001. congress.gov Publié le 23/10/2001. [En ligne] Consulté le 23/11/2020. Disponible à l'adresse : <https://www.congress.gov/bill/107th-congress/house-bill/3162>

[5] JOUE.n°L207-1 2016/1250/CE- Directive 65/46/EC of the European Paliament and the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield. (notified under document C(2016) 4176). eur-lex.europa.eu Publié le 01/08/2016. (En ligne) Consulté le 23/11/2020. Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/EN/TX/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG>

[6] JOUE. n°L215 - 2000/520/CE : Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du conseil, relative à la pertienence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis d'Amérique [notifiée sous le numéro C(2000)2441] (Texte présentant de l'intérêt pour l'EEE). eur-lex.europa.eu Publié le 25/08/2000. [En ligne] Disponible à l'adresse : <https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32000D0520>

[7]European Data Protection Board- Foire aux questions sur l'arrêt rendu par la Cour de justice de l'Union européenne dans l'affaire C-311 - Data Protection Comissioner contre Facebook Ireland Ltd et Maximilian Schrems. edpb.europa.eu Publié le 24 Juillet 2020. [En ligne] Disponible à l'adresse : <https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently-asked-questions-judgment-court-justice-european-union_fr>

[8] Microsoft. Data Law "About our practices and your data" blogs.microsoft.com [En ligne] Consulté le 11/11/2020. Disponible à l'adresse : <https://blogs.microsoft.com/datalaw/our-practices/>

[9] Le Monde. Collectif. "L'exploitation de données de santé sur une plate-forme de Microsoft expose à des risques multiples" lemonde.fr Publié le 10/12/2019 [En ligne]. Consulté le 25/11/2020. Disponible à l'adresse : <https://www.lemonde.fr/idees/article/2019/12/10/l-exploitation-de-donnees-de-sante-sur-une-plate-forme-de-microsoft-expose-a-des-risques-multiples_6022274_3232.html> 

[13] JOUE. Règlement UE 2016-679 du Parlement européen et du conseil de l'Union Européenne relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données-version consolidée. eur-lex.europa.eu Publié le 04/05/2016 [En ligne]. Disponible à l'adresse :<http://data.europa.eu/eli/reg/2016/679/oj>

[14] Cour de Justice de l'Union Européenne. C-311/18 The Court of Justice Invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield. curia.europa.eu Publié le 16/07/2020 [Téléchargement] Disponible à l'adresse : <https://curia.europia.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf>

Protection des données personnelles : le projet "Global Privacy Control" (GPC)

 Au début du mois d'octobre dernier, en Californie, fut lancée une nouvelle initiative : le GPC [1] suite à l'entrée en vigueur cet été du "California Consumer Privacy Act" [2] adopté en janvier 2020 visant à protéger au mieux les intérêts des utilisateurs de la toile.

En association avec les navigateurs web via leur moteur de recherche, il sera maintenant possible de choisir clairement les informations que l'on souhaite partager.

Source: https://www.01net.com/actualites/global-privacy-control-des-acteurs-de-la-tech-et-du-web-s-associent-pour-proteger-votre-vie-privee-sur-la-toile-1987662.html

Après l'échec dix ans plus tôt du projet "Do not Track", Ashkan Soltani [3], Consultant et chercheur spécialisé IT se lance un nouveau défi intitulé "Global Privacy Control" (GPC).

Pour ce faire, il s'entoure d'un panel d'experts provenant d'horizons divers tels que des spécialistes IT et navigateurs [4], des médias [5], des juristes ainsi que des associations de protection des données privées [6] en vue de faciliter la navigation web quotidienne des utilisateurs.

Le GPC est un process qui permettra aux internautes de paramétrer de façon unilatérale leurs préférences concernant les données personnelles qu'ils souhaiteront rendre accessible sur la toile.

Ce paramétrage se fera uniquement au niveau du navigateur grâce à des extensions spécifiques et non plus au niveau de chaque site. 

A ce jour, la phase test est disponible exclusivement via DuckDukGo, Avine ou Disconnect.

Il s'agira tout d'abord pour l'utilisateur d'activer GPC afin de configurer ses préférences de confidentialité qui seront ensuite relayées aux sites web lors de la navigation.

En cas de non-respect ou de violations des choix des internautes, ces derniers pourront intenter des actions judiciaires à l'encontre des navigateurs grâce aux législations en vigueur relatives à la RGPD [7] coté européen et au CCAP coté américain.

Le GPC illustre une volonté consensuelle de prouver l'adéquation possible entre liberté de navigation et protection des données personnelles de l'utilisateur.

Comme déclaré par Selena Deckelmann, vice-présidente de Firefox Desktop : "Les droits des personnes en matière de données personnelles doivent être reconnus et respectés, et [cette initiative] est un pas dans la bonne direction".

Reste à savoir si le GPC aura plus de succès que son prédécesseur.

Sources

[1] Global Privacy Control [En ligne] [Consulté le 16 octobre 2020]. Disponible

[2] California Consumer Privacy Act - Final Text Of Proposed Regulations [En ligne] [Consulté le 16 octobre 2020]. Disponible

[3] Ashkan Soltani [En ligne] [Consulté le 16 octobre 2020]. Disponible

[4] Sebastian Zimmeck [En ligne] [Consulté le 16 octobre 2020]. Disponible , Mozilla, Brave

[5] The New York Times, The Washington Post, Financial Times

[6] Electronic Frontier Foundation [En ligne] [Consulté le 16 octobre 2020]. Disponible

[6] Consumer Reports [En ligne] [Consulté le 16 octobre 2020]. Disponible

[7] « Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encoreGDPR » [En ligne] [Consulté le 16 octobre 2020]. Disponible

Exercer sa citoyenneté numérique dans le respect des droits et libertés: la CNIL explore les civic tech

Dans la septième livraison des Cahiers IP. Innovation & Prospective, (Civic tech, données et Demos), la CNIL se penche sur l'usage croissant des technologies numériques (technologies civiques, civic tech) à des fins de participation et de représentation politiques. Mettant en garde contre le solutionnisme technologique, elle explore quelques pistes susceptibles de créer un environnement de confiance pouvant permettre à tout citoyen d'exercer sa citoyenneté numérique sans que ses droits et libertés ne soient enfreints.

Les initiatives qui se donnent pour objectif l'intensification de la participation citoyenne à la vie de la cité via les nouvelles technologies numériques rencontrent un vif succès. En 2018, le think tank "Décider ensemble" a même lancé un observatoire dédié à ces technologies à visée citoyenne. Ces civic tech témoigneraient ou seraient l'expression d'une certaine insatisfaction, ou plus gravement, d'une méfiance à l'égard des mécanismes "traditionnels" de participation et de représentation politiques. En France, le nombre d'internautes à participer aux consultations en ligne ne cesse de progresser, 51% en 2019 selon la CNIL. La commission classe ces initiatives en trois catégories, même si la réalité de leurs activités invite plutôt à relativiser leurs différences. D'un côté, les gov tech qui sont des initiatives des pouvoirs publics en vue d'améliorer leur fonctionnement grâce à ces technologies; de l'autre, les pol tech qui sont des outils numériques électoraux des structures partisanes; et, enfin, les civic tech qui sont des initiatives d'acteurs associatifs et privés dont l'ambition est d'amplifier l'engagement citoyen. Dans tous les cas, il s'agit d'entrer en interaction avec l'usager ou le citoyen par l'entremise des nouvelles technologies numériques.

Au-là de ces délimitations, la CNIL a tenu à rappeler que les technologies ne sont jamais politiquement neutres, et qu'un outil technique ne saurait être une panacée pour traiter les dysfonctionnements d'un système socio-politique. "L'outil en soi ne fait pas démocratie" avait rappelé Clément Mabi, lors d'une émission radiophonique[1], et la technique est simplement un instrument aux mains d'acteurs sociaux poursuivant des buts pas toujours concordants. Le solutionnisme technologique serait de croire que ces technologies à visée citoyenne vont résoudre le malaise démocratique actuel. La question de leur pertinence réelle à combler les attentes de leurs acteurs les plus impliqués, souvent de jeunes urbains diplômés [2], fait l'objet de débat parmi les politistes et les sociologues. Tout en rendant compte de ces discussions, la CNIL, attire l'attention sur le risque réel de détournement des données personnelles collectées dans le cadre des initiatives. La question de la confiance devient alors d'une importance cruciale si l'on tient à ce que ces technologies contribuent à vitalité démocratique, deviennent réellement des espaces d'information, de discussion et de délibération sur des sujets d'intérêt public. Face à cet impératif de favoriser un environnement de confiance, la CNIL a procédé a quelques propositions.

La commission encourage les porteurs des initiatives civic tech à bien penser les usages pour calibrer la collecte de données. Elle les invite à s'aligner sur les obligations du RGPD en la matière. L'idéal étant de minimiser la collecte de données tout en recueillant des informations suffisantes. Le pseudonymat constitue une autre mesure d'équilibre permettant la protection de l'intimité en ligne. Si l’authentification peut paraître nécessaire dans certains cas, elle ne devrait pas signifier pas pour autant identification. Le recours à des outils de gestion décentralisée de l'identité qui empêcherait d'accéder à l'identité de la personne doit être envisagé. En outre, les plateformes de civic tech ont l'obligation faire preuve de complète transparence dans la collecte des données. Les interfaces doivent  être pensées de manière à ce que l'utilisateur soit correctement informé de ses droits, et ait la possibilité de les actionner. La commission propose un design en ce sens [3], et recommande une évaluation du risque relatif aux données personnelles par le biais de l'outil PIA (Privacy Impact Assessment) [4]. Cet outil aide les organismes à mieux respecter les règles relatives à la protection des données du RGPD. La CNIL exige également d'éviter de recourir aux applications de réseaux sociaux pour s'authentifier sur les plateformes puisqu'il y a un risque de renvoi des données vers d'autres acteurs qui ne partagent pas les mêmes préoccupations que les acteurs des civic tech. Tout comme les institutions publiques devraient éviter d'utiliser ces plateformes, dont elles n'ont aucune maîtrise de leur modèle économique, comme outil d'échange et de mobilisation citoyenne. Même si elles peuvent en faire usage comme canal de diffusion d'informations, ou pour susciter des débats. Enfin, compte tenu de la diversité des acteurs des civic tech, et en l'absence de chartes régulant ce secteur, la commission préconise l'élaboration d'un code de conduite à adhésion volontaire mais contraignant. Toutes ces pistes soulevées par la CNIL devraient permettre d'exercer sa citoyenneté sur les plateformes numériques en préservant ses droits.




[1] Clément MABI sur France Culture dans l'émission La Méthode scientifique, "Civic Tech: vers une démocratie numérique?", diffusée le 09 décembre 2019. (Disponible en podcast, consultée le 17 janvier 2020).
[2] CARDON, Dominique. Culture numérique. Paris: Les Presses de Sciences Po, 2019, p. 277.
[3] Les conseils de la CNIL en ce qui concerne le design d'une interface respectueuse du RGPD: https://design.cnil.fr/
[4]. Analyse d'impact relative à la protection des données (le terme Data Protection Impact Assessment utilisé dans le RGPD équivaut à la PIA): https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

Le "Health Data Hub" : l'hébergement par Microsoft crée la polémique

Le «Health Data Hub» a été lancé officiellement le premier décembre 2019 et se substitue à l’Institut national des données de santé (INDS). La plate-forme permet le développement de l’intelligence artificielle appliquée à la santé et la création d’un guichet unique d’accès à l’ensemble des données de santé : des centres hospitaliers, des pharmacies ainsi que du dossier médical partagé. Le choix du gouvernement français de Microsoft comme hébergeur, crée la polémique et fragilise le principe de confidentialité et de souveraineté tant promues par les ministères.

Vingt mois après l’annonce du président de la République Emmanuel Macron de la création d’un hub des données de santé, le HDH est officiellement lancé. Cette décision s’inspire essentiellement du rapport sur l’intelligence artificielle rendu le 28 mars 2018 par le député Cédric Villani qui prône « une politique offensive visant à favoriser l’accès aux données, la circulation de celles-ci et leur partage », et évoque notamment la nécessité pour le secteur de la santé, de créer « une plate-forme d’accès et de mutualisation des données pertinentes pour la recherche et l’innovation ». (1) Prévu d’être opérationnel mi 2020, ce projet suscite des critiques liées à plusieurs facteurs :

• Le choix de Microsoft comme prestataire d’hébergement crée une polémique autour de la souveraineté numérique, en particulier du fait du Cloud Act, loi adoptée en 2018 permettant à la justice américaine d’accéder aux contenus des serveurs situés en dehors des États-Unis. Le gouvernement se défend par la nécessité « d’aller vite » et le fait qu’aucune entreprise française n’était encore «certifiée hébergeur de données de santé» en 2018. Cependant le nombre d’hébergeurs certifiés est important, parmi lesquels Orange HealthCare, poids lourds français du numérique. (2)

• L’accès aux données par des acteurs privés inquiète les professionnels du monde médical ainsi que les défenseurs de la vie privée, qui commencent à parler de risque de « la rupture du secret médical » et de la «privatisation de la santé». Bien que l’accès soit soumis à la condition de développer des projets d’intérêt général et après autorisation par la Cnil, Benoît Piédallu, membre de l'association La Quadrature du Net, pointe du doigt le fait que « personne ne sait comment sont traitées ces données, et de quoi sont faits les résultats... » (3)

• L’accès aux données médicales personnelles sans consentement des personnes attire des inquiétudes. Les promoteurs du projet répliquent en évoquant le droit d’opposition qui peut être exercé par les patients pour le retrait de leurs données.

• L’anonymat des données reste fragile. Le choix de la « pseudonymisation », introduite par le RGPD et qui consiste à séparer les données de leurs propriétaires respectifs, ne garantit pas l’anonymat pur car elle est réversible ; grâce à la clé d’identification le lien entre les données peut être rétabli.

En dépit de toutes ces réticences, la feuille de route stratégique (4), présente le «Health Data Hub» comme un atout et une opportunité pour améliorer la qualité des soins, un «véritable renfort de nos capacités à innover pour faire de la France un leader de l’analyse des données de santé». Ses principaux enjeux sont le décloisonnement du patrimoine de données de santé, le renforcement de leur usage, le positionnement de la France comme un leader dans le domaine et la garantie de la participation de la société civile. Reste à suivre l’évolution du projet et les réponses données par le gouvernement pour apaiser les inquiétudes.

(1) VILLANI, Cédric. Donner un sens à l’intelligence artificielle. Ministère de lʼEnseignement supérieur, de la Recherche et de lʼInnovation. Mars 2019. p. 25, 201. Disponible en ligne [consulté le 5 décembre 2019]  : < https://www.aiforhumanity.fr/pdfs/9782111457089_Rapport_Villani_accessible.pdf >

(2) ANS. Liste des hébergeurs certifiés. 09/01/2020. Disponible en ligne [consulté le 10 janvier 2020] : < https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies >

(3) HERARD, Pascal.  Données numériques de santé : le « Health Data Hub » français crée la polémique ». 04/12/2019. Disponible en ligne [consulté le 10 décembre 2019] :  < https://information.tv5monde.com/info/donnees-numeriques-de-sante-le-health-data-hub-francais-cree-la-polemique-335083 >

(4) HEALTH DATA HUB. Health Data Hub, Plan stratégique 2019 – 2020. Ministère des Affaires sociales et de la santé. Disponible en ligne [consulté le 10 janvier 2020] : < https://fee494fb-072e-49c6-a5ed-00cfc497e5db.filesusr.com/ugd/8b518a_b07f0118605b4828a926515d087264fc.pdf >

Les 5 tendances en matière d'attaques informatiques

Le 15 avril dernier, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), a publié son rapport annuel. Il fait notamment le point sur les 5 grands types d’attaques qu’ont connu la France et l’Europe en 2018. [1]

L’exfiltration de données stratégiques ou cyber-espionnage

Selon l’ANSSI, l’exfiltration de donnée stratégiques (ou cyber-espionnage) a surtout concerné les secteurs stratégiques de la défense, de la santé et de la recherche. Ce type d’attaque est caractérisé par une longue planification et une intervention discrète et très ciblée, suggérant des ressources logistiques, humaines et financières importantes. A cet égard, elles seraient révélatrices d’opérations de cyber-espionnage menées par certains États ou organisations. 

D’après Guillaume Poupard, directeur général de l’ANSSI, « des groupes très organisés préparent ce qui ressemble aux conflits de demain, en s’introduisant dans les infrastructures des systèmes les plus critiques ». [2]

Les attaques indirectes

Selon Guillaume Poupard, « passer la porte est désormais plus compliqué. Les attaquants passent maintenant par les fenêtres. Et il y a beaucoup de fenêtres ». 

Puisque les entreprises ont amélioré la sécurité de leurs systèmes d’information, les hackers utilisent des voies détournées, par exemple en usurpant l’identité d’un partenaire commercial (fournisseur, prestataire...) pour pénétrer l’entreprise cible par ce biais. 

C’est ce mode opératoire indirect, mené probablement par des hackers basés en Chine, qui a permis d’attaquer les systèmes d’Airbus le 30 janvier dernier en utilisant l'un de ses prestataires français comme intermédiaire. [3]

Les opérations de déstabilisation ou d’influence

Les opérations de déstabilisation ont été particulièrement nombreuses en 2018 d’après l’ANSSI. Bien qu’elles soient variées, elles présentent plusieurs points communs : « Un degré de technicité modéré, des cibles choisies pour leur apparente vulnérabilité et des conséquences pouvant aller de la simple indisponibilité de service impacté au véritable sabotage ». 

Un type d’attaque que connaît bien la chaîne TV5Monde qui a été contrainte de stopper ses programmes, diffusés dans 200 pays auprès de 50 millions de téléspectateurs après une attaque de ce type en avril 2015. Une attaque d’envergure qui a mobilisé plusieurs experts de l’ANSSI appelée en renfort et coûté la bagatelle de 20 millions d’euros à la chaîne. [4]

La génération de cryptomonnaies 

Le cryptojacking, ou la génération indue de cryptomonnaies, repose sur l’exploitation par les hackers de failles dans les systèmes d’information afin de miner de la cryptomonnaie à leur insu. Ici, c’est la puissance de calcul des machines qui est exploitée. 

Il s’agit d’un type d’intervention particulièrement discret et en croissance, notamment depuis le lancement du programme de minage Coinhive en septembre 2017. Celui-ci permet de miner de la cryptomonnaie simplement en se connectant à un site donné. Nul besoin d’installer un logiciel malveillant... Les clients d’un Starbuck de Buenos Aires en ont récemment fait les frais : le programme Coinhive avait été déployé sur la page d’accès au Wi-Fi du café, amenant ses internautes à miner de la cryptomonnaie sans le savoir. [5]

Les fraudes en ligne

En général, les fraudes en ligne répondent à deux objectifs : le vol de données personnelles et/ou la demande de rançon après chiffrement des données. Une activité qui peut s’avérer lucrative, comme le montre le cas du rançongiciel Ryuk qui aurait notamment sévi auprès du groupe de journaux Tribute Publishing, détenteur notamment du Tribune et du Los Angeles Times. Ryuk aurait ainsi permis à ses créateurs d’amasser plus de 3 millions d’euros. [6] [7]

[1] ANSSI. Rapport annuel 2018. 15 avril 2019. [Consulté le 07 mai 2019] https://www.ssi.gouv.fr/uploads/2019/04/anssi_rapport_annuel_2018.pdf 

[2] CABIROL Michel. "Les cinq grands fléaux du cyberespace en 2018, selon l’ANSSI" in La Tribune. 16 avril 2019. [Consulté le 07 mai 2019] https://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/les-cinq-grands-fleaux-du-cyberespace-en-2018-selon-l-anssi-814344.html

[3] IZAMBARD Antoine. "Cyberattaque contre Airbus : la piste chinoise avancée" in Challenges. 04 février 2019. [Consulté le 07 mai 2019] https://www.challenges.fr/entreprise/transports/cyberattaque-contre-airbus-la-piste-chinoise-avancee_640396

[4] UNTERSINGER Martin. "Le piratage de TV5 Monde vu de l’intérieur" in Le Monde. 10 juin 2017. [Consulté le 07 mai 2019] https://www.lemonde.fr/pixels/article/2017/06/10/le-piratage-de-tv5-monde-vu-de-l-interieur_5142046_4408996.html

[5] KELION Leo. "Starbucks cafe’s wi-fi made computers mine crypto-currency" in BBC. 13 décembre 2017. [Consulté le 07 mai 2019] https://www.bbc.com/news/technology-42338754

[6] Le Monde. "Le rançongiciel Ryuk a rapporté plus de 3 millions d’euros à ses auteurs". 14 janvier 2019. [Consulté le 07 mai 2019] https://www.lemonde.fr/pixels/article/2019/01/14/le-rancongiciel-ryuk-a-rapporte-plus-de-3-millions-d-euros-a-ses-auteurs_5408807_4408996.html

[7] SHABAN Hamza. "What we still don’t know about the cyberattack on Tribune newspapers" in The Washington Post. 31 décembre 2018. [Consulté le 07 mai 2019] https://www.washingtonpost.com/technology/2018/12/31/what-we-still-dont-know-about-cyberattack-tribune-newspapers/?utm_term=.5e227ad82daa

Internet des Objets : quand l'engouement suscite régulation et contrôle

L'IOT (Internet Of Things, Internet des Objets), représente l'ensemble des objets connectés à des réseaux personnels ou professionnels communiquant vers divers services sur Internet. Ces objets, issus de l'association de la domotique et d'internet, permettent entre autre, de capter des données de santé ou climatologiques. Ils peuvent analyser le sommeil d'un usager, contrôler la température d'un appartement ou rendre une voiture autonome.

Selon Gartner, plus de 20 milliards d'objets connectés seront utilisés dans le monde en 2020¹. 

Les startups françaises du métier, reconnues à l'internationale, commercialisent ces objets dans le monde entier. Ainsi, à l'espace Eureka Park dédié aux startups de la 50ème édition du CES 2017 de Las Vegas, la France, représentait la seconde délégation, juste derrière les Etats-Unis².

Ces objets, rapidement développés afin de satisfaire une appétence grandissante du marché, présentent cependant des risques de compromission³. Ainsi, lors de la conférence Defcon 2016, des hackers ont simulé la compromission d'un thermostat connecté³. Il est aussi question de l'usage de données collectées par les objets connectés vers le cloud⁴.

Afin de répondre à l'ensemble de ces problématiques, diverses parties prenantes étudient et proposent de réguler la protection des données issues des objets connectés, depuis plusieurs années. En juin 2014, Maitre Caroline Laverdet décrivait un panorama du droit des objets connectés⁴. Récemment, La CNIL a publié un pack de conformité dédié aux véhicules connectés⁵ conforme au Règlement Général sur la Protection des Données (RGPD)⁶. Les 18 et 19 octobre 2017, l'agence Europol a donné une conférence sur la cybersécurité des objets connectés⁷. Jeudi 26 octobre 2017, la commission juridique de l'Acsel se réunit en colloque "Objets connectés, blockchain et robots : un nouveau cadre juridique à inventer" faisant participer plusieurs intervenants issus des milieux juridiques et technologiques⁸. La RGPD apporte de nouvelles réponses juridiques aux enjeux de sécurité des données des objets connectés⁹.

Les industriels s'associent aux Entreprises de Services Numériques afin d'aider les concepteurs d'objets connectés à protéger les données collectées en conformité avec la loi européenne. Les prochains mois devraient voir une mutation des rôles au sein des entreprises, des régulateurs et des certificateurs.


Sources :

¹ VAN DER MEULEN, Rob | Gartner Says 8.4 Billion Connected "Things" Will Be in Use in 2017, Up 31 Percent From 2016
gartner.com | Publié le 7 Février 2017 | Consulté le 25 octobre 2017

² LEMAIRE, Axelle - Secrétaire d’État chargée du Numérique et de l’innovation | La French Tech | La French Tech at CES 2017 - Dossier de Presse - Page 3
lafrenchtech.com | Publié le 2 janvier 2017 | Consulté le 25 octobre 2017

³ RICHARD, Philippe | La sécurité des objets connectés : une menace pour les entreprises
techniques-ingenieur.fr | Publié le 10 août 2017 | Consulté le 25 octobre 2017

⁴ LAVERDET, Caroline - Avocate | LexisNexis | la semaine du praticien en question - N° 670 - Pages 1154 -1155 Les enjeux juridiques de l’Internet des objets
Lexisnexis.fr | Publié le 9 juin 2014 | Consulté le 25 octobre 2017

⁵ CNIL | Véhicules connectés : un pack de conformité pour une utilisation responsable des données
cnil.fr | Publié le 17 octobre 2017 | Consulté le 25 octobre 2017

⁶ CNIL | Règlement européen sur la protection des données : ce qui change pour les professionnels
cnil.fr | Publié le 15 juin 2016 | Consulté le 25 octobre 2017

⁷ Enisa IOT security conference | Conférence du 18 au 19 octobre 2017

europol.europa.eu | Consulté le 25 octobre 2017

⁸ BARBRY, Eric | Cadre Juridique pour les outils de la transformation Digitale | Conférence du 26 octobre 2017
alain-bensoussan.com | Publié le 20 octobre 2017 | Consulté le 25 octobre 2017

⁹ FRANCO, Jean-Michel - Directeur du Marketing Produit à Talend | Objets connectés et GDPR, comment sécuriser le tout-connecté ?
blog.businessdecision.com | Publié le 6 avril 2017 | Consulté le 25 octobre 2017 

Ransomware WannaCrypt : panique dans le monde numérique

Depuis vendredi 12 mai une cyberattaque massive sans précédent, détectée par les autorités américaines et britanniques, et dont on ignore encore l’auteur et son objectif, provoque le chaos dans le monde numérique.

Qu’est-ce que WannaCrypt ?

WannaCrypt est un ransomware. Autrement dit, un virus empêchant l’utilisateur d’accéder à ses données jusqu’au versement d’une rançon en bitcoin, d’environ 300 dollars.

Trois alternatives sont proposées à la victime pour récupérer ses fichiers perdus :

• restaurer les données depuis une sauvegarde antérieure, pour peu qu’elle existe, et sur un support de stockage hors ligne,
• payer la rançon, sans aucune garantie que le marché soit honoré par les hackers,
• réinstaller l’ordinateur et renoncer aux données perdues.

Ce ransomware exploite une faille de sécurité dans le système Windows utilisée par la NSA (Agence Nationale de la Sécurité américaine), divulguée par les Shadowbrokers, et corrigée depuis mars dernier par Microsoft. Malheureusement, ce patch correctif n’ayant pas été installé partout, l’attaque a pu être menée et s’étendre comme une traînée de poudre, s'auto-propageant d’ordinateurs en ordinateurs, et touchant plus de 45 000 entreprises dans près de 80 pays.

Qui est touché ?

Samedi 13 mai, le virus touchait plus de 200 000 ordinateurs dans le monde entier. Il a entraîné des problèmes pour des milliers d’institutions et entreprises, publiques et privées. En Grande-Bretagne, hôpitaux et ministères, ont dû faire face à des dysfonctionnements divers, voire suspendre des soins.

En France, seule l’entreprise Renault serait touchée. L’entreprise a stoppé sa production tout le week-end par précaution. Mais l'Agence nationale de la sécurité des systèmes d'information (Anssi) estime probable que d'autres structures soient touchées dans le pays.

Le ransomware a également eu des conséquences en Allemagne, en Russie, aux États-Unis et en Espagne.

La menace est-elle réellement stoppée ?

Un chercheur indépendant en cybersécurité a découvert le mécanisme d’auto-blocage prévu par les pirates, stoppant ainsi la propagation du logiciel malveillant.

Face à l’ampleur de l’attaque, Microsoft a également développé un correctif exceptionnel pour les systèmes Windows concernés (Windows XP, Windows 7 et 8 et Windows Server 2003, qui ne sont plus mis à jour par Microsoft).

Cependant, même si les nouvelles infections sont très rares, il faudra du temps pour trouver un moyen de débloquer les machines et déchiffrer les fichiers infectés.

Surtout, l’on peut craindre une nouvelle vague d’attaques avec la reprise du travail en ce début de semaine. D’abord parce que les dégâts sont considérables. Toutes les machines et réseaux infectés n’ont pas encore été détectés et le virus peut continuer à se propager. Ensuite parce qu’une seconde variante du virus, plus résistante, pourrait être lancée.

Il est donc très important que les entreprises et particuliers mettent en œuvre les mesures nécessaires pour enrayer le problème ; appliquer les correctifs, exécuter Windows Update, mettre à jour les antivirus et scanner les PC, sans oublier de sauvegarder les données...hors ligne.

Pour l’heure, on ne connait pas les auteurs de cette attaque. Visaient-ils un simple “cyberchaos” crapuleux ? Un test de résistance des systèmes informatiques des entreprises et des Etats ? Quoiqu’il en soit, elle pose de graves questions de sécurité, et les services de renseignement du monde entier devront eux aussi évaluer les risques que leur propres armes numériques font peser sur les intérêts nationaux.

Sources :

CHICHEPORTICHE Olivier. WannaCrypt : attaque massive et sans précédent contre des milliers d'entreprises dans le monde [en ligne]. ZDNet.fr. 13 mai 2017 [consulté le 15/05/2017] <http://www.zdnet.fr/actualites/wannacrypt-attaque-massive-et-sans-precedent-contre-des-milliers-d-entreprises-dans-le-monde-39852426.htm>

KWIATKOWSKI Ivan. Qu'est-ce que WannaCrypt, le virus qui a fait fermer une usine Renault ? [en ligne]. Mediapart.fr. 13 mai 2017 [consulté le 15/05/2017] <https://blogs.mediapart.fr/ivan-kwiatkowski/blog/130517/quest-ce-que-wannacrypt-le-virus-qui-fait-fermer-une-usine-renault>

RANGER Steve. Ransomware WannaCrypt : la seconde vague arrive, alors soyez prêts [en ligne]. ZDNet.fr. 15 mai 2017 [consulté le 15/05/2017] <http://www.zdnet.fr/actualites/wannacry-la-seconde-vague-arrive-alors-soyez-prets-maj-39852440.htm>

Les jouets, espions de notre vie privée ?

C'est la question que se posent aujourd'hui plus d’un million de parents allemands qui ont acheté la poupée "Mon amie Cayla". En effet, cette poupée connectée et son fabricant, Genesis Toys, sont sous les feux de la critique, suite à la mise en évidence de failles de sécurité et de la possibilité de collecte et de transfert de données personnelles, par l’intermédiaire de cette poupée. 

En 2014, la société Genesis Toys lance la commercialisation d'une poupée électronique dénommée "Mon amie Cayla". Cette poupée intelligente est contrôlable à distance par un téléphone portable grâce à une connexion Bluetooth. Elle est dotée d’un micro et d’un émetteur qui lui permettent d'enregistrer des conversations. De plus, elle est capable de se connecter à Internet afin de répondre à des questions simples, jouer avec l'enfant et lui raconter des histoires. La technologie avancée de "Mon amie Cayla" suscite immédiatement  l'attention des associations de défense des consommateurs. [1] 

Un consortium de plus de 18 associations de défense des consommateurs porte plainte contre Genesis Toys. En premier lieu, ces associations dénoncent le fait que toute personne à moins de 15 mètres pourrait se connecter à la poupée et ainsi se livrer à de la pédocriminalité, en raison de barrières de sécurité quasi inexistantes. Mais encore, elles signalent que les données collectées pourraient être dérobées par des personnes malveillantes et seraient, en parallèle, transférées à la société fabricante, Genesis Toys, à des fins marketing. [2] 

Suite à la mise en exergue de ces points d'insécurité, en France, la poupée a fait l’objet d’une mise en garde par les associations de défense du consommateur [3]; alors qu’en Allemagne, l’Agence Fédérale des Réseaux (agence régulatrice des télécoms) a purement et simplement interdit la vente de Cayla sur le territoire et a préconisé aux citoyens allemands de la désactiver, voire de la détruire. En effet, dans l’article du 19 février 2017 paru sur le site de Sputntiknews.com, l’auteur nous informe que la poupée est « accusée d’espionnage » et il met en avant le point de vu du président de l’Agence Fédérale des Réseaux, Jochen Hommann :

« Les objets qui dissimulent des caméras et des micros et donc peuvent transférer des données sans qu'on le remarque mettent en danger la vie privée des gens. Cela vaut aussi pour les jouets.» [1]

Quoi qu’il en soit, le réseau commercial chargé de la diffusion de Cayla en Allemagne a déjà protesté contre cette décision auprès des instances juridiques. 

Dans un contexte de reforme européenne sur la protection des données personnelles, cette nouvelle menace d’atteinte à la vie privée met un pavé dans la mare, tandis que les objets connectés continuent de se multiplier dans notre quotidien.

Sources :

[1] Sputnik, « Allemagne : la poupée connectée Cayla accusée d’espionnage », [en ligne] 19 février 2017 [consulté le 27 février 2017] https://fr.sputniknews.com/international/201702191030155559-poupee-espion-espionnage-hackers-securite-allemagne/ 

[2] M. Excuisite, Journal du Geek, « Mal sécurisés, ces jouets collectent des données sur vos enfants » [en ligne] 7 décembre 2016 [consulté le 27 février 2017] http://www.journaldugeek.com/2016/12/07/mal-securises-jouets-donnees-enfants/ 

[3] ZDNet, « La poupée espionne Cayla désormais interdite de vente en Allemagne » [en ligne] 20 février 2017 [consulté le 27 février 2017] http://www.zdnet.fr/actualites/la-poupee-espionne-cayla-interdite-de-vente-en-allemagne-39848766.html

Le décret Trump met-il à mal la protection de nos données ?

Dans le cadre du décret anti-immigration signé le 27 janvier dernier, Donald Trump exige que « Les agences gouvernementales devront, dans la mesure où ceci est compatible avec la loi en vigueur, s'assurer que leur politique de vie privée exclut les non-citoyens américains et les non-résidents permanents des protections offertes par le Privacy Act au regard des informations personnelles. »

Un accord complémentaire au « privacy shield », l’ ”Umbrella Agreement”, vient d’entrer en vigueur mercredi dernier. Cet accord visant à protéger, dans le cadre de la lutte anti-terroriste, les données échangées entre l'UE et les Etats-Unis allait dans le sens de la coopération fructueuse qui a pu s'installer sous le gouvernement Obama entre les deux rives de l'Atlantique. Les Institutions européennes sous l'effet de ce nouveau décret sont aujourd'hui plongées dans le doute et l’incertitude quant au sort de nos données outre-atlantique (1).

Un anti “Privacy Shield”?

Selon plusieurs avis de spécialistes recueillis dans le presse, le décret n’est pas en mesure de contrecarrer l’accord transatlantique. Pour Winston Maxwell (1), avocat chez Hogan Lovells “ “L'US Privacy Act” et le "privacy shield" se situent sur des plans différents. Le premier concerne le droit d'accès des individus aux fichiers détenus par l'administration américaine, le second permet aux Européens de se plaindre du traitement de leurs données par des entreprises privées”. Mais surtout, comme le rappelle deux contributeurs du site Lawfare (2), ou Joe McNamee, directeur exécutif de l’association European Digital Rights (3), un décret au sens strict n’est pas en mesure de supplanter une loi et donc de détruire le Privacy Shield.

Doutes et questionnements à la Commission européenne

Si le Privacy Shield n’est pas directement touché par ce décret, les institutions qui veillent à la protection de nos données restent vigilantes. La Commission européenne déclare qu’elle va « continuer de superviser la mise en place de ces deux accords », et la commissaire à la justice Vera Jourovà se rendra au début du printemps aux Etats-Unis pour faire le point (1).

La présidente de la Cnil et du G29, Isabelle Falque-Pierrotin exprime elle-même sa méfiance et estime que « les déclarations de Donald Trump donnent un éclairage sur les intentions du gouvernement américain, qui ne vont pas exactement dans le sens d’un renforcement de la protection des données personnelles des non-Américains » (3). La question sera abordée lors de la prochaine séance plénière du G29, les 7 et 8 février à Bruxelles (1).

De leur côté, les gendarmes européens doivent évaluer, avant l’été, la conformité aux exigences européennes du Privacy Shield, alors que des recours contre celui-ci ont été lancés par trois associations françaises : la Quadrature du Net, French Data Network et la Fédération FDN (4).

(1) “Protection des données : Trump sème le trouble en Europe” Par Derek Perrotte et Nicolas Rauline in Les Echos du 2 févier 2017

http://www.lesechos.fr/tech-medias/hightech/0211762194535-protection-des-donnees-trump-seme-le-trouble-en-europe-2062224.php#inscription

(2) Article "The “Interior Security” Executive Order, the Privacy Act, and Privacy Shield", du 27 janvier 2017, sur le site Lawfare, par Adam Klein, Carrie Cordero

https://www.lawfareblog.com/interior-security-executive-order-privacy-act-and-privacy-shield

(3) Article “Donald Trump : et maintenant, les données personnelles”, du 1er février 2017 in Liberation, par Amaelle Guiton http://www.liberation.fr/planete/2017/02/01/donald-trump-et-maintenant-les-donnees-personnelles_1545671

(4) Article "Le Privacy Shield attaqué en Europe par la Quadrature, FDN et FFDN" du 31 janvier 2017 sur le site Nexinpact, https://www.nextinpact.com/news/101950-le-privacy-shield-attaque-en-europe-par-quadrature-fdn-et-ffdn.htm