Articlaw

Étiquette : data

  • Stratégie européenne pour les données

    Stratégie européenne pour les données

    La Commission européenne a dévoilé le 25 novembre dernier une proposition de règlement sur la gouvernance des données visant à encadrer la réutilisation des données protégées des organisations publiques et le partage de données par des organisations privées.

    Depuis le 19 février 2020, la Commission européenne avait annoncé sa volonté de mettre en place une stratégie européenne pour les données : Governance Data Act.

    Ces nouvelles règles en matière de gouvernance des données ont pour objectif de faciliter le partage des données pour un usage non commercial dans l’ensemble de l’Union européenne.

    La Commission européenne via sa proposition de règlement sur la gouvernance des données entend apporter quelques précisions sur la qualification de « donnée ». Selon elle, une donnée consiste en « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ». Ainsi, une donnée peut consister en une donnée à caractère personnel ou non, une donnée soumise au secret des affaires ou bien une donnée soumise au droit de la propriété intellectuelle.

    Le règlement insiste sur trois aspects relatifs aux données :

    • la réutilisation de certaines catégories de données détenues par des organismes du secteur public (l’Etat, les autorités régionales ou locales, les organismes de droit public ou les associations formées par un ou plusieurs de ces autorités ou organismes de droit public) ;
       
    • la notification et surveillance pour la fourniture de services de partage de données ;
       
    • l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes.

    En pratique ?

    La proposition de règlement prévoit les conditions de réutilisation de certaines catégories de données détenues par des personnes physiques ou morales « à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites ». Ainsi, le dispositif ne crée pas une obligation d’autoriser la réutilisation des données, mais une interdiction de conclure des accords ayant pour effet d’octroyer des droits exclusifs sur ces données ou d’en restreindre leur disponibilité.

    Ce sont les organismes du secteur public de fixer les conditions de réutilisation en veillant à ce que celles-ci ne soient pas discriminatoires mais proportionnées et objectivement justifiées. Des conditions supplémentaires peuvent être imposées telles que l’anonymisation, la pseudonymisation de données à caractère personnel, la suppression des informations commerciales confidentielles et imposer des exigences relatives aux conditions d’hébergement.

    Ces mêmes organismes doivent imposer des conditions relatives à l’intégrité des systèmes de traitement avec un droit de regard.

    Les nouvelles mesures relatives à la notification et la surveillance pour la fourniture de services de partage de données ne s’appliquent qu’aux acteurs privés qui souhaitent devenir intermédiaires entre les détenteurs de données ou personnes concernées et les utilisateurs de données ou, ceux qui souhaitent se constituer en des services de coopérative de données afin de donner plus de moyens aux TPE-PME d’accéder aux données sont concernés.

    Pour ce faire, il faut notifier l’intention de fournir ces services auprès de l’autorité compétente de l’Etat membre de l’établissement principal ou de celui du représentant légal au sein de l’Union en cas d’établissement hors de l’Union européenne. La notification permet d’exercer l’activité.

    Afin de garantir la neutralité, l’intermédiaire de partage de données ne peut pas utiliser les données pour son propre compte et doit se conformer à des exigences strictes.

    Parallèlement, les autorités publiques devront veiller au respect des exigences et la Commission devra tenir un registre des intermédiaires de données.

    À noter que les activités de ces prestataires seront encadrées par des autorités désignées par les États membres dans les conditions fixées par la proposition de règlement.

    Enfin, l’organisation doit s’enregistrer auprès d’un registre tenu par les autorités compétentes désignées.

    Afin d’exercer cette activité, l’organisation doit s’enregistrer auprès d’un registre tenu par les autorités compétentes désignées. Cette activité doit s’exercer en toute transparence. Aussi, l’entité juridique doit être constituée pour répondre à un besoin d’intérêt général, avoir un but non lucratif et promouvoir des activités liées à l’altruisme.

    Bien évidemment, le « formulaire modulaire » peut être adapté aux besoins de chaque secteur et en fonction d’objectifs spécifiques.

    D’autres propositions relatives aux espaces sectoriels de données devraient être présentées en 2021, complétées par un acte législatif sur les données.

    Pour plus d’informations, contactez-nous sans attendre !
  • Doublicat, application deepfake pour devenir une star

    Doublicat, application deepfake pour devenir une star

    Depuis sa sortie, l’application Doublicat connaît un immense succès, mais est-elle sans risque ?

    Pour rappel, Doublicat est une application Deepfake qui permet de personnaliser des GIFs à partir de selfies. Elle est disponible gratuitement sur iOS et Android.

    Une fois téléchargée, elle permet à tout utilisateur de se photographier, de préférence dans diverses poses afin d’alimenter une bibliothèque de photos, permettant ainsi de stocker différents traits du visage, utilisables dans les GIFs et vidéos.

    L’application collecte des informations à partir d’une photo et analyse les traits du visage pour les placer sur un contenu déjà existant.

    Qu’en est-il de la sécurité in-app ?

    Doublicat utilise la reconnaissance faciale pour modifier les images. Aussi, nous pouvons nous interroger quant au contenu de sa politique de confidentialité et de la protection des données à caractère personnel.

    Contrairement à l’application Zao qui disposait de droits « gratuits, irrévocables, permanents et transférables » sur les photos de ses utilisateurs, l’application Doublicat prétend ne pas transférer les contenus à des tiers ni d’utiliser les photos à des fin de reconnaissance faciale.

    Toutefois, selon la politique de confidentialité de Doublicat, l’application se réserve le droit de collecter les photographies prises par un appareil photo quand l’utilisateur se sert de l’application.

    Selon ladite politique de confidentialité, l’application se contenterait de collecter les données relatives aux traits du visage indépendamment des photographies afin de personnaliser uniquement les GIFs et les vidéos via la fonctionnalité de swap.

    Quelle est la durée de conservation des données sur l’application Doublicat ?

    Les photographies sont conservées par Doublicat pendant 24 heures après son édition et les données relatives aux traits du visage sont stockées sur un serveur pendant 30 jours, après la dernière utilisation de l’application.

    Quelle technologie est déployée par l’application Doublicat ?

    Les concepteurs de Doublicat précisent que le contenu téléchargé n’utilise pas la reconnaissance faciale ou des traitements des données biométriques pour l’identification ou l’authentification de l’utilisateur, mais repose sur une collecte de caractéristiques faciales réalisé par l’outil « RefaceAI ».

    La technologie RefaceAI utilise des GAN (Generative Adversarial Network) pour transposer des contenus. Aussi, l’application Doublicat ne modélise pas un visage en 3D, mais en 2D (cf. Reflect de la société NeoCortext).

    En pratique?

    RefaceAI se réserve le droit d’utiliser les « selfies » de ses utilisateurs pour améliorer ses services et ne se prive pas de collecter toutes les informations que ses utilisateurs partagent sur l’application dès leur première utilisation.

    Par conséquent, en utilisant l’ application, l’utilisateur cède indirectement et volontairement ses droits à l’image via le transfert de ses selfies.

    Par ailleurs, en acceptant la politique de confidentialité, l’utilisateur accepte que des revenus puissent être générés par son utilisation de l’application et sur ses selfies par la société.

    Pour toutes questions, suggestions ou remarques n’hésitez pas à nous contacter à l’adresse suivante : contact@articlaw.net

  • Privacy Shield : le transfert des données

    Privacy Shield : le transfert des données

    L’accord sur le transfert de données à caractère personnel entre l’Union européenne et les États-Unis (Privacy Shield) qui a été adopté en juillet 2016 à été annulé par la Cour de justice de l’Union européenne.

    Cet accord visait à reconnaître un niveau de protection équivalent aux exigences européennes aux mécanismes EU-US Privacy Shield (bouclier de protection des données).

    Il s’agissait de permettre aux entreprises européennes de bénéficier d’un corpus de dispositions pouvant justifier les transferts des données vers les États-Unis sans passer par les mécanismes de clauses contractuelles ou autres règles contraignantes fixées par le RGPD.

    Pour ce faire, les entreprises américaines devaient s’auto-certifier auprès du département du commerce en respectant des règles et des garanties en matière de protection des données à caractère personnel.

    Est-ce que le Privacy Shield est conforme RGPD ?

    Le Privacy Shield vise à encadrer le transfert des données à caractère personnel vers les États-Unis en sus des clauses contractuelles et règles d’entreprises préexistantes.

    La CJUE considère qu’il n’y a pas d’adéquation avec la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective ».

    La Cour a estimé que les lois américaines sur la surveillance n’offraient pas une protection suffisante des données personnelles et de la vie privée par rapport à la législation en vigueur dans l’UE.

    Et les clauses contractuelles ?

    La CJUE a validé une décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données en considérant que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », eu égard de leur caractère contractuel.

    Cette validité reste néanmoins tempérée en ce que « l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».

    Aussi, la CNIL sera « tenue de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers » qui ne serait pas conformes aux exigences résultant du RGPD.

    Pour toutes vos questions, nous restons à votre disposition à l’adresse suivante : contact@articlaw.net

  • Les principales failles de sécurité détectées sur les sites web

    Les principales failles de sécurité détectées sur les sites web

    Le présent article a pour but d’attirer votre attention sur les divers manquements et négligences en matière de sécurité qui sont fréquemment constatés afin que vous puissiez les éviter et/ou les corriger.

    Il importe de toujours garder à l’esprit qu’un site mal sécurisé peut avoir des incidences sur la vie privée des personnes concernées et conduire au vol ou à la perte de données personnelles.

    1) Bien choisir son mot de passe

    De nombreux sites web ont un mot de passe très simple et n’ont aucune protection complémentaire. Il est facile pour un hacker de trouver ce mot de passe, après quelques tentatives d’authentification, et d’accéder aux données des utilisateurs.

    Aussi, on ne saurait trop vous conseiller de respecter les recommandations de la CNIL et de choisir un mot de passe bien plus complexe comportant des chiffres, des majuscules et des signes.

    2) Prévoir un mécanisme d’authentification élaboré

    Le site web doit comporter un mécanisme d’authentification combinant un mot de passe complexe et une caractéristique propre à l’utilisateur (empreinte digitale, une signature, etc.).

    3) Contrôler le droit d’accès des clients

    En contrôlant le droit d’accès, il y aura moins de vols de données et l’accès à chaque compte client sera plus sécurisé. L’interface de programmation (API) doit vérifier si chaque requête est légitime.

    4) Chiffrer les données

    Chiffrez les données, les documents et le contenu de votre site. Cela permettra de garantir leur confidentialité en cas de perte ou de vol.

    5) Bien indexer les fichiers dans les moteurs de recherche

    Pour éviter que vos documents confidentiels ou que vos données personnelles soient mal utilisés, limiter l’accès à tout ou partie de votre site aux robots d’indexation en utilisant un robot.txt.

    En utilisant un robot.txt, les moteurs de recherche n’indexeront pas vos contenus.

    Le robot. Txt n’étant pas une mesure de sécurité, il importe de déployer conjointement un dispositif d’authentification et de gérer les droits d’accès.

    6) Rédiger une charte informatique de sensibilisation

    Prenez l’habitude de sensibiliser vos employés à la sécurité informatique. De cette façon, ils sauront faire face à une attaque et sauront davantage informés quant à la sécurité et la protection des données à caractère personnel.

  • Créer un site en conformité avec le RGPD

    Créer un site en conformité avec le RGPD

    Depuis le 25 mai 2018, le règlement Général sur la Protection des Données (RGPD) est entré en vigueur.

    Voyons ensemble ce qui a été modifié au niveau de la construction et du contenu des sites internet.

    À quoi sert le RGPD ?

    Le RGPD vise à mieux protéger les données personnelles et la vie privée des individus. C’est une norme unifiant les législations existantes, dans un souci de renforcement et d’unification des mesures de protection des données personnelles dans l’Union européenne.

    Quel impact sur la création et la gestion des sites internet ?

    La nouvelle réglementation s’applique à tout site internet qui collecte et utilise les données personnelles de ses visiteurs.

    Il importe, dès lors, que le site soit le plus transparent possible et d’indiquer clairement aux visiteurs comment leurs données personnelles sont collectées, stockées et utilisées.

    Désormais, chaque propriétaire d’un site internet doit mettre en place un plan spécifique concernant la gestion des données et justifier leur traitement par une des six raisons légitimes (le consentement, le contrat, la conformité avec une obligation légale, un intérêt vital, une mission d’ordre public, un intérêt légitime).

    Notons que le risque d’un mauvais usage des données est amoindri si la collecte est minime et limitée.

    Il importe d’obtenir le consentement des personnes concernées par la collecte, et ce, quel que soit le type d’information.

    Concernant, les données personnelles dites « sensibles », le consentement doit être donné de manière explicite.

    Le consentement des mineurs doit répondre à des exigences particulières définies par ledit règlement.

    Rappelons que, bien que le consentement soit une raison légitime de traitement de données, il n’en demeure pas moins que le RGPD a renforcé les règles concernant son obtention et sa conservation.

    Comment rendre un site internet conforme aux exigences du RGPD ?

    Il est recommandé de créer ou de mettre à jour la politique de confidentialité devant figurer sur le site et de s’assurer que les services et contenus proposés aux visiteurs soient en conformité avec les dispositions européennes et françaises.

    Il importe, dans un premier temps, de déterminer le type de données qui fera l’objet de collecte, et de définir, dans un deuxième temps, les raisons pour lesquelles la collecte est nécessaire.

    Toutes ces informations doivent figurer dans la politique de confidentialité.

    Par ailleurs, la politique de confidentialité doit être rédigée dans un langage clair, compréhensif, et précis. Elle doit indiquer comment les données seront utilisées, collectées, conservées.

    La politique de confidentialité doit indiquer clairement, aux individus concernés par la collecte, comment ils peuvent exercer leurs droits.

    Désormais, chaque individu a :

    • un droit d’accès (à une copie de ses données collectées par le site) ;

    • un droit de modification, s’il estime que les données sont inexactes et incomplètes et demander une mise à jour;

    • un droit de suppression ou droit à l’oubli (l’individu peut demander la suppression de ses données personnelles) ;

    • un droit de limiter le traitement (évitant, ainsi, la suppression totale des données).

    Concernant les cookies qui contiennent des données personnelles, il est essentiel de définir préalablement une raison légitime et spécifique de les utiliser. Une fois défini, il faut clairement l’indiquer sur le site internet via un bandeau.

    Doit-on signaler, dans un document distinct, que le site a été mis en conformité ?

    Toutes les exigences du RGPD doivent être documentées. L’entreprise doit être en mesure de démontrer qu’elle a adopté les bonnes pratiques de protection des données.

    La documentation doit être disponible sur le site et auprès du personnel de l’entreprise qui possède le site, afin de mieux répondre aux besoins et attentes des personnes concernées par le traitement des données.

    Précisons qu’à tout moment une autorité de contrôle peut, de manière discrétionnaire, agir et sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées au moyen d’un arsenal de mesures disciplinaires (amendes administratives et pénales).

    À noter que le non-respect de la réglementation, exposera toute entreprise à une amende pouvant s’élever à 4 % de son chiffre d’affaires annuel mondial ou à 20 millions d’euros.

    Qu’en est-il des formulaires de contact ?

    Il faut modifier les formulaires pour les rendre conformes au RGPD.

    Il est essentiel de recueillir le consentement de la personne qui remplira le formulaire et de l’informer de la durée de conservation de ses données. Il faut également, conserver la preuve de son consentement et l’informer de ses droits.

    Enfin, le transfert des données personnelles via le formulaire devra être sécurisé.

    Les newsletters … ?

    Il est conseillé de mettre en place un double opt-in : un opt-in au moment de remplir le formulaire (en informant sur la raison de la collecte de l’e-mail) et un autre opt-in avec l’e-mail de confirmation dans lequel la personne accepte de recevoir les informations (après avoir coché une case).

    Et les campagnes marketing ?

    Désormais, pour pouvoir faire des campagnes marketing conformes au RGPD, il faut recueillir le consentement des visiteurs avant d’envoyer des documents de marketing. Par exemple, le consentement pourra être donné en cochant le bouton « s’abonner ».

    Par ailleurs, les marques, distributeurs ou sous-traitants doivent indiquer à leurs clients à quoi servent les données collectées, à qui elles sont destinées. Ils doivent également informer leurs clients de la durée de conservation, mais aussi leur permettre de modifier, effacer, transférer ou d’accéder à leurs données.

    Enfin, les applications ou services tiers déployés sur un site doivent également faire l’objet d’une mise en conformité avec le RGPD (cf. Outils d’analyse de données).

  • Quelles sont les fonctions de la Blockchain ?

    Quelles sont les fonctions de la Blockchain ?

    La blockchain est une technologie de stockage de transmission d’informations sécurisée sans organe central de contrôle. La base de données est accessible à tous.

    La blockchain ne cesse de se développer et suscite l’engouement des investisseurs qui voit en cette nouvelle technologie une révolution technique comparable à celle d’Internet. Pour autant la blockchain soulève de nombreuses questions auxquelles il semble difficile d’y répondre pour l’heure.

    Néanmoins, les caractères juridiques et techniques de la blockchain ont été identifiés, de même que ses principales fonctions que nous allons énumérer dans ce présent article.

    La blockchain est une plateforme permettant la conservation des données et de documents.

    Au-delà de sa fonction de « record keeping », la blockchain est un registre authentifiant permettant de prouver l’existence de données.
    La blockchain permet de conserver tout document, de se substituer à tout registre et de garantir l’authenticité des documents. Cette caractéristique peut être intéressante pour le partage de documents notariés ou pour favoriser la communication et l’échange de données autour d’un projet de construction.

    La blockchain permet d’assurer la traçabilité des opérations dans un souci de transparence et a une fonction de certification.

    Ainsi, la blockchain apparaît comme un instrument de preuve même si le législateur ne lui a pas conféré cette portée.

    Pour l’heure, la blockchain ne remplace l’acte authentique, mais confère une sécurité juridique à certaines opérations soit en les prouvant, soit en leur conférant une date certaine.

    Une proposition de loi a néanmoins été déposée afin de conférer à la blockchain valeur de preuve.

    À défaut d’être reconnue comme étant un moyen de preuve, la blockchain peut être une variété de signatures électroniques reposant sur la technique de la cryptographie asymétrique.

    Cette signature pourrait être simple, avancée ou qualifiée selon la force de valeur probatoire et le recours au certificateur. De cette façon, la blockchain pourrait permettre de signer électroniquement des documents et des contrats.

    Toutefois, la confidentialité des informations transmises est difficile à établir. Le recours à des signatures multiples pourrait limiter les risques de fuite d’informations et pourrait lier les clés publiques aux différents signataires afin de créer une clé publique unique à la transaction.

    La blockchain est une plateforme facilitant les transactions.

    En effet, elle permet des virements en cryptomonnaie bitcoin. Elle permet l’émission de monnaies virtuelles et leur transfert.
    Ces monnaies virtuelles sont acceptées en paiement dans certains pays ou pour certaines opérations ou par certains commerçants alors même qu’elles n’ont aucune valeur juridique compte tenu du fait qu’il n’existe pas un modèle unique.

    Par ces monnaies virtuelles, nous pouvons citer le « bitcoin », qui facilite les transferts d’argent sans faire intervenir une autorité financière. Le bitcoin est une unité de compte faisant l’objet d’une cotation. Il existe des « wallets » pour acheter ou vendre des bitcoins sur des plateformes d’échange contre des devises.

    Quelle est la qualification juridique de la cryptomonnaie ? La cryptomonnaie est un bien consomptible et non une monnaie légale à l’image de l’euro. Elle n’est pas contrôlée par une banque centrale et n’est pas un moyen permettant de fixer le prix des biens et services dans une économie.

    Pour autant, la Banque de France est favorable pour la technologie blockchain, mais refuse la nature de monnaie au Bitcoin parce qu’il expose les investisseurs à des risques de perte financière accrus et favorise le blanchiment d’argent.

    Un consensus devrait être trouvé entre les acteurs financiers et les développeurs de cryptomonnaies.

    La blockchain est le support de « smart contracts ».

    Le smart contracts sont des algorithmes de gestion des opérations contractuelles. Ce sont des protocoles informatiques qui vont exécuter les termes d’un contrat. Le système repose sur des bases de données et des applications décentralisées composées de chaînes d’événements automatiques.

    Cette technologie trouve une application dans un prêt, un contrat d’assurance, un contrat de location, la mise en œuvre d’objets connectés où il y aura une exécution automatique et une transcription.

    Grâce à cette technologie, les projets ambitieux peuvent se réaliser plus facilement (l’ubérisation des plateformes, le développement des objets connectés, le développement de plateforme de financement participatif, l’économie collaborative, etc.).

    La blockchain se distingue néanmoins de la notion de contrat telle que nous l’entendons juridiquement.

    Le smart contrat n’est pas reconnu légalement parce que la question de l’identification des parties n’est pas résolue.

    Par ailleurs, il peut sembler difficile d’admettre que le contrat puisse s’auto-exécuter sans pouvoir être modifié et sans recourir à un juge.

    Aussi, dans un premier temps, il importe de déterminer quel est le droit applicable et quelle juridiction est compétente pour ensuite établir un régime de responsabilité en cas de défaillance du système.

    La blockchain est certes, une avancée technologique présentant de réelles qualités, il n’en demeure pas moins de nombreux obstacles économiques, techniques, juridiques et éthiques restent à surmonter.