Articlaw

Étiquette : données personnelles

  • Doublicat, application deepfake pour devenir une star

    Doublicat, application deepfake pour devenir une star

    Depuis sa sortie, l’application Doublicat connaît un immense succès, mais est-elle sans risque ?

    Pour rappel, Doublicat est une application Deepfake qui permet de personnaliser des GIFs à partir de selfies. Elle est disponible gratuitement sur iOS et Android.

    Une fois téléchargée, elle permet à tout utilisateur de se photographier, de préférence dans diverses poses afin d’alimenter une bibliothèque de photos, permettant ainsi de stocker différents traits du visage, utilisables dans les GIFs et vidéos.

    L’application collecte des informations à partir d’une photo et analyse les traits du visage pour les placer sur un contenu déjà existant.

    Qu’en est-il de la sécurité in-app ?

    Doublicat utilise la reconnaissance faciale pour modifier les images. Aussi, nous pouvons nous interroger quant au contenu de sa politique de confidentialité et de la protection des données à caractère personnel.

    Contrairement à l’application Zao qui disposait de droits « gratuits, irrévocables, permanents et transférables » sur les photos de ses utilisateurs, l’application Doublicat prétend ne pas transférer les contenus à des tiers ni d’utiliser les photos à des fin de reconnaissance faciale.

    Toutefois, selon la politique de confidentialité de Doublicat, l’application se réserve le droit de collecter les photographies prises par un appareil photo quand l’utilisateur se sert de l’application.

    Selon ladite politique de confidentialité, l’application se contenterait de collecter les données relatives aux traits du visage indépendamment des photographies afin de personnaliser uniquement les GIFs et les vidéos via la fonctionnalité de swap.

    Quelle est la durée de conservation des données sur l’application Doublicat ?

    Les photographies sont conservées par Doublicat pendant 24 heures après son édition et les données relatives aux traits du visage sont stockées sur un serveur pendant 30 jours, après la dernière utilisation de l’application.

    Quelle technologie est déployée par l’application Doublicat ?

    Les concepteurs de Doublicat précisent que le contenu téléchargé n’utilise pas la reconnaissance faciale ou des traitements des données biométriques pour l’identification ou l’authentification de l’utilisateur, mais repose sur une collecte de caractéristiques faciales réalisé par l’outil « RefaceAI ».

    La technologie RefaceAI utilise des GAN (Generative Adversarial Network) pour transposer des contenus. Aussi, l’application Doublicat ne modélise pas un visage en 3D, mais en 2D (cf. Reflect de la société NeoCortext).

    En pratique?

    RefaceAI se réserve le droit d’utiliser les « selfies » de ses utilisateurs pour améliorer ses services et ne se prive pas de collecter toutes les informations que ses utilisateurs partagent sur l’application dès leur première utilisation.

    Par conséquent, en utilisant l’ application, l’utilisateur cède indirectement et volontairement ses droits à l’image via le transfert de ses selfies.

    Par ailleurs, en acceptant la politique de confidentialité, l’utilisateur accepte que des revenus puissent être générés par son utilisation de l’application et sur ses selfies par la société.

    Pour toutes questions, suggestions ou remarques n’hésitez pas à nous contacter à l’adresse suivante : contact@articlaw.net

  • Privacy Shield : le transfert des données

    Privacy Shield : le transfert des données

    L’accord sur le transfert de données à caractère personnel entre l’Union européenne et les États-Unis (Privacy Shield) qui a été adopté en juillet 2016 à été annulé par la Cour de justice de l’Union européenne.

    Cet accord visait à reconnaître un niveau de protection équivalent aux exigences européennes aux mécanismes EU-US Privacy Shield (bouclier de protection des données).

    Il s’agissait de permettre aux entreprises européennes de bénéficier d’un corpus de dispositions pouvant justifier les transferts des données vers les États-Unis sans passer par les mécanismes de clauses contractuelles ou autres règles contraignantes fixées par le RGPD.

    Pour ce faire, les entreprises américaines devaient s’auto-certifier auprès du département du commerce en respectant des règles et des garanties en matière de protection des données à caractère personnel.

    Est-ce que le Privacy Shield est conforme RGPD ?

    Le Privacy Shield vise à encadrer le transfert des données à caractère personnel vers les États-Unis en sus des clauses contractuelles et règles d’entreprises préexistantes.

    La CJUE considère qu’il n’y a pas d’adéquation avec la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective ».

    La Cour a estimé que les lois américaines sur la surveillance n’offraient pas une protection suffisante des données personnelles et de la vie privée par rapport à la législation en vigueur dans l’UE.

    Et les clauses contractuelles ?

    La CJUE a validé une décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données en considérant que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », eu égard de leur caractère contractuel.

    Cette validité reste néanmoins tempérée en ce que « l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».

    Aussi, la CNIL sera « tenue de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers » qui ne serait pas conformes aux exigences résultant du RGPD.

    Pour toutes vos questions, nous restons à votre disposition à l’adresse suivante : contact@articlaw.net

  • Le Cloud Act et la protection des données personnelles

    Le Cloud Act et la protection des données personnelles

    Le Cloud Act, Clarifying Lawful Overseas Use of Data Act, est une loi qui a été votée et promulguée le 23 mars 2018 par les Etats-Unis.

    Le Cloud Act a pour but de faciliter la collecte des données personnelles, hébergées par des fournisseurs de services cloud.

    Le Cloud Act semble aller à l’encontre de certains principes essentiels du RGPD.

    Qu’est-ce que le Cloud Act ?

    Le Cloud Act est une loi obligeant les fournisseurs de services (Amazon, Facebook, Salesforce, Microsoft, IBM, Twitter, Google, Appel) à coopérer avec le gouvernement en fournissant les données personnelles de leurs utilisateurs.

    Désormais, toutes les données hébergées par un fournisseur américain peuvent être transmises aux autorités de police, les agences gouvernementales et toute l’administration américaine.

    Ainsi, une entreprise française domiciliée aux Etats-Unis peut également être concernée par cette nouvelle mesure, alors même que ses activités seraient françaises.

    Pour certaines entreprises américaines multinationales (Appel, Google, Oath, Facebook et Microsoft) le Cloud Act assurerait une meilleure protection des consommateurs et faciliterait la résolution des conflits de droit.

    Est-ce que les données personnelles sont protégées ?

    On peut se poser de nombreuses questions quant à la portée de cette nouvelle loi, d’autant plus que l’Union européenne vient de renforcer l’encadrement juridique des données à caractère personnel via le RGPD.

    Tout laisse à penser que le Cloud Act fait peser une menace et un risque sur la protection et la sécurisation des données.

    Le Cloud Act permet à l’exécutif de passer des accords bilatéraux avec d’autres gouvernements afin d’échanger les informations stockées sur les serveurs des entreprises américaines sans recourir à un juge pour valider les transferts.

    Parallèlement, les administrations étrangères qui ont signé l’accord Cloud Act peuvent également avoir accès aux données des citoyens américains.

    À noter que les saisies de données personnelles ne sont autorisées que dans le cadre d’une enquête criminelle et ne doivent servir qu’aux fins de l’enquête.

    Peut-on s’opposer à cette nouvelle mesure ?

    De nombreuses associations de défenses des libertés numériques et des ONG contestent cette nouvelle mesure et souhaitent s’opposer aux demandes de divulgation.

    En principe, les opérateurs de télécommunications ou de communications électroniques peuvent s’opposer aux demandes de divulgation si le client n’est pas un citoyen américain ou résident permanent en situation régulière et si la divulgation d’informations entre en conflit avec la législation d’un gouvernement étranger qui a conclu un accord exécutif avec le gouvernement américain.

    À noter qu’il existe un réel conflit entre le RGPD et le Cloud Act en ce qui concerne le stockage et le transfert des données. En effet, le Règlement général sur la protection des données (RGPD) vise à renforcer la protection des données à caractère personnel au sein de l’Union européenne en garantissant leur sécurité et leur confidentialité.

    En ce qui concerne les transferts de données en dehors de l’Espace économique européen, ils ne peuvent, dans aucun cas, diminuer le niveau de protection des données.

    Enfin, les demandes de divulgation pourraient avoir de lourdes conséquences sur la protection des secrets d’affaires.

    De nombreuses questions restent sans réponse, notamment en ce qui concerne la protection des données à caractère personnel. Pourra t-on s’opposer au Cloud Act ?

  • Créer un site en conformité avec le RGPD

    Créer un site en conformité avec le RGPD

    Depuis le 25 mai 2018, le règlement Général sur la Protection des Données (RGPD) est entré en vigueur.

    Voyons ensemble ce qui a été modifié au niveau de la construction et du contenu des sites internet.

    À quoi sert le RGPD ?

    Le RGPD vise à mieux protéger les données personnelles et la vie privée des individus. C’est une norme unifiant les législations existantes, dans un souci de renforcement et d’unification des mesures de protection des données personnelles dans l’Union européenne.

    Quel impact sur la création et la gestion des sites internet ?

    La nouvelle réglementation s’applique à tout site internet qui collecte et utilise les données personnelles de ses visiteurs.

    Il importe, dès lors, que le site soit le plus transparent possible et d’indiquer clairement aux visiteurs comment leurs données personnelles sont collectées, stockées et utilisées.

    Désormais, chaque propriétaire d’un site internet doit mettre en place un plan spécifique concernant la gestion des données et justifier leur traitement par une des six raisons légitimes (le consentement, le contrat, la conformité avec une obligation légale, un intérêt vital, une mission d’ordre public, un intérêt légitime).

    Notons que le risque d’un mauvais usage des données est amoindri si la collecte est minime et limitée.

    Il importe d’obtenir le consentement des personnes concernées par la collecte, et ce, quel que soit le type d’information.

    Concernant, les données personnelles dites « sensibles », le consentement doit être donné de manière explicite.

    Le consentement des mineurs doit répondre à des exigences particulières définies par ledit règlement.

    Rappelons que, bien que le consentement soit une raison légitime de traitement de données, il n’en demeure pas moins que le RGPD a renforcé les règles concernant son obtention et sa conservation.

    Comment rendre un site internet conforme aux exigences du RGPD ?

    Il est recommandé de créer ou de mettre à jour la politique de confidentialité devant figurer sur le site et de s’assurer que les services et contenus proposés aux visiteurs soient en conformité avec les dispositions européennes et françaises.

    Il importe, dans un premier temps, de déterminer le type de données qui fera l’objet de collecte, et de définir, dans un deuxième temps, les raisons pour lesquelles la collecte est nécessaire.

    Toutes ces informations doivent figurer dans la politique de confidentialité.

    Par ailleurs, la politique de confidentialité doit être rédigée dans un langage clair, compréhensif, et précis. Elle doit indiquer comment les données seront utilisées, collectées, conservées.

    La politique de confidentialité doit indiquer clairement, aux individus concernés par la collecte, comment ils peuvent exercer leurs droits.

    Désormais, chaque individu a :

    • un droit d’accès (à une copie de ses données collectées par le site) ;

    • un droit de modification, s’il estime que les données sont inexactes et incomplètes et demander une mise à jour;

    • un droit de suppression ou droit à l’oubli (l’individu peut demander la suppression de ses données personnelles) ;

    • un droit de limiter le traitement (évitant, ainsi, la suppression totale des données).

    Concernant les cookies qui contiennent des données personnelles, il est essentiel de définir préalablement une raison légitime et spécifique de les utiliser. Une fois défini, il faut clairement l’indiquer sur le site internet via un bandeau.

    Doit-on signaler, dans un document distinct, que le site a été mis en conformité ?

    Toutes les exigences du RGPD doivent être documentées. L’entreprise doit être en mesure de démontrer qu’elle a adopté les bonnes pratiques de protection des données.

    La documentation doit être disponible sur le site et auprès du personnel de l’entreprise qui possède le site, afin de mieux répondre aux besoins et attentes des personnes concernées par le traitement des données.

    Précisons qu’à tout moment une autorité de contrôle peut, de manière discrétionnaire, agir et sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées au moyen d’un arsenal de mesures disciplinaires (amendes administratives et pénales).

    À noter que le non-respect de la réglementation, exposera toute entreprise à une amende pouvant s’élever à 4 % de son chiffre d’affaires annuel mondial ou à 20 millions d’euros.

    Qu’en est-il des formulaires de contact ?

    Il faut modifier les formulaires pour les rendre conformes au RGPD.

    Il est essentiel de recueillir le consentement de la personne qui remplira le formulaire et de l’informer de la durée de conservation de ses données. Il faut également, conserver la preuve de son consentement et l’informer de ses droits.

    Enfin, le transfert des données personnelles via le formulaire devra être sécurisé.

    Les newsletters … ?

    Il est conseillé de mettre en place un double opt-in : un opt-in au moment de remplir le formulaire (en informant sur la raison de la collecte de l’e-mail) et un autre opt-in avec l’e-mail de confirmation dans lequel la personne accepte de recevoir les informations (après avoir coché une case).

    Et les campagnes marketing ?

    Désormais, pour pouvoir faire des campagnes marketing conformes au RGPD, il faut recueillir le consentement des visiteurs avant d’envoyer des documents de marketing. Par exemple, le consentement pourra être donné en cochant le bouton « s’abonner ».

    Par ailleurs, les marques, distributeurs ou sous-traitants doivent indiquer à leurs clients à quoi servent les données collectées, à qui elles sont destinées. Ils doivent également informer leurs clients de la durée de conservation, mais aussi leur permettre de modifier, effacer, transférer ou d’accéder à leurs données.

    Enfin, les applications ou services tiers déployés sur un site doivent également faire l’objet d’une mise en conformité avec le RGPD (cf. Outils d’analyse de données).

  • La préservation des données à caractère personnel des e-joueurs

    La préservation des données à caractère personnel des e-joueurs

    À l’ère du tout-connecté, les consoles et les ordinateurs mis à la disposition des joueurs sont des outils utiles pour les éditeurs afin de collecter et d’enregistrer les données personnelles de ces derniers. Ces informations permettent aux éditeurs d’identifier les joueurs et d’observer leur comportement.

    Cette collecte de données est généralement réalisée par un « data analyst » qui, à partir de son analyse, va analyser les habitudes des joueurs et permettre aux « game designers » d’améliorer les prochains jeux via des mises à jour permanentes.

    Et la sécurité des données ?

    Les données circulent à partir d’une simple connexion internet. Aussi, sur un smartphone, sur une console ou sur un ordinateur, les données circulent librement.

    Les éditeurs de jeux se réjouissent de cette exploitation de données personnelles et ils n’hésitent pas à déployer leur offre de service pour être au plus proche de leurs utilisateurs.

    Si certaines données sont nécessaires pour s’inscrire ou acheter en ligne des contenus, il n’en demeure pas moins que d’autres données comme le suivi des discussions, la localisation, les horaires de connexions peuvent répondre à diverses attentes (par exemple : l’amélioration de la publicité en ligne ou l’adaptation des jeux aux attentes et capacités des joueurs).

    En ciblant les joueurs, il est plus facile de les rendre dépendants aux jeux et de les solliciter financièrement via des publicités ciblées. En effet, les éditeurs peuvent proposer des achats plus adaptés aux profils de leurs utilisateurs et déployer des campagnes publicitaires intrusives.

    Il importe dès lors de mieux encadrer l’usage de ces nouveaux outils et de porter une attention particulière à la collecte des données des mineurs, qui peuvent être des personnes vulnérables et influençables par ces publicités ciblées.

    Désormais, avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai dernier, l’éditeur de jeu ne pourra collecter les données personnelles d’un mineur de moins de 16 ans « que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant« .

    Le consentement doit être donné par les parents « compte tenu des moyens technologiques disponibles ».

    En contrôlant davantage les outils de collecte, le législateur entend modérer l’addiction au jeu, encadrer les publicités ciblées, éviter les fuites de données et sanctionner les comportements malveillants.

    Pour ce faire un arsenal de mesures a été prévu à ces effets (Voir notre précédent article https://articlaw.net/legal/la-mise-en-conformite-au-rgpd/)

    Pour l’heure, les éditeurs devront se montrer vigilants et rigoureux quant à la mise en œuvre des mesures européennes sous peine d’être sanctionnés sévèrement.

    Néanmoins, les joueurs doivent prendre l’habitude d’adopter une attitude responsable à partir du moment où ils acceptent de jouer sur une application, une console ou un ordinateur.

    Concernant les applications, la CNIL précise qu’il faut :

    •« vérifier les permissions demandées avant d’accepter une application ;

    • utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne ;

    • éteindre les applications quand on a fini de jouer et les supprimer quand on ne les utilise plus ;

    • si l’appareil le propose, appliquer les paramètres de protection de la vie privée protecteur : par exemple, en n’autorisant pas l’accès aux contacts si ce n’est pas utile ;

    • désactiver l’accès de l’application à la géolocalisation du smartphone lorsqu’elle n’est pas nécessaire : si la géolocalisation est indispensable au jeu, il est possible d’éteindre la fonctionnalité une fois le jeu fermé ;

    • si le jeu vous encourage à prendre des photos, pensez aux autres personnes autour de vous, et ne les prenez pas en photo sans leur consentement ; ».

  • La mise en conformité au RGPD

    La mise en conformité au RGPD

    Le règlement général sur la protection des données du 27 avril 2016, dit RGPD, est entré en vigueur le 25 mai 2016, remplaçant la Directive sur la protection des données personnelles adoptée en 1995. Les dispositions du RGPD sont applicables dans l’ensemble des 28 États-membres de l’Union européenne à compter du 25 mai 2018. Le RGPD renforce le droit des personnes au niveau individuel et impose des nouvelles obligations aux responsables de traitement.
    Sont concernées par le RGPD, toutes les grandes entreprises de plus de 250 salariés, les TPE et les PME, qui ont dû se mettre en conformité, en modifiant les procédures existantes ou en mettant en place des procédures sécurisées de traitement des données personnelles; si elles ne veulent pas être sanctionnées durement par les autorités de régulation (par exemple : la CNIL).

    Quelles sont étapes de mise en conformité ? Quels sont points essentiels du RGPD ?

    • Désigner un délégué à la protection des données (DPO/DPD)

    Le DPD a des compétences en matière juridique et technique. Il est souvent présenté comme étant le chef d’orchestre de la conformité au sein d’une entreprise. Il est garant du respect de la réglementation au sein d’une structure : il informe et conseille le responsable du traitement et les employés ; il veille au respect du règlement en matière de protection des données et des règles internes ; il dispense des conseils en ce qui concerne la protection des données et coopère avec les autorités de contrôle (à l’occurrence la CNIL, en France) sur les questions relatives au traitement des données.

    Le DPD représente une aide non-négligeable pour l’entreprise. Il conseille et assiste l’entreprise dans ses démarches.

    • Cartographier et tenir des registres de traitements

    Il faut recenser l’ensemble des traitements de données personnelles, informatisés ou sous forme d’archives papier. Il faut s’assurer que le traitement actuel soit en conformité aux exigences légales en matière de sécurité, de conservation des données et de respect des droits des personnes.

    Ce travail de recensement peut être demandé ultérieurement par la CNIL.

    L’employeur doit cartographier l’ensemble des traitements relatifs aux ressources humaines et marketing qui utilisent de nombreuses données nominatives.

    Notons, qu’il est recommandé de cartographier, dès à présent, les contrats passés avec les partenaires commerciaux et les sous-traitants puisque certaines dispositions du RGPD seront obligatoires dans les contrats de sous-traitance.

    • Définir les actions à mener

    Il s’agit de définir quels sont les moyens mis à la disposition de l’entreprise pour sécuriser les données (anonymisation, chiffrement).

    Il faut par ailleurs, déterminer quelles sont les modalités d’exercice des droits des personnes en ce qui concerne le recueil du consentement et le droit à l’oubli.

    L’employeur ne peut collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement.

    De même, au sein même de l’entreprise, doit être établie une politique de durée de conservation des données prévoyant la possibilité de supprimer les données dès lors qu’elles ne présentent plus aucune utilité eu égard de l’objectif visé.

    Toute la politique de confidentialité doit être révisée en profondeur afin de protéger les droits des personnes.

    • Gérer les risques

    Il est demandé aux entreprises de savoir gérer les risques et d’identifier clairement les traitements de données pouvant engendrer des risques conséquents pour les droits et libertés des personnes.

    Le RGPD met en place des études d’impact sur la vie privée et la protection des données et consacre le principe « d’accountabilité ».

    • Gérer le processus interne

    L’entreprise et le DPD doivent établir un plan de mise en conformité.

    Pour ce faire, il faud réviser les procédures internes et organiser la circulation de l’information au sein de l’entreprise.

    Les nouvelles procédures internes doivent prioriser la protection des données durant toutes les phases d’un traitement (la collecte, la gestion des demandes de rectification ou d’accès, les changements de prestataires, les modifications des données collectées, les failles de sécurité, la suppression).

    • Sensibiliser les collaborateurs

    La sensibilisation consiste à former les salariés aux nouvelles dispositions prévues par le RGPD et de disposer d’une documentation complète.

    Un registre doit ainsi être tenu par le DPD. Sont listés : les différentes collectes de données, les catégories de données traitées, les outils de traitement, les procédures de vérification de la sécurité des données, les failles de sécurité, les habilitations des accès.

    Un bilan doit répertorier toutes les actions menées en faveur de la protection des données personnelles.

    Parallèlement, l’employeur doit informer ses salariés ou candidats à l’embauche de la mise en place du traitement des données personnelles, de ses finalités et des modalités de mise en œuvre.

    L’information doit être délivrée de façon claire et apparaître sur divers supports (site internet de l’entreprise, documents internes à l’entreprise, contrats de travail, le règlement intérieur).

    Enfin, avant toute collecte de données personnelles, l’employeur doit s’assurer d’avoir préalablement recueilli le consentement du salarié ou du candidat (opt-in). Il doit prévoir à cet effet, des systèmes de collecte tels qu’une autorisation écrite ou un formulaire avec des cases à cocher.

    Quelles sont les différentes sanctions prévues par le RGPD ?

    Les sanctions administratives peuvent consister en : « 10 000 000 euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » (article 83).

    Le RGDP prévoit un cumul de sanctions administratives et pénales.

    L’entreprise condamnée peut se voir interdire de poursuivre tout ou partie le traitement de données personnelles, d’utiliser les données recueillies ou de les transférer.

    Enfin, la victime peut obtenir réparation de son préjudice sur le plan civil et/ou administratif en engageant une action en justice.

     

    1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

    Retrouvez notre vidéo explicative :