vie privée

"TrackingFiles" : Des données personnelles en vente libre

L'utilisation généralisée des smartphones et des applications mobiles a transformé notre quotidien, mais elle comporte aussi des risques majeurs pour notre vie privée.

En quelques jours, des journalistes de "L'Œil du 20 heures" ont réussi à obtenir de nombreuses informations personnelles, mettant en lumière les failles de certaines applications qui jouent avec le consentement des utilisateurs.

Les applications : des aspirateurs à données

Souvent pratiques et parfois addictives, les applications utilisées par des millions de Français se révèlent être des aspirateurs à données personnelles, notamment en matière de géolocalisation. Ces informations circulent ensuite entre différentes mains.

Chaque portable possède un identifiant publicitaire unique, appelé "advertising ID". Lorsqu'une application est ouverte, une notification est envoyée à une salle d'enchères virtuelle où se trouvent des régies publicitaires. En quelques millisecondes, le plus offrant affiche une publicité dans l'application, laissant ainsi des traces de l'utilisateur.

Des données loin d'être anonymes

Ces données concernent près de 12 millions de téléphones et plus d'un milliard de points GPS. En théorie, elles sont anonymes, car uniquement liées à l'identifiant publicitaire. Pourtant, il est facile de recouper les points GPS pour retrouver des informations précises sur les utilisateurs.

Un exemple édifiant

Dans une enquête menée en collaboration avec franceinfo, près de 400 téléphones ont été localisés dans le bâtiment de France Télévisions à Paris. Les positions GPS couvrent toute la capitale et au-delà. L'équipe de "L'Œil du 20 heures" a même pu identifier l'identité d'une utilisatrice en recoupant ses déplacements, en s'intéressant à ses allers-retours fréquents entre Paris et la banlieue ouest. L'un de ses lieux de passage réguliers, la gare du Nord, et son domicile en banlieue ont permis de dévoiler son identité.

Conclusion

Cette situation met en évidence la nécessité de repenser la gestion des données personnelles par les applications. Les utilisateurs doivent être mieux informés des risques et les autorités doivent renforcer les régulations pour protéger la vie privée des citoyens. Pour ceux qui souhaitent protéger leurs informations personnelles, il est recommandé de contacter International ICS pour obtenir de l'aide sur la configuration de leurs smartphones de manière sécurisée et respectueuse de leur vie privée.

by International ICS

Espionnage : votre véhicule connectée vous surveille ?

Avec l’essor des technologies intégrées dans les véhicules modernes, les préoccupations concernant la sécurité et la confidentialité des données personnelles n’ont jamais été aussi élevées. L’administration américaine a récemment lancé une enquête pour évaluer les risques potentiels associés à ces technologies, en particulier celles provenant de Chine. Cette initiative vise à anticiper les menaces potentielles et à mettre en place des mesures de sécurité appropriées avant que ces technologies ne deviennent omniprésentes sur les routes américaines.

Les “véhicules connectés” modernes sont équipés d’une multitude de technologies avancées, telles que l’internet, des caméras (comme dans la nouvelle Mercedes-Benz classe e), des microphones intégrés, des capteurs et des ordinateurs de bord. Ces dispositifs, bien que conçus pour améliorer l’expérience de conduite et la sécurité, soulèvent des inquiétudes quant à leur potentiel à collecter des informations sensibles sur les citoyens et les infrastructures américaines. Les autorités américaines cherchent donc à évaluer ces risques et à mettre en place des mesures de sécurité adéquates.

Une étude récente de la Fondation Mozilla a analysé les technologies de 25 constructeurs automobiles mondiaux, révélant des lacunes significatives en matière de protection de la vie privée des consommateurs. Selon cette étude, la majorité des voitures neuves d’aujourd’hui représentent un véritable cauchemar en matière de confidentialité, collectant une quantité considérable d’informations personnelles. Ces véhicules, dotés de capteurs, caméras, microphones et autres systèmes d’infodivertissement connectés aux smartphones, recueillent des données bien au-delà de ce qui est nécessaire pour leur fonctionnement.

Les informations collectées peuvent inclure des détails sur la santé des conducteurs, leur patrimoine génétique, leurs préférences musicales et leurs habitudes de déplacement. La Fondation Mozilla avertit que “s’asseoir dans la voiture de quelqu’un revient presque systématiquement à remettre son téléphone au constructeur automobile”. Cette situation met en lumière la nécessité de renforcer les mesures de protection de la vie privée et de la sécurité des données dans les véhicules modernes.

Dans un contexte plus concret et ponctuel, si vous échangez des informations confidentielles dans votre véhicule, les experts d’International ICS peuvent vous assister lors d'une opération de TSCM pour détecter toute faille de sécurité ou équipement d’enregistrement dissimulé.

En conclusion, l’enquête lancée par l’administration américaine souligne l’importance de la sécurité et de la confidentialité des données dans les véhicules connectés. Alors que ces technologies continuent de se développer et de se répandre, il est crucial de mettre en place des mesures de sécurité robustes pour protéger les informations personnelles des utilisateurs. Les résultats de cette enquête pourraient bien définir les futures normes de sécurité pour les véhicules connectés, garantissant ainsi une conduite plus sûre et plus respectueuse de la vie privée.

by International ICS

Top 5 : Les pays les plus sûrs de l’UE pour la confidentialité des données

À une époque où la confidentialité numérique est d’une importance capitale, l’Union européenne (UE) se distingue par son engagement fort à protéger les données des citoyens. Cependant, tous les pays de l’UE ne sont pas égaux en termes de lois sur la vie privée et de leur application. La question de savoir quel pays offre l’environnement le plus sûr pour la vie privée dans l’UE est complexe, influencée par divers facteurs tels que les lois sur la divulgation des clés, les exigences de déchiffrement obligatoire et les attitudes générales envers la protection des données personnelles.

Les lois sur la divulgation des clés, également connues sous le nom de divulgation obligatoire des clés, obligent les individus à remettre les clés cryptographiques aux forces de l’ordre sur demande. Ces lois sont conçues pour permettre aux autorités d’accéder aux données chiffrées à des fins de criminalistique numérique et de les utiliser comme preuves dans les procédures judiciaires. Les lois sur le déchiffrement obligatoire, quant à elles, obligent les individus à fournir des données déchiffrées sans nécessairement révéler les clés de chiffrement.

La société International ICS, experte en protection de l’information et en opérations TSCM, aide les équipes dirigeantes à sélectionner les meilleures solutions pour leurs conversations privées.

L’Union européenne est réputée pour ses réglementations rigoureuses en matière de protection des données, notamment le Règlement général sur la protection des données (RGPD). Cependant, en ce qui concerne la divulgation des clés et le déchiffrement obligatoire, la situation varie d’un pays à l’autre. Examinons quelques pays clés de l’UE pour comprendre comment ils gèrent ces questions.

Allemagne : Un Défenseur Ferme de la Vie Privée L’Allemagne est souvent citée comme l’un des meilleurs pays de l’UE en matière de vie privée. La Constitution allemande offre de solides protections contre l’auto-incrimination, et le pays a été réticent à adopter des lois obligeant les individus à divulguer leurs clés de chiffrement. Selon la loi allemande, les suspects ne peuvent pas être contraints de fournir des preuves pouvant les incriminer, un principe connu sous le nom de “nemo tenetur”. Cela signifie qu’en usage privé, il n’existe aucune base légale obligeant un suspect à remettre ses clés cryptographiques, faisant de l’Allemagne un refuge sûr pour ceux qui se préoccupent de leur vie privée numérique.

De plus, l’Allemagne a été un critique vocal de la surveillance de masse et a mis en place des réglementations strictes pour protéger les données personnelles. La loi fédérale sur la protection des données (Bundesdatenschutzgesetz) complète le RGPD en offrant des couches supplémentaires de protection de la vie privée.

Belgique : Vie Privée avec Certaines Réserves La Belgique adopte une approche équilibrée de la vie privée, avec certaines dispositions protégeant les individus contre le déchiffrement obligatoire tout en permettant aux forces de l’ordre de demander l’assistance de non-suspects. La loi belge sur la criminalité informatique, adoptée en 2000, permet aux juges d’ordonner aux autorités de fouiller les systèmes informatiques et de contraindre les fournisseurs de télécommunications à aider au déchiffrement. Cependant, cette loi ne s’applique pas aux suspects ou à leurs familles, offrant ainsi une certaine protection contre l’auto-incrimination.

L’approche de la Belgique reflète une préoccupation pour la vie privée tout en permettant aux forces de l’ordre de mener des enquêtes numériques nécessaires. Cela fait de la Belgique un pays relativement sûr pour la vie privée, bien que moins robuste que l’Allemagne en matière de protection contre la divulgation obligatoire des clés.

Finlande : Complète mais Équilibrée Les lois finlandaises sur la vie privée sont complètes, exigeant que les propriétaires et administrateurs de systèmes fournissent les mots de passe et informations nécessaires aux forces de l’ordre. Cependant, les suspects eux-mêmes sont exemptés de cette exigence en vertu de la loi sur les mesures coercitives. Cette exemption s’aligne sur le principe de protection contre l’auto-incrimination, similaire aux protections juridiques trouvées en Allemagne.

La Finlande est également connue pour ses pratiques gouvernementales transparentes et un cadre juridique solide qui privilégie la vie privée de ses citoyens. Bien qu’il existe des dispositions pour le déchiffrement obligatoire, les protections offertes aux suspects aident à maintenir un équilibre entre les besoins des forces de l’ordre et les droits à la vie privée des individus.

France : Une Approche Plus Stricte La France, bien qu’étant un fervent défenseur des lois de protection des données comme le RGPD, a mis en place des mesures plus strictes en matière de déchiffrement obligatoire. La loi française permet aux juges ou aux procureurs de contraindre les individus à remettre leurs clés de chiffrement ou les données déchiffrées lors des enquêtes. Le non-respect de cette obligation peut entraîner des sanctions sévères, y compris l’emprisonnement.

Cette approche stricte est conçue pour aider à lutter contre le terrorisme et le crime organisé, mais elle a suscité des inquiétudes parmi les défenseurs de la vie privée. Les pouvoirs étendus accordés aux forces de l’ordre en France pourraient être perçus comme une menace pour la vie privée personnelle, rendant le pays moins favorable pour ceux qui recherchent les niveaux les plus élevés de protection de la vie privée.

Pays-Bas : Équilibré mais avec des Exceptions Les Pays-Bas offrent une approche quelque peu équilibrée de la vie privée, avec des lois permettant aux enquêteurs d’accéder aux données chiffrées sous certaines conditions. La loi néerlandaise permet aux enquêteurs munis d’un mandat d’accéder aux supports d’information et aux systèmes en réseau et de contraindre des tiers (mais pas les suspects) à aider au déchiffrement.

Bien que cela offre une certaine protection aux individus, les pouvoirs étendus accordés aux forces de l’ordre et l’obligation d’assistance des tiers peuvent susciter des inquiétudes pour ceux qui privilégient une vie privée absolue. Cependant, l’exclusion des suspects des ordres de déchiffrement obligatoire offre une couche de protection contre l’auto-incrimination.

Quel Pays de l’UE est le Plus Sûr pour la Vie Privée ? Sur la base de l’analyse des lois sur la divulgation des clés et le déchiffrement obligatoire dans ces pays de l’UE, l’Allemagne se distingue comme le pays le plus sûr de l’UE pour la vie privée. Les fortes protections juridiques contre l’auto-incrimination, associées à l’engagement du pays en faveur de la protection des données et des droits à la vie privée, en font un choix idéal pour les individus qui privilégient leur vie privée numérique.

Bien que d’autres pays comme la Belgique et la Finlande offrent également des protections significatives, l’engagement constant de l’Allemagne en faveur de la vie privée, ainsi que son cadre juridique qui protège fortement les individus contre la divulgation obligatoire des clés, la distingue. La France et les Pays-Bas, bien qu’adhérant toujours aux réglementations de protection des données à l’échelle de l’UE, adoptent une approche plus stricte qui pourrait compromettre la vie privée dans certaines situations.

by International ICS

Juridique : le droit au respect de la vie privée

Le droit au respect de la vie privée, un principe fondamental dans notre société, est garanti par le Conseil constitutionnel. Ce droit englobe divers aspects, allant du respect de l’intimité et du secret médical au droit à l’image, et impose des restrictions aux pratiques d’espionnage et d’enquête, comme les écoutes téléphoniques.

Bien que le droit à la vie privée ne soit pas explicitement inscrit dans la Constitution ou dans les textes qui y sont rattachés, la jurisprudence du Conseil constitutionnel a progressivement comblé cette lacune. En effet, le droit au respect de la vie privée a été rattaché à l’article 66 de la Constitution du 4 octobre 1958, qui désigne l’autorité judiciaire comme “gardienne de la liberté individuelle”, dans une décision du 18 janvier 1995. Par la suite, le Conseil constitutionnel a rattaché le droit au respect de la vie privée aux “droits naturels et imprescriptibles de l’Homme” mentionnés à l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789, dans une décision du 23 juillet 1999. Depuis lors, le droit au respect de la vie privée est considéré comme un “droit que la Constitution garantit”.

Le juge judiciaire est chargé de faire respecter le droit à la vie privée. La protection contre les atteintes à ce droit revêt plusieurs aspects, notamment la protection du domicile, le secret professionnel et médical, la protection de l’intimité et le droit à l’image. Par exemple, la police ne peut pénétrer dans un domicile que dans certains cas fixés par la loi, et un médecin ne peut révéler les éléments du dossier médical d’une personne sans son consentement. De plus, il est interdit de capter l’image d’une personne sans son autorisation, ce qui peut nuire à son droit à l’image et, dans certains cas, à son droit à la vie privée.

En ce qui concerne les écoutes téléphoniques, elles sont réglementées. Les écoutes judiciaires, effectuées dans le cadre d’une enquête sur une infraction, doivent être réalisées sous le contrôle d’un juge d’instruction. Quant aux écoutes “administratives”, destinées à protéger la sécurité du territoire, elles ont longtemps été réglementées de manière très lâche, au point que la France a été condamnée pour cette raison par la Cour européenne des droits de l’homme. Cependant, la loi du 10 juillet 1991 a créé la Commission nationale de contrôle des interceptions de sécurité (CNCIS), afin de contrôler leur nombre et leur motivation. La Commission nationale de contrôle des techniques de renseignement (CNCTR) a pris sa suite en 2015.

Il est également important de noter que depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a instauré un nouveau cadre juridique pour la protection des données personnelles des citoyens européens. Ce règlement renforce les droits des individus en matière de protection des données et impose de nouvelles obligations aux organisations qui traitent ces données.

Le respect de votre vie privée implique aussi une intervention TSCM que nous effectuons pour identifier tout appareil d’écoute clandestin potentiellement présent chez vous, dans votre voiture ou au sein de vos espaces professionnels.

En somme, le droit au respect de la vie privée, bien que non explicitement inscrit dans la Constitution, est un droit fondamental reconnu et protégé par le Conseil constitutionnel. Il englobe divers aspects de notre vie quotidienne et impose des limites aux pratiques d’espionnage et d’enquête. Avec le développement des outils numériques, la protection de ce droit devient de plus en plus cruciale. Il est donc essentiel de continuer à renforcer les règles et les instances visant à limiter les risques liés à ces outils.

by Thomas d. C

ISO 27701 : gérer la protection de la vie privée

Une norme internationale pour sécuriser les données personnelles. Les données personnelles sont devenues un enjeu majeur pour les entreprises et les organisations, qui doivent les protéger contre les risques de piratage, de fuite ou de détournement. Pour les aider à se conformer aux différentes législations en vigueur, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne, une nouvelle norme internationale a été publiée en août 2019 : l'ISO 27701.

Cette norme, élaborée par des experts du monde entier, avec la participation de la Commission nationale de l'informatique et des libertés (CNIL) et de l'Association française de normalisation (AFNOR), vise à définir les bonnes pratiques pour la gouvernance et la sécurité des traitements de données personnelles. Elle s'appuie sur deux normes ISO déjà existantes dans le domaine de la sécurité informatique : l'ISO 27001, qui certifie un système de management de la sécurité informatique, et l'ISO 27002, qui détaille les mesures de sécurité à mettre en œuvre.

L'ISO 27701 apporte des exigences spécifiques pour la protection des données personnelles, en tenant compte du rôle de l'organisme qui les traite (responsable de traitement, sous-traitant, sous-traitant de sous-traitant). Elle couvre ainsi les aspects suivants :

- La détermination du rôle de l'organisme et de ses obligations légales et réglementaires ;
- La gestion des risques informatiques et des risques pour la vie privée des personnes concernées ;
- La désignation d'un responsable pour la protection de la vie privée, qui peut être le délégué à la protection des données (DPO) ;
- La sensibilisation et la formation des personnels impliqués dans les traitements de données personnelles ;
- La classification, la protection, la sauvegarde et la journalisation des données personnelles ;
- Les conditions de transfert, de partage et de suppression des données personnelles ;
- La protection de la vie privée dès la conception et par défaut des traitements de données personnelles ;
- La gestion des incidents et des violations de données personnelles ;
- Le respect des principes fondamentaux du RGPD, tels que la finalité, la base légale, le consentement, l'inventaire, l'évaluation des impacts, les droits des personnes, la minimisation, la dé-identification et la durée de conservation des données personnelles ;
- La rédaction des contrats de sous-traitance et des clauses contractuelles types pour les transferts de données hors de l'Union Européenne.

L'ISO 27701 n'est pas une certification au sens de l'article 42 du RGPD, qui prévoit la possibilité pour les organismes de faire valider leur conformité par un organisme accrédité. Mais elle constitue un référentiel reconnu et harmonisé, qui permet aux organismes de démontrer leur engagement et leur responsabilité en matière de protection des données personnelles. Elle peut également faciliter les échanges de données entre les organismes situés dans des pays ayant des législations différentes, en garantissant un niveau de sécurité élevé.

L'ISO 27701 est donc une norme utile et pertinente pour les organismes qui traitent des données personnelles, quels que soient leur taille, leur secteur d'activité ou leur localisation. Elle leur permet de se doter d'un système de management efficace et adapté, qui assure la sécurité et la confiance des personnes concernées..

by Thomas d. C