Google a annoncé qu'à partir de 2027, seules les applications signées par des développeurs « vérifiés » par Google pourraient s'installer sur les systèmes Android certifiés. Si ce plan est réalisé, il sera impossible de distribuer une application Android sans donner ses données personnelles à Google, et Google pourra interdire à n'importe qui de distribuer des applications Android.
Le site LinuxFr.org peut être consulté sans compte et sans authentification. Il permet aussi de se créer un compte (voir l’aide Visite (non) authentifiée, ou pourquoi ouvrir un compte ?). Ce compte est associé à des données à caractère personnel techniques nécessaires au service rendu et des données à caractère personnel optionnelles qui sont renseignées ou non par la personne utilisant le compte.
Cette dépêche décrit les données à caractère personnel traitées, qu’elles soient ou non associées à un compte, le cycle de vie de ses données et le changement de politique concernant ce cycle de vie. Par souci de concision, on utilise l’abréviation DCP pour données à caractère personnel.
La principale nouveauté concerne les durées de conservation des DCP. À partir du 28 juin 2023 :
Avec son plus d’un quart de siècle, il serait temps que LinuxFr se penche sur un sujet qui concerne la population en situation de procréer, soit quelques milliards d’individus, et qui concerne aussi à peu près tout le monde puisqu’il est question de données privées sensibles ; soit encore plus de milliards de personnes. Vous l’avez probablement deviné, il sera donc question des cycles féminins, des applis sous licences libres pour Android servant à le suivre et des données qu’elles récoltent, et également de suggestions d’alternatives.
Cher journal,
Attention, aujourd'hui, ça dénonce grave!
En fin d'année dernière, j'ai reçu trois courriers publicitaires qui m'étaient personnellement adressés. En temps normal, ces courriers seraient passés immédiatement de la boîte à lettres à la corbeille à papier. Néanmoins, je me suis trouvé l'esprit taquin et ai décidé de mettre ça de côté durant les fêtes et de me pencher sur la question en début d'année.
Début janvier donc, j'empoigne mon clavier et transmets ce simple message aux trois entités:
(…)
Si quelqu'un connaît du monde à la DSI de Pôle Emploi, il faudrait qu'ils corrigent ça si c'est avéré : https://www.mathieupassenaud.fr/faille-pole-emploi/
Quasiment tous nos téléphones possèdent une fonctionnalité étonnante, celle qui permet de débarrasser les rues des voitures. Oui, vous avez presque tous, sur vos téléphones, une fonctionnalité qui permet de faire décamper les véhicules partout où vous déplacez en ville.
Comment ? C’est ce que nous allons expliquer. C’est à la fois amusant et inquiétant…
L’allemand Simon Weckert, s’est baladé avec 99 téléphones dans les rues de Berlin, récupérés auprès de ses amis, et s’est retrouvé (…)
En février 2023, nous annoncions la mise en place d’une durée de conservation des données à caractère personnel (DCP) sur LinuxFr.org, avec à partir du 28 juin 2023 :
L’aide du site explique :
Depuis le 31 mai 2023, une information de date de dernière activité est associée à chaque compte. Ajoutons que depuis septembre 2023 l’accès à cette information est aussi réduite au besoin du service (on peut connaître l’info de son propre compte ; les admins ont seulement besoin de savoir si la dernière activité date de moins d’un mois, d’un an, trois ans ou plus, en raison des règles précitées).
Nous voici donc un an après, et cette partie de la règle s’applique donc pour la première fois. Nous détaillerons les effets dans la seconde partie de la dépêche.
Salut journal,
Attention, aujourd'hui, je (me) dénonce grave!
Suite au dernier journal sur le sujet, j'ai continué mes investigations et ai découvert le pot aux roses!
Avant d’entrer dans le vif du sujet, je tiens à relever que toutes les entreprises avec qui j'ai échangé ont été d’une clarté et d’une réactivité impressionnante. Il faut quand même relever ce qui fonctionne correctement.
Nous en étions resté à l’entreprise KünzlerBachmann Directmarketing AG dénonçant La Poste Suisse. Détail que je n'ai pas (…)
Viviane Reding, la vice présidente de la Commission Européenne vient d'annoncer une nouvelle réglementation sur la protection des données personnelles en remplacement de l'actuelle (qui date de 1995). Le droit à la vie privée fait régulièrement l'objet de vifs débats en Europe en raison de son absence d'efficacité pratique pour les citoyens Européens.
En tout cas le nouveau texte apportera d'énormes changements : la notification obligatoire des incidents de sécurité sous 24 heures, la fin des déclarations CNIL (considérée comme de la paperasserie inutile par la Commission), l'obligation de faire des évaluations de sécurité systématiques, l'instauration d'un « Data privacy Officer » pour les entreprises de plus de 250 personnes ou les établissements publics.
Et en bonus, des montants amendes décuplées : jusqu'à 1 million d'euros d'amende ou 2 % du chiffre d'affaire global pour les entreprises (en 2008, cela aurait représenté 1.2 milliard de dollars pour une société comme Microsoft).
J'ai ouvert un compte Boursorama il y a quelques années, pour éviter d'avoir à utiliser l'app bancaire fournie par mon autre banque. Cela fonctionne pas trop mal, même si c'est un peu lourd d'avoir des codes de validation via sms ET email.
Par contre ce matin, j'ai eu le déplaisir de recevoir ce message de Boursorama :
Bonjour,
Pour continuer à gérer vos comptes simplement et réduire les risques de fraude, l’App devient indispensable.
👉 Concrètement, qu’est-ce qui (…)
Beaucoup de nos services numériques du quotidien sont propulsés en partie voire entièrement par les GAFAM. Les risques de cette dépendance s'illustrent de plus en plus fréquemment dans l'actualité : représailles envers l'ex-Commissaire européen Thierry Breton et des ONG luttant contre la désinformation en ligne, clôture de la boite de courriel du procureur de la Cour Pénale Internationale, …
Ces vulnérabilités mettent en danger le fonctionnement des démocraties européennes.
On peut être tenté d'attendre une nouvelle législation européenne, cependant le carburant de ces plateformes est en premier lieu nos données personnelles : quitter ces plateformes réduit à la fois notre exposition personnelle et notre contribution collective à ce système néfaste.
C'est le sens de l'appel lancé à Hambourg lors du 39ème CCC : le 4 janvier (puis chaque 1er dimanche du mois), faites migrer vos connaissances d'une des plateformes et faites le savoir en utilisant les mots clés #DiDay ou #iDidIt sur le Fediverse.
Le 10 juillet 2023, la Commission européenne a adopté une « décision d’adéquation » au sujet du cadre de protection des données de l’Union européenne et des États-Unis. Sur la base de cette décision, les données à caractère personnel peuvent de nouveau circuler librement de l’UE vers les entreprises des États-Unis.
Cette décision est pour le moins controversée. Maximilian Schrems, lors de sa keynote à l’OSXP 2022, l’avait prévue, et annoncé par avance une action à venir auprès de la Cour de justice de l’union européenne (CJEU), qui, espérons-le, aboutira à une nouvelle invalidation, après les arrêts Schrems et Schrems II. Dans un communiqué, NOYB, l’association de Max Schrems, dénonce: « Le prétendu “nouveau” cadre transatlantique de protection des données personnelles est en grande partie une copie du “bouclier de protection des données” qui a échoué. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l’approche adoptée par l’UE n’ont guère changé. Le problème fondamental de la loi FISA 702 n’a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent prétendre à des droits constitutionnels. » (Les différents points juridiques évoqués ici sont clairement expliqués dans la keynote de Max Schrems à l’OSXP, ou détaillés dans le communiqué de NOYB).
Philippe Latombe, député français (MODEM) de Vendée, a posté dans un communiqué rageur: « Si mes espoirs restaient ténus, je dois dire que je ne m’attendais pas à un abandon aussi déshonorant, en rase campagne, des intérêts européens. […] Autant de mises en garde que la Commission européenne, faisant fi des avertissements du Parlement, et donc du Parlement lui-même, a balayées d’un revers de main, se livrant à un troc déshonorant qui peut se résumer ainsi : investissements américains en matériel militaire dans le conflit ukrainien et gaz d’outre-Atlantique, contre les données des Européens. […] Le temps joue en faveur du plus fort. Le capharnaüm juridique ainsi entretenu permet aux multinationales américaines des technologies de l’information et de la communication d’agir comme elles l’entendent, ou presque, de creuser leur avance, déjà considérable, au détriment de l’écosystème européen, et plus généralement de l’économie du vieux continent qui risque de ne pas s’en remettre. »
Les sources de l'application pour l'Identité Digitale Numérique Européenne (eIDAS sont maintenant en ligne. Sans grande surprise, c'est une application Android, qui dépend des Google Mobile Services (GMS). Ce qui est pire encore, c'est qu'elle recquiert une attestation forte de la part de Google, plus forte encore que ce que demandent les applications bancaires. Cela exclut les utilisateurs des distributions alternatives d'Android (LineageOS, e/OS, CalyxOS, GrapheneOS), même si les services Google sont installés.
Il faut donner ses données personnelles à (…)
Je suis en train de procéder à un changement de mon adresse e-mail (gmail --> mondomaine). je vais donc sur chaque site et j'effectue le changement en général sans problème mais avec des différences quand même :
- certains sites envoient un code/lien sur la nouvelle adresse e-mail pour la vérifier, mais pas tous, certains ne prenant même la peine d'envoyer un mail de confirmation sur la nouvelle adresse et d'avertissement sur l'ancienne
En revanche, sur certains sites (et non (…)
Un nouvel exemple de "tout ce qui se trouve dans une base de données finira par fuiter" :
Une fuite de données chez Discord a permis aux attaquants de récupérer des pièces d'identité ayant servi aux utilisateurs à prouver leur âge. Sachant que l'efficacité de la vérification de l'âge en ligne reste à prouver.
(liens en anglais)