Archives par mot-clé : RGPD

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le par

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Data Transfer Initiative, cofondée par Google, Apple et Meta, accélère

Publié le par

Depuis que le DMA et le Data Act, sur fond de RGPD, sont entrés en vigueur dans l’Union européenne, les grandes plateformes numériques s’organisent pour mettre en pratique la portabilité des données. Google, Apple et Meta accélèrent dans ce domaine via la Data Transfer Initiative (DTI).

Permettre aux utilisateurs de réaliser des transferts de données simples, rapides et sécurisés, directement entre les services. Telle est la promesse de l’organisation Data Transfer Initiative (DTI), basée à Washington et cofondée en 2018 par trois des GAFAM : Google, Meta et Apple. Ces travaux se sont accélérés avec l’entrée en vigueur le 1er janvier 2024 du Data Act (DA), le règlement européen sur « l’équité de l’accès aux données et de l’utilisation des données » (1), et le 7 mars 2024 du Digital Markets Act (DMA), le règlement sur les marchés numériques (2).

Transférabilité des photos, vidéos et musiques
Que dit le DMA au juste ? « Le contrôleur d’accès [gatekeepers] assure aux utilisateurs finaux et aux tiers autorisés par un utilisateur final, à leur demande et gratuitement, la portabilité effective des données fournies par l’utilisateur final ou générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné, y compris en fournissant gratuitement des outils facilitant l’exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données ». Tandis que le DA, lui, consacre le « droit à la portabilité des données » vis-à-vis non seulement des GAFAM (et tout gatekeepers) mais aussi des fournisseurs de services de cloud. La portabilité des données est également prévue par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 (3).
Aussi, sous la pression de l’Union européenne, les travaux de la DTI s’intensifient, comme l’explique Chris Riley (photo), le directeur de cette organisation américaine : « Longtemps considérée comme une question de niche – qualifiée étiquetée comme “un droit obscur des personnes concernées” –, la portabilité des données a pris beaucoup plus d’importance ces dernières années, notamment dans le règlement sur les marchés numériques et celui sur les données. Son impact va au-delà même des contextes de la protection des données et de la concurrence, allant jusqu’à la sécurité en ligne et la gouvernance de l’IA ». Car, toujours dans les Vingt-sept, le règlement sur l’intelligence artificielle (AI Act) est à son tour entré en vigueur, depuis le 1er août 2024 (4). La DTI a donc engagé des travaux sur la portabilité de l’IA personnelle, avec la collaboration de la start-up californienne Inflection (5) qui crée une IA personnelle pour tout le monde, baptisée Pi. Le 18 juin dernier, la DTI a partagé – à l’attention du nouveau Parlement européen – sa vison sur la politique de l’UE pour « responsabiliser les gens par la portabilité des données » et à travers cinq priorités : « Mettre en œuvre les lois existantes de manière efficace ; établir la confiance entre les fournisseurs ; promouvoir la neutralité technologique ; investir dans la sensibilisation et l’engagement ; évaluer la transférabilité dans la pratique, et non sur le papier » (6).

S’il y a un marché qui est en plein boom, c’est bien celui des VPN — grand public et entreprises

Publié le par

Le marché mondial des VPN, pour masquer son adresse IP afin de contourner anonymement les interdictions d’accès sur le Web, va presque tripler d’ici la fin de la décennie. Les offres prolifèrent dans un contexte de censures (notamment étatiques) et de géo-restriction (comme pour le droit d’auteur).

« La demande de VPN augmente dans le monde entier, constate encore aujourd’hui le site Top10VPN fondé par Antonio Argiolas (photo) pour tracker en direct les pics de demande de VPN dans tous les pays (1). Chaque fois que les gouvernements du monde entier tentent de contrôler la population en perturbant l’accès à Internet, les gens se tournent vers les VPN afin de contourner les restrictions ». Bien que les applications VPN gratuites soient attractives, il conseille de faire preuve de prudence et d’utiliser un VPN gratuit digne de confiance ou, dans la mesure du possible, un VPN premium payant.

La hausse de la censure profite aux VPN
Les VPN grand public, gratuits ou payants, tirent parti de cet engouement. NordVPN, ExpressVPN, Surfshark, CyberGhost, Proton VPN ou encore Private Internet Access (PIA) rivalisent avec les VPN des navigateurs web Firefox (Mozilla), Edge (Microsoft) ou Pixel VPN (ex-Google One VPN). Rien qu’en 2024, la demande en VPN a bondi au Brésil à la suite de la censure de X (ex-Twitter), qui a d’abord fermé ses bureaux dans le pays avant que la Cour suprême brésilienne ne confirme le 2septembre (2) l’interdiction d’accès au réseau social appartenant à Elon Musk (3). Même poussée de VPN au Venezuela, en Turquie, au Bangladesh, au Kenya ou encore en Birmanie. Les réseaux privés virtuels – ou Virtual Private Networks (VPN) – ont plus que jamais le vent en poupe.
Selon une étude réalisée en août par la société américaine Global Industry Analysts, le marché mondial des VPN devait bondir à 137,7 milliards de dollars de chiffre d’affaires d’ici 2030, contre 50,9 milliards en 2023. Cela représente une hausse annuelle moyenne de + 15,3 %. « La croissance du marché des VPN est attribuable à plusieurs facteurs, dont une sensibilisation accrue du public aux menaces de cybersécurité, des règlements stricts en matière de protection des données, et l’augmentation généralisée des accords de travail à distance depuis la pandémie de covid-19 », expliquent les analystes.

En prenant X en grippe, Thierry Breton crée un malaise au sein de la Commission européenne

Publié le par

Dix mois après sa première lettre du 10 octobre 2023 à Elon Musk pour lui rappeler les obligations de X (ex-Twitter) au regard du Digital Services Act (DSA), Thierry Breton lui a envoyé une seconde lettre le 12 août 2024. A force d’insister, le commissaire européen créé un malaise à Bruxelles.

Thierry Breton (photo) outrepasse-t-il ses fonctions de commissaire européen en charge du Marché intérieur ? C’est à se demander, tant le Français – que le président de la République française Emmanuel Macron souhaite voir reconduit dans ses fonctions pour le prochain mandat de la Commission européenne – se distingue en prenant parfois des initiatives sans se concerter avec ses collègues à Bruxelles. Il en va ainsi avec le second courrier en dix mois adressé le 12 août 2024 à Elon Musk pour rappeler à ce dernier les obligations du réseau social X (ex- Twitter) en Europe.

Thierry Breton désavoué face à Elon Musk
« Le timing et la formulation de la lettre n’ont été ni coordonnés ni convenus avec la présidente [Ursula von der Leyen] ou le collège [des commissaires européens] », a déclaré Arianna Podestà, porte-parole en cheffe-adjointe de la Commission européenne, selon sa déclaration faite au journal Le Monde. Et d’assurer : « La lettre [de Thierry Breton] ne voulait en aucun cas interférer avec les élections américaines. L’UE n’interfère pas dans des élections » (1). Pourtant, le courrier à Elon Musk daté du 12 août et signé par le commissaire européen au Marché intérieur fait explicitement référence à « la diffusion prévue sur votre plateforme X [en s’adressant à Elon Musk, ndlr] d’une conversation en direct entre un candidat à la présidence américaine et vous-même, qui sera également accessible aux utilisateurs de l’UE ».
Et Thierry Breton d’enfoncer le clou en mettant en garde le propriétaire de la plateforme X : « Nous surveillons les risques potentiels dans l’UE associés à la diffusion de contenu pouvant inciter à la violence, à la haine et au racisme en lien avec un événement politique – ou sociétal – majeur à travers le monde, y compris des débats et des interviews dans le contexte d’élections [en l’occurrence ici des élections américaines, ndlr] ». Dans cette lettre que la présidente de la Commission européenne ne cautionne pas, il est fait ainsi clairement référence à l’interview, prévu le lendemain, que Elon Musk fera lui-même de Donald Trump, candidat Républicain à l’élection présidentielle. L’« interférence » du commissaire européen Thierry Breton aurait pu être considérée comme de l’ingérence de la Commission européenne dans les affaires intérieures des Etats-Unis s’il n’y avait pas eu la mise au point de la porte-parole en cheffe-adjointe de l’exécutif européen. Désavoué par les services de la présidente Ursula von der Leyen, laquelle a été réélue le 18 juillet dernier par les eurodéputés pour un nouveau mandat, Thierry Breton a aussi reçu une réplique cinglante de la part du propriétaire de X.

Entraînement de modèles d’IA grâce aux données collectées par web scraping : les règles à suivre

Publié le par

Les plaintes à l’encontre de fournisseurs de systèmes d’IA se multiplient, que ce soit pour violation des droits de propriété intellectuelle ou pour manquements en matière de données à caractère personnel, notamment en lien avec leurs pratiques de collecte de données en ligne (web scraping).

Par Sandra Tubert et Laura Ziegler avocates associées, Algo Avocats

Afin de développer un système d’intelligence artificielle (IA) performant, il est nécessaire d’entraîner en amont les modèles qui le composent au moyen de vastes ensemble de données. Constituer ces ensembles de données d’entraînement représente donc un enjeu majeur pour les fournisseurs de systèmes d’IA. Plusieurs alternatives s’offrent à eux : utiliser les bases de données dont ils disposent en interne ; obtenir des licences auprès de titulaires de droits de propriété intellectuelle sur des contenus pertinents ; ou recourir au web scraping pour récupérer des données accessibles en ligne sur différents sites Internet.

Exception de Text and Data Mining
Cette troisième option, le web scraping (« moissonnage des données »), a connu un essor important ces dernières années. Pour autant, bon nombre d’acteurs récupèrent des données en ligne pour entraîner leurs modèles sans appréhender tous les enjeux et problématiques qui y sont attachés. Alors que plusieurs plaintes ou enquêtes d’autorités visent des fournisseurs de modèles d’IA à usage général pour des allégations de violation des droits de propriété intellectuelle ou de manquements au règlement général sur la protection des données (RGPD), l’entrée en vigueur prochaine du règlement européen sur l’intelligence artificielle – l’AI Act dont le texte final (1) a été signé le 13 juin 2024 – pourrait mettre en évidence les problématiques entourant les sources de données utilisées pour entraîner les modèles.