GDPR : l'amende n'est pas votre plus grand risque

Lorsque des professionnels parlent du GDPR (ou RGPD en français), le premier élément qu’ils évoquent est l’amende. En Suisse en particulier, cette amende fait peur, car la législation actuelle sur la protection des données ne permet pas aux autorités, notamment le Préposé fédéral à la protection des données, d’infliger des sanctions administratives. Cette amende est d’ailleurs devenue l’argument de vente principal pour des solutions logicielles censées “mettre une société en conformité avec le GDPR” (elles sont d’ailleurs à éviter). On se sert de l’amende comme d’un épouvantail alors qu’elle n’est pas ce qu’une société suisse ou étrangère devrait craindre le plus.

Non, n'envoyez pas des photos de vous nu-e à Facebook

J’ai l’impression que Facebook veut jouer au pompier, mais vous recommande d’asperger votre maison d’essence pour vous faire sentir mieux.

Le titre de cet article semble tomber sous le sens pour beaucoup d’entre vous, dont je fais partie. Pourtant, on a appris dernièrement que Facebook travaillait avec le gouvernement australien sur un projet de lutte contre le “revenge porn” (une pratique détestable dont j’ai parlé ici en 2016).

L’idée de Facebook est la suivante et emprunte une technique utilisée pour lutter contre la distribution sur Internet d’œuvres protégées par le droit d’auteur. Dans ce contexte, une plateforme comme YouTube peut, encore aujourd’hui, difficilement empêcher que des œuvres protégées soient uploadées sur la plateforme. Par contre, une fois que ces œuvres ont été signalées puis supprimées, YouTube peut empêcher qu’elles réapparaissent. En effet, avant la suppression de l’œuvre, YouTube aura pris une empreinte unique de la vidéo permettant de l’identifier : on appelle cela un “hash” ou somme de contrôle. Ainsi, la vidéo sera bloquée par YouTube si on essaie de l’uploader à nouveau ; la technologie permet d’ailleurs aujourd’hui de bloquer un contenu même s’il a été modifié afin que son empreinte soit différente. Des bases de données contenant de grandes quantités de ces empreintes (comme PhotoDNA) sont d’ailleurs partagées par Facebook, Google et Twitter afin d’éviter, dans le cas de PhotoDNA, que des images pédopornographiques apparaissent sur leurs plateformes.

10 mythes sur la vie privée sur Internet

Comme n’importe quel autre thème, celui de la vie privée sur Internet est sujet à des mythes ou croyances. Je vous propose ici de discuter certains des plus persistants que j’ai entendus ici et là.

1. Seules les personnes qui ont quelque chose à cacher doivent se préoccuper de leur vie privée. Faux, nous sommes tous concernés. Il s’agit in fine de décider à quel point nous permettons aux sociétés privées et à l’État d’avoir du pouvoir sur nos vies, nos décisions, etc. La collecte de données personnelles et la surveillance ont des effets néfastes sur le comportement des gens, vous y compris. Vous ne direz pas la même chose ou ne vous comporterez pas de la même façon si vous savez (ou que vous soupçonnez) que vous êtes écoutés ou surveillés. Ces pratiques ont des effets négatifs sur la confiance et la liberté individuelle, dont l’une des composantes est celle de ne pas avoir à se justifier pour chaque action. Pour un plus long développement, voir les articles On veut vous faire croire que vous n’avez rien à cacher, Non, la surveillance de masse ne sert à rien et ne vous protégera pas !

   continuer la lecture

La vie privée : une préoccupation de riches ?

Dans l’Antiquité grecque, il y avait une distinction entre la vie publique (Κοινός, qu’on peut rapprocher de la res publica romaine) et privée (ἴδιος, qui appartient en propre à quelqu’un). Étymologiquement, le mot français “idiot” nous vient, par le latin, du grec idiôtès qui signifie “simple particulier”, “homme de condition modeste”, ou “homme sans éducation, ignorant”. Ainsi, en comparaison des individus qui s’engageaient dans la vie publique et qui faisaient partie d’une classe sociale plus élevée ou en fréquentaient les membres et accroissaient leur notoriété, les autres restaient dans l’idiôtès.

10e Journée suisse du droit de la protection des données

Les 1-2 juin 2017 aura lieu la 10e Journée suisse du droit de la protection des données à l’Université de Fribourg. Ce colloque sera placé sous le thème de l’impact des principes juridiques “traditionnels” à l’ère numérique. L’accent sera ainsi mis sur les défis actuels qui se posent en droit de la protection des données tant d’un point de vue technique que juridique.

À ma grande surprise, j’ai été invité à participer à cette journée au cours de laquelle interviendront entre autres les Préposé fédéral et Préposé fédéral suppléant à la protection des données, ainsi que de nombreux docteurs en droit, avocats et professeurs.

Talk à Lausanne le 25.10.16 : Startup, données et sécurité

Mes amis de la Swiss Tech Association m’ont invité pour animer un “talk” le 25 octobre 2016 à 19 heures au Work’n’Share (Rue du Liseron 7, Lausanne) sur le thème des données dans une startup.

Au menu, je partagerai mes expériences et parlerai en particulier

• un peu de la LRens et des changements qu’elle va induire ;
• des engagements que la startup peut ou doit prendre envers ses clients relativement aux données ; et
• des bonnes pratiques pour protéger et sécuriser ces données.

L’éclairage sera essentiellement général avec des zestes de technique et de droit. Je me ferai ensuite un plaisir de répondre aux questions et de débattre avec le public.

Le peuple suisse plébiscite démocratiquement sa propre surveillance

Les USA en auraient rêvé, la Suisse l’a fait. Les Suisses sont le premier peuple au monde à avoir voté sur une loi qui prévoit une surveillance générale des télécommunications, et à l’avoir acceptée. En d’autres termes, la surveillance de masse est aujourd’hui légitimée démocratiquement.

Je trouve cela grave et très dangereux. Le gouvernement a aujourd’hui les coudées franches. Heureusement que les Suisses n’ont rien à cacher lorsqu’il s’agit d’assurer leur “sécurité”.

Quelques points noirs de la LRens

Après mon (très) long article sur le caractère pernicieux de l’aphorisme “je n’ai rien à cacher”, je vous propose aujourd’hui de prendre quelques articles de la Loi fédérale sur le renseignement (LRens). Les Suisses voteront le 25 septembre 2016 pour accepter ou refuser cette loi.

À l’instar des votations sur les minarets et sur l’immigration de masse, les défenseurs de la LRens se servent de la peur de la population, le terrorisme étant leur argument principal. Très peu d’entre vous vont lire ce que contient la LRens. Je vous propose donc de faire un court passage en revue de ce qui pose problème, à mon avis.

On veut vous faire croire que vous n'avez rien à cacher

Plusieurs événements survenus en 2015 et 2016 ont fait resurgir, pour la énième fois, et de manière tristement dramatique, les défaillances de la (vidéo)surveillance (de masse). Ou plutôt, son inutilité, son incapacité à protéger, à remplir sa mission. Pourtant, on en veut toujours plus et on ne compte plus le nombre de fois où tant les autorités que les individus et sociétés privées déclarent que si on n’a rien à cacher, on n’a rien à craindre. Ou l’on peut être surveillé et traqué, car on n’a rien à cacher.

Facebook & Cie, maintenant ça suffit !

Si vous doutiez encore que certaines grandes sociétés médiatico-technologiques comme les GAFA (Google, Apple, Facebook, Amazon) se fichent de nous, foulent aux pieds nos règles légales sur la protection des données et cherchent à se faire de l’argent par tous les moyens, ne doutez plus. Facebook a récemment et allègrement franchi un pas dans l’illégalité.

Facebook se fiche de nous

Le 26 mai 2016, Facebook a annoncé, par le biais d’un article transpirant la bonne humeur, qu’il allait désormais diffuser de la publicité à tous les internautes, y compris ceux qui ne sont pas inscrits sur le réseau social.