Veille Juridique n°74 – août 2024.  

Telegram, Signal, WhatsApp… Quanto sono validi i servizi di messaggistica istantanea in un contesto professionale?

Nombreuses sont les réactions dans les médias à l’arrestation en France de Pavel Durov, le fondateur de l’application de messagerie Telegram.

Indépendamment des débats politiques sur le sujet, l’affaire nous donne l’occasion de faire le point sur la fiabilité des messageries instantanées.

Dans quelle mesure les informations échangées sont-elles effectivement confidentielles ? Ces applications se valent-elles, peuvent-elles être utilisées dans un contexte professionnel ?

La plupart des messageries instantanées se targuent aujourd’hui de chiffrer leurs communications.

Toutefois, la pratique diffère en fonction des messageries.

De nombreux utilisateurs de Telegram ont ainsi appris ces derniers jours que leurs communications n’étaient pas protégées par défaut.

Seules sont protégées les communications directes entre deux participants qui ont activé manuellement le chiffrement dans les options de leur conversation.

Précisons que Telegram n’utilise pas de chiffrement open-source comme par exemple le protocole Signal, mais s’appuie sur une technologie « maison » qu’il est impossible de vérifier. 

Les discussions de groupes (ou canaux de discussion) ne peuvent être chiffrés, et Telegram peut donc avoir accès à leur contenu ainsi qu’aux informations concernant les membres et les administrateurs de ces groupes.

Les échanges s’apparentent ici davantage à ceux d’un réseau social qu’à celui d’une messagerie.

Or Telegram est mis en cause depuis des années déjà pour son manque de modération des canaux de discussion, pour avoir ignoré les demandes de nombreux gouvernements de supprimer des contenus illégaux et avoir refusé de communiquer des informations sur des délinquants potentiels.

Ces obligations de modération et de coopération avec les forces de l’ordre sont prévues par la loi française et le règlement européen sur les services numériques.

C’est dans ce contexte que son fondateur a été arrêté pour absence de coopération et complicité de crime organisé.

Cette obligation de coopération a néanmoins des limites : ainsi, une communication chiffrée de bout en bout reste confidentielle et ne pourra être interceptée par un tiers, qu’il s’agisse du fournisseur de messagerie, d’un gouvernement ou d’un hacker.

Certains états s’inquiètent de la généralisation du chiffrement, et font pression pour des modifications réglementaires qui permettraient de le contourner.

C’est le cas en particulier dans le contexte du projet de règlement européen sur les abus sexuels concernant les enfants (CSA).

Cette pression pour affaiblir la confidentialité des communications provoque de nombreuses réactions des défenseurs des libertés individuelles et des autorités de protection des données, pour qui elle équivaudrait à une surveillance généralisée des communications privées, porterait atteinte à la sécurité numérique en brisant le cryptage et n’apporterait aucune preuve qu’elle atteindrait même son objectif de protection des enfants.

Dans l’état actuel du droit et de la technologie, il est vivement conseillé d’utiliser une messagerie cryptée de bout en bout pour échanger des messages professionnels, ceci d’autant plus que le contenu du message est sensible (par exemple, données médicales ou financières).

Et sur ce plan, toutes les applications ne se valent pas. Si le contenu du message est protégé, le chiffrement n’empêche pas la collecte de certaines données d’identification et/ou de connexion concernant les utilisateurs.

Une prudence particulière est en tous les cas recommandée lors de l’utilisation de groupes de discussion.

L’utilisation de groupes WhatsApp pour échanger des données sensibles dans un contexte professionnel a ainsi valu à un responsable de traitement d’être sanctionné par une autorité de protection des données.

Signal est généralement reconnu comme fournissant un niveau élevé de protection, mais il n’est pas le seul.

On peut par exemple mentionner Threema E Olvid qui ont le mérite d’être européennes. Elles ont par contre l’inconvénient d’être encore peu connues. Au sein d’une entreprise, de telles messageries peuvent toutefois constituer une alternative intéressante.

NB / De nombreuses analyses détaillent les points faibles et les points forts des applications de messagerie. Citons par exemple celle de Orange cyberdefense,  https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Pour une analyse plus complète de ce que les forces de l’ordre peuvent obtenir d’un service de messagerie, on peut lire ce document de formation du FBI obtenu à la suite d’une demande déposée en vertu de la loi américaine sur la liberté de l’information par Property of the People, une asbl américaine qui se consacre à la transparence gouvernementale : https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins a indiqué le 2 septembre que la CNIL avait donné son aval à la constitution par l’association d’un entrepôt de données, baptisé « Contact ».

Selon SOS médecins, Contact est « dédié aux soins non programmés et à l’amélioration de l’accès aux soins, (et) favorisera la recherche et l’innovation en santé.

Il consolidera de manière sécurisée et confidentielle les données des millions de patients traités chaque année au sein des 64 associations de la fédération ».

Ces données devraient selon la fédération être réutilisées au bénéfice des patients pour améliorer les pratiques et optimiser les prises en charge.

L’université Paris-Saclay a annoncé avoir été visée par une attaque par ransomware le 11 août. Cet incident a eu lieu une semaine après une autre cyberattaque contre plus de 40 établissements culturels en France : les cybercriminels se seraient infiltrés dans le système informatique commun à la « Réunion des musées nationaux – Grand Palais », qui centralise toutes les données financières de ces établissements, et menaçaient de diffuser les données sous 48 heures en cas de non-paiement de la rançon.

Selon l’Usine digitale,  les 36 boutiques gérées par le réseau ont été impactées et les systèmes ont été débranchés. Une enquête a été lancée par le Parquet de Paris.

 

istituzioni e organismi europei

La Commission européenne a ouvert une consultation jusqu’au 30 septembre sur la protection des mineurs en ligne, en particulier dans le contexte du règlement sur les services numériques (DSA) et du signalement de matériel pédopornographique (CSAM).

En vertu du DSA, la Commission doit élaborer des lignes directrices afin d’aider les plateformes en ligne concernées à respecter les exigences en matière de protection de la vie privée et de sécurité des mineurs.

« Ces lignes directrices fourniront une liste non exhaustive de bonnes pratiques et de recommandations aux fournisseurs de plateformes en ligne afin de les aider à réduire les risques liés à la protection des mineurs. Les lignes directrices aideront également la Commission et les coordinateurs des services numériques à superviser les plateformes et à faire respecter le DSA. »

La Commission européenne publiera à l’automne son premier rapport sur le fonctionnement du « Data Privacy Framework » (DPF) entre l’Union européenne et les États-Unis. Une réunion d’évaluation bilatérale s’est tenue à ce sujet en juillet, et la Commission a par ailleurs ouvert une consultation publique permettant de lui faire parvenir tout commentaire jusqu’au 6 septembre.

La Chine et l’UE ont entamé des discussions concernant les transferts de données dans le cadre d’un nouveau « mécanisme de communication sur les flux de données transfrontaliers ». Selon la Commission européenne, le mécanisme vise à trouver des moyens de faciliter les transferts transfrontaliers de données non personnelles pour les entreprises européennes, ainsi que leur conformité avec les lois chinoises sur les données.

 

Notizie dai paesi membri dell'Unione Europea.

En Allemagne, la cour d’appel de Francfort a ordonné à Microsoft de s’abstenir de placer et de stocker des cookies sur les appareils de la personne concernée sans son consentement, même si cela implique que Microsoft cesse de placer tout cookie de suivi.

Cette décision semble aller dans le sens d’une décision récente d’un tribunal néerlandais qui a interdit à Microsoft, LinkedIn et Xandr de placer des cookies de suivi sans le consentement de l’utilisateur et a imposé une pénalité de 1 000 euros par entreprise pour chaque jour de non-respect de la décision (via GDPRhub).

L’autorité de protection des données (APD) belge a rejeté une plainte déposée par une personne concernée après une violation de données. Elle a estimé que les mesures techniques et organisationnelles prises par le responsable du traitement en vertu de l’article 32 du RGPD étaient appropriées.

L’APD danoise a estimé que pour qu’il y ait consentement libre et explicite à l’utilisation de la reconnaissance faciale pour l’accès à un centre de fitness, la personne concernée doit disposer d’autres méthodes de vérification qui n’impliquent pas le traitement des données biométriques.

En Espagne, l’APD a infligé une amende de 145 000 euros à un responsable du traitement après le vol d’une clé USB non chiffrée contenant des données à caractère personnel relatives à une procédure pénale. Elle a constaté une violation du principe de confidentialité, même s’il n’y avait aucune preuve que les données avaient été consultées.

En Italie, l’APD a infligé une amende de 20 000 euros à une municipalité qui avait illégalement publié les noms des participants non retenus lors d’une procédure de sélection publique. En outre, la municipalité n’avait pas conclu d’accord contraignant avec son sous-traitant, ce qui constitue une violation de l’article 28(3) du RGPD.

L’APD a également infligé une amende d’un million d’euros à un fournisseur de télécommunications qui avait contacté ses clients à des fins de prospection commerciale sans avoir obtenu de consentement valable. L’autorité de protection des données a estimé qu’un responsable du traitement ne pouvait pas invoquer l’intérêt légitime pour effectuer des appels téléphoniques à des fins de prospection auprès de ses clients.

Le 22 juillet, en coopération avec la CNIL, l’APD néerlandaise a prononcé à l’encontre des sociétés Uber B.V. (basée aux Pays-Bas) et Uber technologies INC. (basée aux Etats-Unis) une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.

La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme. L’APD néerlandaise a constaté que les traitements de données personnelles des chauffeurs pour lesquels Uber B.V. et Uber Technologies INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. Entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework), ces transferts n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD. Uber a annoncé son intention de contester en appel cette décision qu’il considère comme infondée.

L’APD néerlandaise a aussi imposé le 3 septembre à Clearview AI une amende de 30,5 millions d’euros, assortie d’une sanction pour non-conformité de plus de 5 millions d’euros. Clearview a notamment constitué une base de données illégale contenant des milliards de photos de visages, y compris de néerlandais. L’APD impose en outre une interdiction d’utiliser les services de Clearview. La société ne montrant aucune volonté de modifier ses pratiques, l’APD  indique qu’elle explore différents recours, dont la possibilité de tenir les dirigeants de l’entreprise personnellement responsables de ces violations.

L’Université norvégienne des sciences et de la technologie (NTNU) a publié un rapport intitulé « Piloting Copilot for Microsoft 365 » sous les auspices des « bacs à sable » de l’autorité norvégienne de protection des données.

L’université a testé le service d’intelligence artificielle Copilot de Microsoft et a publié 8 conclusions principales au début de l’été 2024, utiles avant de se lancer dans l’utilisation de ce nouveau service.

L’APD slovène a considéré qu’une école peut refuser partiellement de donner suite à une demande d’accès déposée par un parent, si la divulgation de certaines données peut nuire à l’intérêt supérieur du mineur.

Le 14 août, la Suisse a adopté une décision d’adéquation pour les États-Unis, permettant le transfert de données vers les entreprises certifiées dans le cadre d’un « data privacy framework » Suisse-Etats-Unis.

La Suisse rejoint ainsi l’Union Européenne et le Royaume-Uni qui autorisent les organisations à transférer les données personnelles de leurs résidents vers les États-Unis dans des conditions similaires.

L’ONG noyb alertait les médias ce 12 août au sujet du réseau social  « X », qui a commencé à utiliser illégalement les données personnelles de plus de 60 millions d’utilisateurs dans l’UE/EEE pour former sa technologie d’IA (« Grok ») sans leur consentement.

Contrairement à Meta (qui a récemment dû mettre fin à son entraînement d’IA dans l’UE), Twitter n’a pas selon l’ONG informé ses utilisateurs à l’avance. La Commission irlandaise de protection des données a entamé une procédure judiciaire contre X, et noyb a de son côté porté plainte dans neuf pays européens afin de mettre fin à ces pratiques. L’engagement de « X » de ne plus utiliser ces données est finalement intervenu alors que la nouvelle version de « Grok » est aujourd’hui disponible. Selon l’ONG, le modèle d’IA a bien été entraîné entre-temps avec des données de l’UE.

 

Au Royaume-Uni, un responsable de traitement a été réprimandé pour n’avoir pas effectué d’analyse d’impact sur la vie privée conformément à l’article 35 du RGPD britannique avant de déployer un système de reconnaissance faciale dans une école. Le responsable du traitement n’avait pas non plus obtenu de consentement valable.

Les Nations-Unies et l’Organisation internationale du travail ont publié un rapport intitulé « Mind the AI Divide – Shaping a Global Perspective on the Future of Work » (La fracture de l’intelligence artificielle : une perspective mondiale sur l’avenir du travail).

Entre autres constats, le rapport mentionne que les progrès technologiques mettent en péril des emplois dans des secteurs tels que les centres d’appel et d’autres types d’externalisation des processus d’entreprise qui sont répandus dans certains pays en développement.

Bien que certaines tâches de ces professions puissent potentiellement être automatisées, le document ajoute que la plupart d’entre elles requièrent encore une intervention humaine. « Une telle automatisation partielle pourrait permettre des gains d’efficacité, en permettant aux humains de consacrer plus de temps à d’autres domaines de travail. »

Un juge fédéral américain a considéré le 5 août dernier que Google détenait un monopole illégal sur la recherche sur internet. La Cour a conclu que « Google a violé la section 2 du Sherman Act en maintenant son monopole sur deux marchés de produits aux États-Unis – les services de recherche générale et la publicité textuelle générale – par le biais de ses accords de distribution exclusive. »

Le Nigeria a publié en août dernier sa « stratégie nationale en matière d’IA ».

On y lit notamment que : « Le Nigeria et le continent africain au sens large possèdent certains des défis et des opportunités les plus distinctifs et les plus convaincants auxquels l’IA pourrait répondre. De l’optimisation de l’agriculture dans des climats divers à l’amélioration des infrastructures de santé publique, les solutions d’IA développées localement, adaptées aux réalités locales, sont bien mieux équipées pour résoudre ces défis que les modèles imposés de l’extérieur, créés pour un contexte et des personnes totalement différents. (…) De nombreux ensembles de données au Nigéria souffrent d’inexactitudes, d’incomplétude et d’un manque de normalisation. La qualité des données doit être améliorée pour garantir la fiabilité et l’efficacité des algorithmes d’IA, qui ont besoin de données propres et précises pour fonctionner de manière optimale. »

« X » a suspendu ses activités au Brésil après des mois de conflit avec le juge de la Cour suprême.

Le 31 août, le juge a ordonné l’interdiction de X et le gel des actifs de la société spatiale Starlink d’Elon Musk. Cette décision fait suite à une enquête de plusieurs mois sur la diffusion d’informations fausses et diffamatoires via le réseau social, ainsi qu’à une enquête supplémentaire sur Musk pour obstruction présumée à la justice.