Pegasus - spyware die de wet tart.

Juridische Watch nr. 37 – Juli 2021

Pegasus – spyware die de wet uitdaagtIn juli onthulde het Pegasus-project de ongekende impact van Israëlische spyware op het gebied van surveillance. Deze spyware kan smartphones met iOS of Android afluisteren en er gegevens uit halen.

Dit is de conclusie van een internationaal onderzoek uitgevoerd door de NGO Forbidden Stories, met de hulp van Amnesty International en het Citizen Lab van de Universiteit van Toronto, en 17 grote internationale media, waaronder Le Monde en The Guardian.

Hoewel er in het verleden al over de software is gesproken, bieden recente gegevens een beter inzicht in de mate waarin toezicht mogelijk is zonder dat smartphonegebruikers hiervan op de hoogte zijn.

Er zouden ongeveer 50.000 doeltelefoonnummers zijn geselecteerd, waaronder duizend in Frankrijk, van actoren uit het maatschappelijk middenveld, journalisten en politici.

Onder de 55 landen die klant zijn van NSO, dat de software op de markt brengt, bevinden zich Saoedi-Arabië, de Verenigde Arabische Emiraten, India, Hongarije, Rwanda, Mexico en Kazachstan.

NSO hanteert een strikt ethisch beleid en werkt alleen samen met inlichtingen- en wetshandhavingsdiensten om criminaliteit, terrorisme, drugshandel en pedofilie te bestrijden.

Deze beschuldigingen, en ook de toezeggingen van de eigenaar van de software, roepen praktische en juridische vragen op.

Ook al worden garanties al vóór de marketing aangeboden, wat zijn dan de echte middelen om te garanderen dat het contractuele kader tussen de NSO en haar officiële klanten wordt nageleefd en om te voorkomen dat deze worden gebruikt door onbevoegde partijen en bijvoorbeeld tegen politieke of maatschappelijke "doelen"?

Het bijzonder indringende en onopgemerkte karakter van deze technologie roept vragen op over de regulering van bewakingstechnieken in de internationale en Europese context.

In Europa beschikt de wetshandhaving weliswaar over specifieke onderzoeksbevoegdheden, maar deze worden strikt gereguleerd door de AVG en door nationale wetten die de Europese richtlijn inzake "politie- en justitie" van 27 april 2016 omzetten.

In Frankrijk is dit Hoofdstuk XIII van de Wet bescherming persoonsgegevens.

Gegevensverwerkingen die meer specifiek worden uitgevoerd door de staatsveiligheid of de landsverdediging, vallen niet onder de Europese richtlijn, maar blijven in Frankrijk onderworpen aan de wet op de gegevensbescherming.

Het heimelijk introduceren van spyware in computersystemen kan alleen worden toegestaan onder specifieke wettelijke bepalingen.

De materie wordt geregeld door de wetten nr. 2015-912 van 24 juli 2015 betreffende inlichtingen en nr. 2017-1510 van 30 oktober 2017, bekend als de SILT-wet.

De CNIL wijst er bovendien op dat er sprake moet zijn van elementen die een concrete bedreiging vormen voor de lichamelijke integriteit, het leven of de vrijheid van personen, of die een aanval vormen op de fundamentele belangen van de natie.

Indien de rechtsbeginselen van toepassing zijn, heeft de CNIL daarentegen geen enkele bevoegdheid om de uitvoering van de dossiers van de inlichtingendiensten te controleren.

In zijn recente adviezen over het wetsvoorstel betreffende het voorkomen van terroristische aanslagen en het doen van inlichtingenwerk (waarover nu is gestemd) herhaalde het zijn verzoek om zijn controlebevoegdheden op een wijze te kunnen uitoefenen die is aangepast aan de nieuwe onderzoekstechnieken.

Zij riep ook op tot het versterken van de bevoegdheden van de Intelligence Techniques Control Commission (CNCTR).

Zowel de CNIL als het Europees Comité voor gegevensbescherming benadrukken het belang van effectief toezicht op het gebied van inlichtingen en staatsveiligheid, met name in de context van steeds ingrijpender verwerking, in combinatie met de ontwikkeling van geavanceerde technologieën die geen grenzen kennen.

Deze vereisten behoren tot de criteria die het Comité aanhaalt in zijn recente aanbevelingen over de essentiële garanties die derde landen aan de EU moeten bieden op het gebied van toezicht.

Ze zijn bedoeld om Europese gegevens te beschermen tegen onevenredige inmenging bij internationale doorgifte.

Aangezien communicatiegegevens steeds gemakkelijker kunnen worden onderschept, rijzen er fundamentelere vragen over de technische maatregelen die moeten worden genomen om deze risico's te beperken.

In het persbericht van 9 maart 2021 over de ePrivacy-verordening benadrukt het Europees Comité de noodzaak om de vertrouwelijkheid van gegevens gedurende het hele communicatieproces te handhaven en de gegevens te versleutelen.

In hetzelfde perspectief rijst de vraag of het wenselijk is om "achterdeurtjes" in communicatieterminals te handhaven voor inlichtingendoeleinden, omdat anders het risico bestaat dat er meer misbruik en verduistering van gegevens plaatsvindt, waar we geen controle meer over hebben.

En ook

Frankrijk:

De CNIL heeft haar standpunt gepubliceerd over de verplichte verlenging van de ‘gezondheidspas’ op bepaalde plaatsen.

Zonder het principe ervan in twijfel te trekken, herinnert het eraan dat het gebruik ervan moet worden beperkt in een context van aantoonbare noodsituatie op het gebied van de volksgezondheid. Tevens verzoekt het om een evaluatie van het systeem door het parlement in het najaar en benadrukt het de ethische aspecten van het probleem, die verder gaan dan kwesties van gegevensbescherming.

Zij verzoekt de wetgever rekening te houden met "de risico op gewenning en trivialisering van dergelijke apparaten die de privacy schenden en van een verschuiving, in de toekomst, en mogelijk om andere redenen, naar een samenleving waarin dergelijke controles de norm zouden zijn en niet de uitzondering."

Ook in verband met de gezondheidscrisis heeft de CNIL de principes benadrukt die in acht moeten worden genomen bij het verstrekken van de lijst van niet-gevaccineerde patiënten aan artsen.

Twee sancties zijn het vermelden waard., opgelegd door de CNIL op 22 en 28 juli tegen

• aan de ene kant van de AG2R La Mondiale-groep voor een bedrag van 1,75 miljoen euro wegens het niet nakomen van de AVG-verplichtingen met betrekking tot het bewaren van gegevens en het informeren van individuen,
• en aan de andere kant van de Monsanto Company voor een bedrag van 400.000 euro, omdat hij de personen die in een lobbydossier stonden, niet had geïnformeerd.

ANSSI en DINSIC publiceren een gids die op een praktische en concrete manier uitlegt hoe flexibiliteit en beveiliging bijdragen aan een veilige ontwikkeling van projecten en het beheer van digitale risico's.

De gids biedt progressieve ondersteuning, workshop na workshop, concrete voorbeelden en methodebladen.

Europa:

Amazon heeft zojuist een recordboete van € 746 miljoen gekregen van de Luxemburgse autoriteit voor gegevensbescherming. wegens het niet naleven van de beginselen van de AVG, en in het bijzonder wegens het op de doelgroep richten van reclame zonder toestemming van de betrokkenen.

Deze beslissing van 15 juli volgt op de collectieve klacht ingediend door de vereniging voor burgerrechten

La Quadrature du Net heeft een klacht ingediend bij de Franse CNIL, waarbij de klacht gericht is aan de Luxemburgse autoriteit vanwege de locatie van Amazons hoofdkantoor in Luxemburg. Het bedrijf heeft aangekondigd in beroep te gaan tegen deze beslissing.

De Autoriteit Persoonsgegevens heeft TikTok een boete van € 750.000 opgelegd, bij gebrek aan duidelijke informatie over de gegevensverwerking.

De informatie was alleen in het Engels beschikbaar en werd door kinderen, de belangrijkste gebruikers van de applicatie, als onbegrijpelijk beschouwd.

Internationaal :

VERENIGDE STATEN: Het National Institute of Standards and Technology (NIST) heeft een gids gepubliceerd voor het identificeren en beheersen van vooroordelen in kunstmatige intelligentie: “een voorstel voor het identificeren en beheersen van vooroordelen binnen kunstmatige intelligentie”.

Zoom heeft ermee ingestemd om 85 miljoen dollar te betalen om een rechtszaak in de Verenigde Staten te schikken.

Het werd ervan beschuldigd de gegevens van zijn gebruikers te delen en hen niet te beschermen tegen bepaalde computeraanvallen ('zoombombing').

Het bedrijf streeft ernaar zijn werknemers te trainen in gegevensbescherming en zijn veiligheidsmaatregelen te versterken.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.