Category "Droit"

Pourquoi les USA et l'Europe n'ont pas la même vision de la vie privée ?

Par FCharlet @FCharlet @FCharlet — 2014-03-25T06:59:25

Les États-Unis et l'Europe semblent mal se comprendre en matière de protection des données. Il arrive par exemple qu'on entende ou lise de la part d'Européens que les États-Unis n'ont pas de loi sur la protection des données. Si les deux systèmes sont bel et bien différents, il n'est cependant pas certain que l'un soit meilleur que l'autre. Explications.

N.B. Cet article a aussi été publié sur le site de François Charlet.

Conception de la vie privée

Tout d'abord, il n'y a pas de divergence fondamentale dans la conception même de la vie privée entre les États-Unis et l'Europe.

L'art. 12 de la Déclaration Universelle des Droits de l'Homme stipule ceci :

Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Il est probable que la vie privée soit un élément plus sensible dans l'ADN des Européens que dans celui des Américains. L'Histoire européenne, en particulier ce qui a trait à la Gestapo et au KGB soviétique, n'y est évidemment pas étrangère. Par exemple, l'Europe l'a consacrée comme un droit fondamental à l'art. 7 de la Charte des droits fondamentaux (la "Constitution européenne" en quelque sorte). Et on en retrouve à peu près la même substance dans chaque constitution de chaque pays de l'UE, y compris la Suisse. L'État a donc une responsabilité envers ses citoyens.

Aux États-Unis, le Bill of Rights 1 ne garantit pas explicitement le droit à la vie privée. Le mot "privacy" n'existe même pas dans la Constitution américaine. Il a plus ou moins implicitement été déduit du neuvième amendement par les tribunaux et la Cour Suprême.

L'énonciation dans la Constitution de certains droits ne devra pas être interprétée de façon à dénier ou à limiter d'autres droits conservés par le peuple. (9ème amendement)

Alors que l'UE a une conception de la vie privée axée sur la participation active et la coopération des autorités avec le secteur privé, les États-Unis – où l'économie est plus orientée vers le consommateur qu'en Europe – donnent plus de liberté à la corporate governance.2

L'élément sécuritaire joue un rôle énorme depuis les attentats du 11 septembre 2001. Pendant que l'UE se chargeait de renforcer les libertés individuelles, les États-Unis s'armaient du Patriot Act. Cet élément à lui seul a créé un gouffre systémique et culturel entre l'UE et les États-Unis : les valeurs ont très rapidement évolué, ainsi que le rôle du gouvernement et, plus important encore, la notion même de vie privée.

Implémentation

On ne se trouve pas devant une différence philosophique sur la conception de la vie privée, mais plutôt sur la manière de la protéger et de l'implémenter. Les principes en eux-mêmes sont similaires des deux côtés de l'Atlantique. Ce sont surtout les façons de penser qui divergent.

En Europe, l'UE et les différents États donnent, en règle générale, plus de droits à leurs citoyens en adoptant des directives et lois générales couvrant la quasi-totalité de la matière, puis en colmatant les vides ou en précisant certains éléments au moyen de lois spéciales. Les Européens bénéficient donc, sur le papier en tout cas, d'un grand nombre de garde-fous qui protègent et assurent leur vie privée.

Les États-Unis, à l'inverse, n'ont pas de loi générale, globale. Il n'y a pas d'équivalent américain de la directive 95/46/CE ou de la loi fédérale sur la protection des données (LPD) en Suisse. L'approche américaine est ad hoc, c'est-à-dire qu'il y a des dispositions sur la protection des données dans chaque loi ou réglementation pour chaque domaine (s'il y a des considérations à prendre en compte pour protéger la vie privée, évidemment) ; ces dispositions sont issues des lois, de l'autorégulation 3 et des diverses réglementations publiques 4. En gros, le système juridique américain de la protection de la vie privée est un patchwork.

Pour en revenir à la façon de penser des uns et des autres, on pourrait voir les Européens comme plus idéalistes que les Américains, ces derniers étant plus pragmatiques que les premiers.

Ce pragmatisme se traduit, par exemple, par le souci pour les entreprises américaines d'être "blindées" au cas où une class action serait lancée à leur encontre. Il est effectivement important pour ces sociétés de rédiger des politiques de confidentialité suffisamment claires et transparentes. Cela leur évitera d'être accusées et trainées devant les tribunaux par une cohorte de consommateurs qui estiment avoir été induits en erreur. Cette peur bleue de la class action s'explique en particulier par le fait que les dommages en terme de réputation peuvent être colossaux, à l'instar des dommages et intérêts à payer (de l'ordre des millions de dollars, voire des milliards).

En Europe, ce genre de cas est pratiquement inexistant en matière de vie privée. Plutôt que d'agir eux-mêmes, les citoyens européens (et suisses) ont la possibilité de se plaindre à leur autorité de protection des données. Cependant, le pouvoir de sanction de ces dernières n'est de loin pas aussi dissuasif qu'une class action ou qu'une intervention de la Federal Trade Commission (qui s'implique de plus en plus dans le domaine de la protection des données).5 Autant dire que les sanctions que peuvent prendre les autorités européennes de protection des données sont minuscules (et plus rares) en comparaison. Et encore faut-il qu'elles les prennent car l'application des directives par ces autorités n'est pas très efficace.

Aperçu des bases légales

Union européenne

La clé de voute de la législation européenne sur la protection des données est la directive 95/46/CE. Elle est complétée par la directive 2002/58/CE.

La directive 95/46/CE s'applique au traitement automatique de données personnelles et aux données contenues ou appelées à figurer dans un fichier papier. La directive ne s'applique pas au traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques, ni aux traitements de données mis en œuvre pour l'exercice d'activités comme la sécurité publique, la défense ou la sûreté de l'État. Elle établit une série de principes fixant les conditions d'un traitement licite.

La directive 2002/58/CE a pour but de protéger les données personnelles dans le domaine des télécommunications et des technologies de l'information. Elle règle en particulier les questions relatives aux cookies, spywares, communications non sollicitées (spam), à la sécurité des traitements de données, la confidentialité des communications, et la rétention des données (métadata).

États-Unis

Au niveau fédéral, les dispositions sur la vie privée sont sectorielles. Ainsi, certains domaines sont concernés, d'autres non. Par exemple, trois lois fédérales sont particulièrement importantes en la matière : le Children's Online Privacy Protection Act (COPPA), le Health Insurance Portability and Accountability Act (HIPAA) et le Fair and Accurate Credit Transaction Act (FACTA).

Au niveau des États, il existe également (mais pas partout) des bases légales sur la protection de la vie privée.

Conclusion

Il est difficile de répondre à la question "quel est le meilleur système". Les divergences culturelles et historiques créent des écarts entre les valeurs et les attentes des citoyens des deux continents.

Les règles aux États-Unis sont restrictives en ce qui concerne la collecte de données médicales et financières, alors qu'elles sont très larges et souples en ce qui concerne le marketing. Cela a le mérite de promouvoir l'innovation, mais on peut se demander si le marché ne devrait pas s'effacer un peu plus pour laisser un peu de place au citoyen et à ses droits. La dernière tentative de la Maison-Blanche pour y arriver était le Consumer Privacy Bill of Rights, mais il ne constitue finalement qu'un code de conduite volontaire à l'attention des marchés.

A l'évidence (du moins pour les Européens), l'approche européenne a de nombreux avantages, notamment celui d'être cohérent et structuré, tant dans l'espace que dans le temps, ce qui permet d'assurer et de faciliter les flux de données au niveau international. Elle est pourtant vue comme lourde et contraignante par les États-Unis qui offrent à leur marché une certaine agilité.

Il y a quelques jours, le Parlement européen a adopté un rapport pour renforcer et mettre à jour les directives concernant la protection des données. Cela aura un impact certain sur les relations avec les États-Unis qui devront s'adapter aux nouvelles règles plus strictes s'ils veulent pouvoir traiter les données des citoyens de l'UE.

Le véritable test sera, pour les États-Unis et l'UE, de ne pas agrandir le fossé entre eux. Des changements pourraient être exigés du côté de Google et Facebook notamment... Il n'est pas certain que l'accord Safe Harbor reste en vie bien longtemps en son état actuel.

Commentaire

En tant qu'Européen (pas de passeport, mais de culture), je reconnais avoir de la peine à estimer que le système américain protège efficacement la vie privée. Certes, la class action est un moyen de pression qui peut faire des ravages et il serait important de le consacrer en Europe. Et il est aussi bon d'utiliser la carotte plutôt que le bâton. Mais je ne suis pas entièrement convaincu, et l'absence (au moins) d'une loi fédérale fixant des principes s'appliquant à tous les États se fait sentir.

S'il est très peu probable que les États-Unis adoptent une réglementation comme celle de l'UE6, il y a néanmoins des pistes qu'ils peuvent explorer. En particulier, rendre contraignante et complète la transparence des sociétés qui gèrent des données personnelles. Et sanctionner pénalement les sociétés qui ne se conforment pas à ces règles.

Néanmoins, l'État ne peut pas agir tout seul. Les consommateurs doivent jouer le rôle d'incitateur. Après tout, ce sont eux qui tiennent l'un des couteaux par le manche. S'ils réussissaient à motiver les sociétés à offrir des informations claires et compréhensibles sur leurs politiques de confidentialité, par exemple en n'utilisant que les services qui répondent à ces exigences et en abandonnant les autres, ce serait déjà un pas dans la bonne direction.

A mon avis, les États-Unis et l'UE ont tous les deux des choses à s'apprendre et à partager quant à leur approche de la vie privée.

  • 1La "Déclaration des droits", qui est le nom collectif des dix premiers amendements à la Constitution américaine.
  • 2Vue de l'Europe, cette conception donne l'air d'être plus intéressée à protéger l'économie que les consommateurs.
  • 3Règles adoptées par les associations ou fédérations de la branche concernée
  • 4Celles de la Federal Trade Commission (FTC), par exemple.
  • 5A titre d'exemple, la FTC a infligé des amendes de plusieurs dizaines de millions de dollars et a obligé des sociétés à se soumettre à des audits pendant une vingtaine d'années !
  • 6Le Congrès a déjà de la peine à boucler un budget, le résultat législatif d'un compromis sur la protection de la vie privée serait certainement médiocre.

More »»

Big Brother State : ◼◼◼◼◻◻◻◻◻◻ (in progress) - adding Eurosur

Par rachyandco — 2014-03-26T11:48:29
http://frontex.europa.eu/thumb..." alt="http://frontex.europa.eu/thumb..." class="" id="" />

You thought ACTA was fun? CleanIT was for amateur? FATCA not a real risk?

Take a look at EUROSUR... an interesting european rule.

In short, by explaining how we should surveil borders better (to save poor immigrants of diying in boats...), it creates a legal framework and and tools for a total surveillance of the world... I hear you say... "you're joking right?"

Well read it ! and read the Pirates view on this.... the Swiss pirates made some comments and they are fun! (or not)

Hey this blog is about privacy no? where is the privacy in Eurosur?... well... here is you point....

So now... let's take over the world!

More »»

Catégories en relation

Coup de tonnerre : la directive sur la conservation des données de communication est invalidée

Par FCharlet @FCharlet @FCharlet — 2014-04-09T17:41:19

La Cour de justice de l'Union européenne (CJUE) a rendu ce matin un arrêt des plus attendus, car il concernait la validité de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

Cette directive

vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur. En revanche, elle n'autorise pas la conservation du contenu de la communication et des informations consultées.

La CJUE a été requise d'examiner la validité de la directive sous l'angle du respect du droit fondamental à la vie privée et du droit fondamental à la protection des données à caractère personnel.

Constats préliminaires (mais ô combien importants)

La CJUE constate d'abord que les données en question

permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l'endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l'abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.

Elle retient donc justement que, prises dans leur globalité, ces données

sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.

Dès lors, et cela ne surprendra personne, la CJUE déclare que,

en imposant la conservation de ces données et en en permettant l'accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Elle ajoute d'ailleurs que, sur un plan personnel et du point de vue des citoyens,

le fait que la conservation et l'utilisation ultérieure des données sont effectuées sans que l'abonné ou l'utilisateur inscrit en soit informé est susceptible de générer dans l'esprit des personnes concernées le sentiment que leur vie privée fait l’objet d'une surveillance constante.

Ingérence justifiée dans les droits fondamentaux ?

Tout d'abord, la CJUE estime que la conservation des données n'est, dans le cas présent

pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.

Cette première déclaration surprend, sachant que les "métadonnées" peuvent dévoiler un grand nombre d'éléments personnels au sujet d'un individu, chose que la CJUE a elle-même relevée dans son arrêt. Le fait que le contenu des communications ne puisse pas être connu ne devrait pas nécessairement faire pencher la balance dans l'autre sens.

La CJUE ajoute encore que l'intérêt poursuivi par la directive (prévention, recherche, détection et poursuite d'infractions graves) répond effectivement à un objectif d'intérêt général.

Là-dessus, il n'y a pas grand-chose à contester.

Cependant, la CJUE estime que l'adoption de cette directive par le Parlement européen va au-delà des limites imposées par le respect du principe de proportionnalité. Bien que le but de la directive soit conforme à un intérêt public reconnu, la CJUE déclare que l'ingérence dans les droits fondamentaux des citoyens n'est pas suffisamment encadrée et devrait se limiter au strict nécessaire.

1. – Tout d'abord, aucune différenciation, limitation ou exception n'est opérée (entre les individus, les moyens de communication, et les données) en fonction de l'objectif de lutte contre les infractions graves.

En d'autres termes, toute infraction n'est pas forcément grave, et tous les individus ne sont pas forcément des criminels.

2. – Ensuite, la directive ne prévoit aucun critère objectif qui permette de garantir que les autorités nationales compétentes n'accèdent aux données et ne les utilisent qu'aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier l'ingérence.

En d'autres termes, il manque de sérieuses protections contre l'accès aux données conservées. La directive renvoie au droit national pour définir ce qu'est une infraction grave, ce qui ne permet pas de déterminer de critère objectif en la matière. Enfin, aucune condition matérielle ou procédurale n'est prévue par la directive sur la question des conditions d'accès aux données par les autorités nationales.

3. – De plus, la durée de conservation d'au moins 6 mois (mais au maximum 24 mois), sans distinction entre les catégories de données en fonction des personnes en cause ou de l'utilité des données, apparait comme disproportionnée, car la directive ne précise pas les critères objectifs sur la base desquels on détermine la durée de conservation.

4. – Puis, la protection contre le risque d'abus contre l'accès et l'utilisation illicites des données n'est pas suffisamment garantie.

La directive autorise les fournisseurs de service à prendre en compte des considérations économiques pour déterminer le niveau de sécurité à adopter, et elle ne garantit pas la destruction irréversible de ces données lorsque la conservation arrive à son terme.

5. – Enfin, la directive n'impose pas de conservation des données sur le territoire de l'Union européenne. C'est-à-dire que les données en question doivent être conservées sur sol européen de façon à ce que le contrôle des exigences de protection et de sécurité des données puisse être réalisé par une autorité indépendante.

Commentaire

Cette décision est une victoire pour les citoyens. Malgré que leurs données soient désormais conservées sans base légale valide dans l'UE, la CJUE a courageusement décidé de fustiger le travail du Parlement européen et de le renvoyer à ses études.

La sécurité et la lutte contre le terrorisme ne sont donc pas des éléments qui permettent de faire tout et n'importe quoi, et surtout n'importe comment, au mépris des droits fondamentaux. Notamment la protection des données et la vie privée.

Cependant, les victimes principales sont les fournisseurs de service dont le pays a transposé la loi, car ils se trouvent dans une situation embarrassante où la base même de la loi qu'ils doivent appliquer est désormais absente, et contredite. Ainsi, ils pourraient décider de ne pas appliquer la loi en question, mais pourraient de ce fait s'exposer à des sanctions, en attendant que la loi soit abrogée.

Les États membres devront donc réformer leur législation nationale, en attendant une nouvelle version de la directive. La CJUE a d'ailleurs clairement déclaré

qu'il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé [...]. Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalide.

Un citoyen européen pourrait donc, dès aujourd'hui, assigner en justice son fournisseur de service pour faire constater comme illégale la rétention des données le concernant, demander la cessation de cette activité et la destruction des données.

More »»

La collecte massive d'échantillons ADN dans une enquête pénale en Suisse

Par FCharlet @FCharlet @FCharlet — 2014-04-21T22:00:08

Dans le cadre d'une enquête pénale visant à identifier l'auteur d'un viol sur une adolescente de 16 ans qui a eu lieu dans un lycée en France en 2013, la justice française a ordonné de récolter l'ADN de 527 personnes de sexe masculin, majeures et mineures. La victime ne peut pas donner de description de l'agresseur mais l'ADN de ce dernier se trouve sur les habits de la victime. Ces 527 personnes sont supposées avoir été présentes dans l'établissement au moment des faits. Le prélèvement sera effectué par frottis de la muqueuse jugale.

En Suisse

Tout d'abord, il faut savoir qu'une telle opération est relativement exceptionnelle, et accessoirement coûteuse (voir à ce sujet l'OGEmol, soit l'ordonnance générale sur les émoluments). Elle implique d'ailleurs la mise en place d'une dispositif conséquent pour la récolte.

Au niveau juridique, les lois applicables sont le Code de procédure pénale suisse (CPP) ainsi que la loi fédérale sur l'utilisation de profils d'ADN dans les procédures pénales et sur l'identification de personnes inconnues ou disparues (LADN). La loi fédérale sur la protection des données (LPD) est applicable également.

Conditions

L'art. 255 CPP permet au ministère public de requérir le prélèvement d'un échantillon et l'établissement d'un profil d'ADN. Il peut être prélevé sur le prévenu, les victimes et les personnes décédées notamment. La police a également la possibilité d'ordonner un prélèvement non invasif (c'est-à-dire buccal, pas de prise de sang).

Le prélèvement massif est possible comme en France. La police possède certains indices quant à la personne qui a commis l'infraction mais ils sont trop imprécis pour fonder des soupçons contre une personne en particulier. Elle suppose néanmoins que certaines personnes partagent avec l'auteur de l'infraction un ou plusieurs signes distinctifs particuliers.

L'art. 256 CPP prévoit que dans le but d'élucider un crime,

le tribunal des mesures de contrainte peut, à la demande du ministère public, ordonner le prélèvement d'échantillons sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, en vue de l'établissement de leur profil d'ADN.

L'art. 3 al. 2 LADN précise pour sa part :

Lors d'enquêtes de grande envergure entreprises pour élucider un crime, un prélèvement, par exemple un frottis de la muqueuse jugale, peut être effectué aux fins d'analyse de l'ADN sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, afin d'exclure qu'elles aient pu en être les auteurs ou afin de les confondre.

La notion de crime est définie dans le Code pénal suisse (CP), à l'art. 10. Lu a contrario, l'art. 256 CPP exclut donc la possibilité de procéder à une prélèvement de grande envergure pour rechercher l'auteur d'un délit (art. 10 CP) ou d'une contravention (art. 103 CP).

Les "caractéristiques spécifiques" qui seraient similaires à celles de l'auteur du crime doivent avoir un lien avec l'infraction. Le message du Conseil fédéral de 2006 (p. 1224) donne l'exemple de la couleur de peau qui ne serait pas une caractéristique "en lien avec l'infraction". Le fait d'avoir un âge semblable à l'auteur ou d'habiter dans le même village seraient probablement des caractéristiques valables.

La demande du ministère public doit être examinée et autorisée par un tribunal indépendant : le tribunal des mesures de contrainte (art. 18 CPP).

Refus possible ?

Une mesure de contrainte est une atteinte aux droits fondamentaux des personnes concernées par la procédure pénale (art. 196 et 197 CPP, notamment). Les mesures de contrainte qui portent atteinte aux droits fondamentaux des personnes qui n'ont pas le statut de prévenu doivent être appliquées avec une retenue particulière (art. 197 al. 2 CPP).

Un individu répondant aux caractéristiques peut-il refuser de se soumettre à l'analyse ? Selon la Constitution fédérale, art. 119 al. 2 lit. f,

le patrimoine génétique d'une personne ne peut être analysé, enregistré et communiqué qu'avec le consentement de celle-ci ou en vertu d'une loi.

Le CPP constituant une telle loi (adoptée par le Parlement fédéral et soumise au référendum facultatif), il n'est donc pas possible de refuser le prélèvement. Cependant, il serait théoriquement envisageable de faire recours contre la décision du tribunal des mesures de contrainte autorisant le prélèvement (art. 379 et suivants CPP, et art. 393 et suivants CPP). Le recours n'aurait, à mon avis, que peu de chances de succès en général, et comme il n'a pas d'effet suspensif, il est très probable que le prélèvement sera quand même effectué. Un recours à la force est possible mais uniquement en dernier recours et son exécution doit être proportionnée (art. 200 CPP).

Le Tribunal fédéral avait jugé qu'il n'était "pas contraire à la liberté personnelle de soumettre à une prise de sang et à une analyse d'ADN une personne soupçonnée d'avoir commis de graves délits sexuels, en raison de sa ressemblance à un portrait-robot. Si l'analyse d'ADN aboutit à un résultat négatif, l'échantillon de sang et les données personnelles doivent être détruits".

Il avait également retenu qu'un frottis de la muqueuse jugale (ou une prise de sang) ayant pour but d'établir un profil ADN porte atteinte au droit à la sphère intime, à l'intégrité corporelle, ainsi qu'au droit à l'autodétermination en matière de données personnelles. Cependant, comme la gravité de l'atteinte se détermine selon des critères objectifs, un prélèvement de cheveux, une prise de sang, l'établissement et la conservation (aux fins d'identification) de données personnelles telles que des photographies ou des profils ADN n'ont pas été jugés graves. Un frottis de la muqueuse jugale ainsi qu'une prise de sang sont considérées comme des atteintes légères à l'intégrité corporelle par le Tribunal fédéral.

Dès lors, l'absence de possibilité de refuser le prélèvement est "compensée" par le fait que les données ADN des personnes dont il s'avère, après analyse, qu'elles ne peuvent pas être les auteurs de l'infraction, ne seront pas saisies dans la base de donnée fédérale CODIS où sont répertoriés les profils ADN et les traces. C'est ce que prévoit l'art. 11 al. 4 lit. c LADN. De plus, les échantillons et les produits dérivés doivent être détruits.

A ce stade, il faut relever que le fait d'ordonner une analyse ADN ne signifie pas que le résultat de cette analyse sera forcément enregistré dans la base de donnée CODIS. En effet, après la décision autorisant l'analyse, une deuxième décision doit être prise afin d'autoriser l'enregistrement.

Concernant l'ADN analysé, il faut savoir que l'analyse forensique de l'ADN est réalisée sur la partie non codante du génome.

Cela signifie que les informations enregistrées dans la banque de données ADN ne permettent en aucun cas de connaître les caractéristiques physiques ou psychiques des personnes concernées, ni même d'éventuelles maladies (une exception est possible en cas de trisomie 21). (Source)

Fin 2013, la banque de données CODIS contenait 159'575 profils ADN de personnes. En utilisant les chiffres 2012 de l'Office fédéral de la statistique, sachant que 8,039 millions de personnes résidaient en Suisse à fin 2012, cela signifie qu'un peu moins de 2% de la population se trouve dans cette base de données.

CODIS est gérée par Fedpol (art. 8 de l'ordonnance LADN) qui est considérée comme maitre de fichier au sens de la LPD. La LADN prévoit un droit d'être renseigné sur la présence d'un profil ADN à son nom (art. 15 LADN).

Commentaire

La question qui me taraude est celle de la proportionnalité du prélèvement d'une telle quantité d'échantillons pour résou dre une enquête.

Certes, comparer des profils ADN est en général tout à fait indiqué pour résoudre des affaire se rapportants à des délits d'ordre sexuel puisqu'il y a en principe des contacts corporels susceptibles de laisser des traces.

Certes, il existe un intérêt public prépondérant à la résolution d'une enquête pénale, d'autant plus lorsqu'elle concerne un crime. Il existe aussi un intérêt visant à prévenir d'autres infractions.

Certes, de tels prélèvements permettent d'écarter des soupçons que la police pourrait avoir, ou de les confirmer avec un très haut degré de fiabilité scientifique.

Certes, les échantillons, résultats et analyses sont détruits si la culpabilité de la personne est exclue.

Mais l'ampleur de la mesure me choque un peu. Cependant, si on parvient à confondre l'auteur de l'infraction, le sentiment d'avoir été utile prendra peut-être le dessus...

More »»

Droit à l'oubli : deux mois après, où en est-on ?

Par FCharlet @FCharlet @FCharlet — 2014-07-30T06:03:58

Le 13 mai 2014, la Cour de justice d'Union européenne (CJUE) a rendu un arrêt en matière de droit à oubli sur Internet. Cet arrêt impose aux moteurs de recherche actifs en Europe d'effacer des données faisant nommément référence à une personne si elles sont obsolètes, non pertinentes ou inappropriées. Un mois après les premiers effacements et deux mois après la décision de justice, où en est-on ?

Évidemment, ceux pour qui la pilule a vraiment du mal à passer, ce sont les principaux concernés, à savoir les moteurs de recherche – Google en particulier vu son quasi-monopole dans le domaine. Alors que Microsoft a mis en place un formulaire pour demander les déréférencements en Europe, à l'instar de Google, ce dernier n'a pas mis les pieds contre le mur, comme on pouvait le penser. Bien au contraire, c'est tout l'inverse qui s'est produit.

Selon les derniers chiffres, 91'000 demandes ont été adressées à Google. Elles concernent environ 328'000 liens. Google a rejeté 30% des demandes, 15% sont encore en cours d'analyse. En résumé, Google a donné suite à plus de la moitié des demandes.

Alors que, sur le fond, la décision de la CJUE est une belle avancée pour la protection des données et de la sphère privée, elle a introduit une responsabilité énorme, et quasi malsaine : il revient aux moteurs de recherche d'être juges à la place des juges. Aux moteurs de recherche de décider, au cas par cas, si l'information répond aux conditions posées par la CJUE pour être supprimée des résultats de recherches européens. La Cour confirme donc qu'on peut avoir des autorités extrajudiciaires privées sur Internet.

Google avait annoncé vouloir prendre le temps nécessaire pour analyser l'arrêt. Comme la CJUE ne faisait que donner son interprétation du droit européen à la justice espagnole qui l'avait demandée, Google pouvait attendre le verdict de la justice espagnole pour combattre l'interprétation du droit européen. Mais la firme de Mountain View a décidé de faire du zèle : elle a mis en place son formulaire, et a commencé à communiquer sur le nombre de requêtes soumises, traitées, admises, etc.

Cependant, Google veut montrer que la décision est absurde. Tout d'abord, ses dirigeants ont rappelé qu'il suffit d'utiliser une version non européenne du moteur de recherche pour retrouver tous les résultats qui ont été retirés en Europe. Puis, l'entreprise s'est lancée dans un exercice de censure, s'abritant derrière la décision de la CJUE pour justifier les retraits. Ceux-ci sont communiqués aux sites concernés, mais ne mentionnent pas le nom de la personne demanderesse, ni le motif du retrait : Google annonce le déréférencement de la page, et c'est tout1.

La CJUE nous laisse la responsabilité de décider si oui ou non, ce résultat doit être retiré, en fonction de critères extrêmement vagues et imprécis pouvant être interprétés très largement. On nous laisse le choix de décider si une information est obsolète, inappropriée ou non pertinente. C'est une erreur et nous allons le montrer. Nous allons improviser, et voir ce que ça donne.

Voilà, en substance, le message que veut faire passer Google2.

Seulement, tout cela n'est qu'un message. Google roule les mécaniques, donne l'impression qu'il censure à tout va, mais c'est n'est qu'un exercice de communication, savamment orchestré.

En effet, après analyse de la CNIL (Commission nationale de l'informatique et des libertés, en France) notamment, c'est seulement l'association du nom de la personne ayant demandé le déréférencement avec la page web en question qui est supprimée des résultats du moteur de recherche. Donc, il suffit de taper la requête différemment dans le moteur de recherche – version européenne – pour faire réapparaitre la page désindexée.

Et quand on lit la presse au sujet des demandes qui ont été adressées à Google, ce dernier ne communique que sur des cas où des individus qui ont fait des choses peu avouables dans le passé souhaitent utiliser le droit à l'oubli pour blanchir leur CV.

Un pur exercice de communication, donc. Mais il fonctionne. Et il a le mérite de mettre en exergue ce problème de la responsabilité qui pèse sur les moteurs de recherche. D'ailleurs, plusieurs pages web retirées (au sujet desquelles Google avait fait du bruit) ont été réintroduites, Google invoquant des erreurs de sa part.

Mais un début de réponse "politique" se précise. Google devant agir dans le brouillard, et traiter des données, informations et pages web sans connaitre tout le contexte et sans avoir toutes les données en main pour soupeser les demandes, il faut essayer de trouver un équilibre. Si l'on souhaite vraiment responsabiliser les moteurs de recherche, ou en attendant qu'on corrige ce biais, il faut leur donner des guides, et poser des barrières.

Le 24 juillet, les différentes autorités européennes de protection des données (G29, pour Groupe 29) se sont réunies avec les moteurs de recherche. L'objectif est d'élaborer des lignes directrices afin de traiter les plaintes de personnes qui peuvent saisir ces autorités en cas de refus des moteurs de recherche à leur demande de déréférencement. Car Google agace beaucoup avec son attitude. Et le fait que le droit à l'oubli ne s'applique que sur les version européennes des moteurs de recherche rend quasiment inefficace la décision de la Cour.

Ces lignes directrices sont attendues à l'automne 2014. Sur le principe, le droit à l'oubli est une bonne chose si Internet n'a pas réellement cette "faculté d'oublier". Mais les modalités d'application actuelles doivent être précisées pour que cet outil visant à protéger la vie privée ne devienne pas un outil de censure, un outil qui écorne la liberté d'information, voire qui permet de réécrire l'histoire.

Il n'a pas été créé dans ce but, il faudrait donc éviter qu'il y parvienne. Mais sans le dénier de son sens. Et sans ouvrir d'autres boîtes de Pandore. Un beau challenge.

Bonus

Les questions posées par le G29 et auxquelles Google doit répondre. (Source)
  1. What information do you request from a data subject pri or to considering a delisting request e.g. URLs, justification? Do you ask further motivation from the data subjects to substantiate their request?
  2. Do you filter out some requests based on the location, nationality, or place of residence of the data subject? If so, what is the legal basis for excluding such requests?
  3. Do you delist results displayed following a search:
    1. Only on EU / EEA domains?
    2. On all domains pages accessible from the EU / EEA or by EU/EEA residents?
    3. On all domains on a global basis?
  4. What criteria do you use to balance your economic interest and/or the interest of the general public in having access to that information versus the right of the data subject to have search results delisted?
  5. What explanations / grounds do you provide to data subjects to justify a refusal to delist certain URLs?
  6. Do you notify website publishers of delisting? In that case, which legal basis do you have to notify website publishers?
  7. Do you provide proper information about the delisting process on an easily accessible webpage? Have you developed a help center explaining how to submit a delisting claim?
  8. Can data subjects request delisting only using the electronic form that you provide, or can other means be used?
  9. Can data subjects request delisting in their own language?
  10. If you filter out some requests based on the location, nationality, or place of residence, what kind of information must be provided by the data subject in order to prove his nationality and / or place of reside nce?
  11. Do you ask for a proof of identify or some other form of authentication and if yes, what kind? For what reason? What safeguards do you put in place to protect any personal data that you process for the purpose of processing delisting requests?
  12. Do you accept general claims for delisting (e.g. delist all search results linking to a news report)?
  13. When you decide to accept a delisting request, what information do you actually delist? Do you ever permanently delist hyperlinks in response to a removal request, as opposed to delisting?
  14. Do you delist search results based only on the name of the data subject or also in combination of the name with another search term (i.e. Costeja and La Vanguardia)
  15. How do you treat removal requests with regard to hyperlinks to pages that do not (no longer) contain the name of the data subject? [Examples: hyperlink to anonymised ruling, hyperlink to page where name of data subject was removed]. Do you immediately recrawl the sites after a removal request?
  16. Does your company refuse requests when the data subject was the author of the information he/she posted himself/herself on the web? If so, what is the basis for refusing such requests?
  17. Do you have any automated process defining if a request is accepted or refused?
  18. What technical solution do you use to ensure that links to material to which a removal agreement applies are not shown in the search results?
  19. Which of your services do you consider delisting requests to be relevant to?
  20. Do you notify users through the search results’ page inf ormation that some results have been removed according to EU law? In that case, which is the legal basis for this? What is the exact policy? In particular, it appears that this notice is sometimes displayed even in the absence of removal requests by data subjects. Can you confirm or exclude that this is actually the case and, if so, could you elaborate on the applicable criteria?
  21. Have you considered sharing delisted search results with other search engines providers?
  22. What is the average time to process the requests?
  23. What statistics can you share at this stage (percentage of requests accepted / partially accepted / refused)? How many have you answered in total? How many per day?
  24. Will you create a database of all removal requests or removal agreements?
  25. What particular problems have you faced when implementing the Court’s ruling? Are there particular categories of requests that pose specific problems?
  26. Could you please provide us with contact details in case we need to exchange on a specific case?
  • 1A l'inverse, Bing annonce que "les informations indiquées dans ce formulaire peuvent être partagées avec des tierces personnes concernées par votre demande, y compris les éditeurs des sites où figure le contenu que nous avons décidé de supprimer suite à votre demande et les autorités et autres organismes publics chargés de la protection des données."
  • 2Sauf que si l'on peut critiquer la décision de la Cour, Google s'amuse avec la censure, la liberté d'information et la protection des données. Cette attitude est à mon sens plutôt alarmante et démontre, s'il en est besoin, que Google ne se préoccupe pas vraiment de la vie privée.

More »»

Parlament will Freiheit weiter abbauen

Par cta @christiantanner @christiantanner — 2014-08-27T09:45:07
Die SIK-N (Sicherheitspolitische Kommission des Nationalrates) hat gestern an einer Pressekonferenz den weiteren Abbau unserer Freiheiten angekündigt: das überarbeitete Nachrichtendienstgesetz (NDG) soll wie vom Bundesrat gewünscht beschlossen werden.
Der Schweizer Geheimdienst NDB (Nachrichtendienst Bund) soll also künftig Gespräche abhören und PCs direkt angreifen dürfen. Er soll auch Zensurbefugnisse erhalten! Konkret: er darf «den Zugang zu Informationen stören, verhindern oder verlangsamen». Dies ein paar Highlights. Alles Punkte, die das Parlament im Jahre 2009 dazu bewegt hatten, das Geschäft an den Bundesrat zurückzuweisen. Was hat sich in der Zwischenzeit geändert, dass sogar die SP die staatliche Schnüffelei unterstützt? Chantal Galladé wird mit der Aussage zitiert, dass «Der Nachrichtendienst braucht diese Kompetenzen für die Bekämpfung schwerer Verbrechen.»

Verbrechensbekämpfung ist zivile Polizeiaufgabe. Der Geheimdienst ist aber im VBS angesiedelte und ist eine durch und durch militärische Organisation. Mit diesem Schritt beginnt also die Vermischung und damit die Militarisierung der Polizei. Dabei soll doch auch die Polizei mit dem BÜPF weitergehende Schnüffelei-Befugnisse erhalten und künftig mit Bundestrojanern ... genau: Gespräche abhören und PCs direkt angreifen dürfen. Obschon sie das ja bekanntlich auch ohne gesetzliche Grundlage bereits regelmässig tun!

More »»

Catégories en relation

La rétention des données est une mauvaise voie

Par kl4v @subtruth @subtruth — 2014-09-04T12:06:20
Vos données de communication (avec qui, quand, depuis où et pour quelle durée vous communiquez) sont conservées pendant plusieurs mois. Les fournisseurs d'accès aux infrastructures de télécommunication (comme Orange, Cablecom etc – ci-après: telcos) sont légalement contraints de les garder. Ce sont des métadonnées, le contenu des communication n'est pas conservé – du moins il n'y a pas d'obligation de le faire. Sous injonction d'un juge, les telcos doivent remettre ces données à l'autorité d'enquête compétente, qui peut ainsi retracer rétroactivement l'activité de communication des personnes concernées.

Quel est le problème ?



Il y en a plusieurs. Voici les principaux :

1. Le problème fondamental est le renversement de la présomption d'innocence : conserver en prévision d'un crime les données de tout le monde revient à considérer tout le monde comme suspect d'avance. Cela va à l'encontre d'un principe fondateur de l'Etat de droit.

2. C'est une prérogative vaste de l’État, pour beaucoup incompatible avec les principes universels de protection de la vie privée, d'autant que si ces données sont consultées, c'est sans connaissance ni assentiment des personnes concernées.

Cette pratique pose la question de la confiance vis-à-vis de l’État. Le recours aux données conservées n'a lieu que dans des cas de criminalité grave – paraît-il. La pratique fait souvent apparaître une autre image, comme dans le cas suisse. S'il y a déjà une dissonance entre discours et pratique, comment croire qu'il ne peut y avoir d'abus ? Ce sans compter le passif déjà lourd de la Suisse en la matière (voir les affaires des fiches).

D'aucuns pensent que les métadonnées n'ont pas de valeur comparées au contenu. Au contraire. Elles permettent un profilage avancé et rendent leur propriétaire transparent.

Pour rappel : l'argument du rien à se reprocher, donc rien à cacher a été rendu caduque en théorie au plus tard par Richelieu (prétendument), et en pratique par les régimes totalitaires du 20e siècle. Avec la prévalence d'internet, le risque est plus élevé aujourd'hui. Nous vivons une époque où il est mal avisé de laisser s'installer des infrastructures de surveillance – qui sait qui en aura le contrôle demain, quand il sera trop tard ?

3. Globalement, la rétention des données n'est pas utile pour combattre le crime. Bien que ses défenseurs martèlent qu'elle est essentielle dans la lutte contre la criminalité, ils ne présentent pas de chiffres. Et pour cause : elle ne résiste pas à l'empirie. Elle s'inscrit dans une tendance troublante consistant à vendre de la fausse sécurité.

4. Elle coûte cher aux telcos, qui doivent disposer du matériel pour conserver toutes ces données.

Massacre constitutionnel en Europe, renforcement probable en Suisse



Le principe de la rétention des données est en vigueur dans de nombreux pays. En Suisse, elle est inscrite dans la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Dans l'Union Européenne, des lois nationales similaires se basent sur la Directive 2006/24/CE du Parlement et du Conseil du 15 mars 2006. Or cette directive a été retournée cette année. Depuis, on assiste à un massacre constitutionnel épique des lois nationales sur la rétention des données:

*Autrichevictoire d'une ONG devant la plus haute cour de justice;
*Danemarkl'a abandonnée par lui-même, la considérant inadaptée pour lutter contre la criminalité;
*Roumanieabrogation, sous pression de la société civile;
*Slovaquievictoire d'une ONG devant la plus haute cour de justice;
*Suèdeles telcos ont arrêté par elle-mêmes de conserver les données, au mépris de la loi nationale (!)

(L'Allemagne est un cas intéressant: elle avait abrogé sa propre loi déjà en 2010. Le nouveau gouvernement Merkel voulait réintroduire la rétention des données, mais la fin de la directive européenne 2006/24/CE a donné un coup d'arrêt à ce plan.)

Il faut s'attendre à des décisions similaires ailleurs. Et en Suisse ?

En Suisse, la révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication prévoit l'extension de la rétention des données de 6 à 12 mois.

Les telcos suisses s'opposent à cette révision, tout comme l'industrie de l'informatique. Si la révision passe au Parlement, il y aura un référendum. Une coalition existe déjà (comprenant entre autres toutes les jeunesses de partis sauf celle du PDC), et Société Numérique a déposé une plainte auprès du Tribunal administratif fédéral pour l'abrogation de la rétention des données

Reste à espérer que ce sujet gagne un peu de visibilité médiatique. A l'exception de la WOZ, les médias ont jusqu'ici largement ignoré le fait que la Suisse fait fausse route.

L'opposition liberté / sécurité est fausse. Les deux vont de pair.

More »»

What about adding our digital integrity in the Constitution?

Par rachyandco — 2014-09-25T19:44:41
The actual situation is definitly not good: data protection law are inefficient for several reason, but mainly 3:
1. budget and enforcement powers of data protection officer are close to zero
2. any new rule enforced is an recipe of the old world with (unexpected)  bad consequence. eg. Right to be forgotten vs google = Streisand effect
3. even if data protection specialists says the contrary, there is not  actual change of "ownership" of data from the data holder to the  individual.

having a good data protection is key for a trusted online world. however the wording is important. No one cares about "data".

With  the actual state of data protection in Europe, authorities have no good  argument against mass surveillance either. "NSA you are gathering all  that data on our citizens! not good!" reply:"So what that data does not  even belong to them"

In the constitution we have art 13: which is  in my sense useless. You are protected against the misuse of personal  data. Please define misuse. It seems that using you data without your  knowledge to influence your life (cf moneyhouse) is not a misuse, by  actual law.

So lets forget that art 13. We can even get rid of it, it does not bring anything.

Lets look at article 10. This is about the right to life. much more interesting. 
"Every person has the right to personal liberty and in particular to physical and mental integrity and to freedom of movement."

why  do we have this text here? when we wanted to have a world where all  people are equal (rights) we need to define somehow what a human being  is. In that time, we had a body and a mind. The mind part was a key  element as you can see with debates in the 18th century about if African  people had a mind. So it was a real question at that time and had to be  settled. Because if you don't have a mind, I can brainwash you with no  problem. If your body is not yours then I can put you in slavery.

Ok back to our "new world"

That's  where I say, let's make a step. And we can say the human being has also  a part that is digital. So let's first acknowledge this.
Let us  recognize that we have this digital part in us, let us claim it. We  claimed our body, we claimed our mind, lets claim our digital part.

How?

Well, it could start with one word.
"Every  person has the right to personal liberty and in particular to physical,  digital and mental integrity and to freedom of movement."

From there on, when we think about digital interaction, we would ask ourselves: does it hurt my digital integrity?
Mass  surveillance does, blocking dns does, not allowing my itunes music to  be given to my kids does, having a credit rating a moneyhouse does,  having to use not secure communication tools with my authorities does,  being sent to jail because I have copied a file.

And for the  future, we have a strong case for mixing our physical body with digital  parts.. It should not hurt integrity. If we do not add the digital side,  the technology in our body will eventually take over our free will.

Suddenly we can say the human has an digital existence. 
Funnily  there is one place in the world that has this right already in place.  This is Delaware in the US. But is only applies the moment you are  dying. Then http://arstechnica.com/tech-policy/2014/08/delaware-becomes-first-state-to-give-heirs-broad-digital-assets-access/ your will executor has the right by law to access all your digital assets and transfer them. 

More »»

Écoute téléphonique illégale de l'avocat Bruno Steiner

Par kl4v @subtruth @subtruth — 2014-11-17T09:53:05

Le texte qui suit est une traduction d'un post du blog de l'avocat zurichois Martin Steiger. Elle a été réalisée avec son autorisation.


Dans un État de droit, les conversations téléphoniques entre les avocats et leurs clients ne peuvent pas être écoutées. Si une telle surveillance advient pas mégarde, les informations correspondantes doivent être immédiatement retirées et détruites ; elles ne peuvent en aucun cas faire partie d'une procédure judiciaire (Art. 271 alinéa 2 CPP).

Mon collègue Bruno Steiner a découvert que la police zurichoise, agissant sur mandat de celle de Munich, a procédé à au moins une mise sur écoute illégale d'une conversation téléphonique avec une de ses clientes, comme le rapporte la Weltwoche :

On ne peut malheureusement par reconstituer ce que l'enquêteur de police bâlois H. a dit à Anja Popovic (nom altéré) lors de son interrogatoire du 26 mars 2014, vu qu'il en a lui-même détruit le protocole ultérieurement. Ce qui est sûr, c'est que le défenseur de Popovic, l'avocat zurichois Bruno Steiner protesta de manière virulente, car l'information à laquelle la police confronta Popovic ne pouvait provenir que d'un téléphone de l'avocat avec sa cliente.

La police parla d'abord d'un malentendu, puis du fait que ces informations devaient provenir d'un tiers. Finalement, elle présenta une troisième version:

«[…] La police cantonale de Zurich, qui espionnait le téléphone de Popovic dans le cadre d'une requête d'entraide judiciaire, aurait enregistré la conversation de l'avocat par erreur. Lorsque l'on prît conscience du faux-pas, on effaça l'enregistrement. Mais lors de l'effacement, une partie de la conversation de l'avocat aurait glissé [sic] dans un autre protocole. Toutes les pièces du dossier allaient être immédiatement contrôlées et les passages sensibles seraient enlevés.»

Néanmoins, le dévoilement des pièces, obtenu par une procédure juridique [demandée par l'avocat], démontra la chose suivante:

«[…] La conversation de l'avocat n'a été aucunement effacée. Pire, il existe deux dossiers, aussi bien à Bâle qu'à Zurich : l'un est officiel, l'autre pas. L'un des dossiers, apparemment destiné à l'usage interne, comprenait l'enregistrement fatal dans son intégralité. Le deuxième dossier, apparaissant parmi les pièces officielles, comprenait le protocole manipulé et faussé, dans lequel une partie de la conversation aurait été refilée à un tiers, prétendument par erreur.»

Et plus loin:

«Le téléphone de l'avocat avec sa cliente était en soi anodin. […] Or, c'est exactement la partie la disculpant […] qui a été enlevée du protocole servant à l'usage officiel. […] Il est bien possible que ce soit le changement annoncé de téléphone portable qui poussa les enquêteurs à ne pas ignorer ni effacer, mais plutôt manipuler le protocole et faire apparaître cette information capitale dans une autre conversation. Les garants de la loi devinrent ainsi ceux qui la violèrent. Ils savaient parfaitement qu'ils mordaient au Fruit défendu. Dans l'enregistrement original, l'avocat Steiner est reconnu comme tel dès le début. Qu'il existe un dossier supplémentaire à l'officiel indique que nous n'avons pas à faire à un cas isolé.»

En résumé : un État-surveillance hors de contrôle

Cet exemple montre d'abord qu'en Suisse, quand il s'agit de surveillance, la police n'hésite pas à léser un pilier de l'État de droit. Il ne sert à rien que les mesures de surveillance soient autorisées par des juges s'il n'existe pas de contrôle effectif de ceux qui y ont recours. Cet exemple montre aussi qu'il serait mal avisé de donner encore plus de prérogatives à la surveillance étatique par la révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications (LSCPT) – telles que l'utilisation de IMSI-Catcher et de Chevaux de Troie fédéraux.

More »»

Catégories en relation

Quand la justice va-t-elle trop vite?

Par Babel @ChristophePache @ChristophePache — 2015-01-15T11:00:06
Toujours suite aux événements marquants de la semaine dernière, et je dis "toujours" car tout se veut relié d'une façon ou d'une autre à ces atrocités, la justice jugera très prochainement une personne suspectée d'encourager des crimes liés à des actes terroristes1. Et tout cela en une semaine!

Au passage, évitons de penser qu'un tribunal puisse "limiter" la liberté d'expression. Je ne cherche pas la polémique là-dessus. Ce ne sont que les terroristes qui limitent la liberté d'expression, bien sûr.

Bizarrement, ce qui me choque le plus dans cette nouvelle, c'est la célérité de la justice à traiter ce potentiel scélérat. En effet, on fait étalage de la lenteur de la justice et des problèmes que cela peut engendrer. Je ne parlerai pas ici de l'importance de l'immédiateté de la peine sur le caractère dissuasif de la sanction, mais simplement de la surpopulation carcérale. En fait, les prisons sont engorgées en partie à cause de la lenteur de la justice comme l'indique une recommandation de l'Assemblée parlementaire du Conseil de l’Europe: les "personnes en attente de jugement qui peuvent représenter dans certains pays jusqu'à 50 % de l'ensemble des détenus"2. Nous pourrions ajouter à cela le tort et la peine que cela peut infliger aux victimes.

Il semblerait donc que la justice soit particulièrement véloce quand il s'agit de traquer une personne sur l'Internet. Quand la durée moyenne pour obtenir une décision d'un juge se monte à plusieurs mois 3, il ne s'agit pas d'un concours de circonstances si les médias annoncent le jugement avant que le crime n'ait eut le temps de refroidir. Il y a un signal fort. Ce cas "pourrait faire jurisprudence" 4.. Cela s'appelle de la prévention. C'est un gros panneau indiquant "Faites bien attention à ce que vous postez sur l'Internet" et "Vous n'êtes pas anonyme". A première vue rien de mauvais.

Mais est-ce vraiment le rôle de la justice? Pourquoi choisir de faire passer une affaire comme prioritaire quand tant d'affaires mettent des années à être jugées? La justice n'est-elle pas censée juger de manière impartiale tout un chacun? Qui définit l'importance d'une affaire?

Ce signal adressé par la justice via les médias très friants de ce genre d'événement, signifie donc aussi que tout acte relié à La tragédie sera châtié en priorité. A la rapidité à laquelle les idées se forment et s'échangent sur l'Internet s'oppose donc une justice à deux vitesses. Bien que toujours débordée et malgré ses manques de moyen pour répondre à de nombreux problèmes, la justice s'arrange pour se montrer digne de la situation. Elle est contextualisée. Elle ne se contente pas d'appliquer le droit. A ce niveau, ce n'est plus du judiciaire mais de l'exécutif

On a déjà constaté avec quelle peine la justice, cette machine lourde et poussiéreuse, modifie son allure pour masquer sa latence 5. Quels nouveaux raccourcis boîteux pour traquer les idées virtuelles au prix du droit à la vie privée? Ne rêvons pas, ce n'est pas le code de procédure qui sera simplifié; il se complexifie tous les ans. Ce qui va changer, ce sont les démarches administratives pour s'introduire dans notre vie privée.


More »»

Victoire magistrale : une Cour d'appel américaine déclare illégales les écoutes de la NSA

Par FCharlet @FCharlet @FCharlet — 2015-05-08T09:21:10

C'est un roc ! C'est un pic ! C'est un cap ! Que dis-je, c'est un cap ? C'est une péninsule ! Ou tout simplement, c'est énorme. Voilà comment l'on peut qualifier la décision rendue hier par la Cour d'appel du Deuxième Circuit aux États-Unis. Les écoutes massives des appels téléphoniques et la collecte des métadonnées y relatives par la NSA sont illégales selon le droit fédéral américain !

Et ce jugement intervient au moment où les autorités américaines débattent du renouvellement de la section 215 du Patriot Act, car elle expire en juin 2015. Certes, il ne tranche pas la question de la constitutionnalité du programme d'écoute, mais la Cour d'appel déclare clairement que la section 215 n'autorise pas la collecte massive de données (quelles qu'elles soient).

We hold that the text of § 215 cannot bear the weight the government asks us to assign to it, and that it does not authorize the telephone metadata program. [p.82]

Résumé

Ce jugement renverse une décision d'une cour de district qui avait déclaré irrecevable en 2013 la remise en question du point de vue constitutionnel de la collecte massive des données par la NSA. Cette action avait été introduite par l'ACLU, l'American Civil Liberties Union, à l'encontre de l'Office of the Director of National Intelligence. La Cour d'appel casse donc la décision de la cour de district et lui renvoie l'affaire pour nouvelle décision. La constitutionnalité de la collecte de données n'a pas été tranchée par la Cour d'appel, mais il est à supposer que cette question devra être analysée par la Cour de district.

Quoi qu'il en soit, la Cour d'appel a clairement dit que la section 215 n'autorise pas le gouvernement à collecter massivement des données relatives aux appels téléphoniques. Elle contredit donc directement la NSA et le gouvernement qui affirmaient bien évidemment le contraire.

Ce jugement ne met pas immédiatement un coup d'arrêt à cette collecte, mais s'il n'est pas renversé par une juridiction supérieure, cela pourrait envoyer un signal fort pour l'arrêt de ce programme de surveillance. D'ailleurs, au vu de la proximité calendaire avec le vote du Congrès sur le renouvellement de la section 215, cela pourrait forcer celui-ci à clairement préciser que la collecte massive de données est (ou non) autorisée. C'est d'ailleurs ce que précise la Cour d'appel.

We do so comfortably in the full understanding that if Congress chooses to authorize such a far‐reaching and unprecedented program, it has every opportunity to do so, and to do so unambiguously. Until such time as it does so, however, we decline to deviate from widely accepted interpretations of well‐established legal standards. [p. 82]

Cela change complètement la donne pour le Congrès : si le programme de surveillance doit continuer dans sa forme actuelle, seule une réforme de ce programme et de la loi qui lui sert de fondement ne permettra de lui garantir sa survie.

Cependant, il reste encore le problème de la violation du 4e amendement, soutenue par l'ACLU. Cet amendement protège contre des perquisitions et saisies non motivées et requiert un mandat (circonstancié) pour toute perquisition. Ce grief n'a pas été analysé par la Cour d'appel, à dessein. Les juges ont préféré analyser la matière sous l'angle téléologique. Autrement dit, que voulait le législateur lorsqu'il a adopté la section 215 ? Certainement pas un programme de cette ampleur qui collecte même des données sur les citoyens américains.

La Cour dégage également en corner l'argument selon lequel les métadonnées ne sont pas des données personnelles et ne portent par conséquent pas atteinte à la sphère privée.

Elle démolit aussi la position du gouvernement qui affirmait que le Congrès avait voulu autoriser un tel programme de collecte de données. Les juges ont, bien au contraire, nié cette interprétation et jugé que le Patriot Act est destiné à une surveillance ciblée dans des cas déterminés et limités dans le temps.

The records demanded are not those of suspects under investigation, or of people or businesses that have contact with such subjects, or of people or businesses that have contact with others who are in contact with the subjects – they extend to every record that exists, and indeed to records that do not yet exist, as they impose a continuing obligation on the recipient of the subpoena to provide such records on an ongoing basis as they are created. [p. 61]

La Cour d'appel conteste encore l'argument du gouvernement selon lequel le Congrès aurait implicitement approuvé la collecte massive de données lors du renouvellement de la section 215 en 2010 et 2011. Les juges notent que la plupart des membres du Congrès n'étaient même pas au courant de cette collecte, et que pour pouvoir affirmer cela, il faudrait apporter des preuves relatives aux discussions en plénum du Congrès sur ce sujet.

Congress cannot reasonably be said to have ratified a program of which many members of Congress – and all members of the public – were not aware. [p. 79]

La Cour ne s'arrête pas là et enfonce complètement le Département de Justice. Ce dernier soutenait que les décisions prises par la Cour FISA (qui tranchait les requêtes de surveillance dans le plus grand secret) n'étaient pas soumises au système judiciaire classique et qu'elles ne pouvaient donc pas être revues par celui-ci. Selon le DoJ, le secret de ces décisions l'empêche absolument.

Upon closer analysis, however, that argument fails. The government has pointed to no affirmative evidence, whether “clear and convincing” or “fairly discernible,” that suggests that Congress intended to preclude judicial review. Indeed, the government’s argument from secrecy suggests that Congress did not contemplate a situation in which targets of § 215 orders would become aware of those orders on anything resembling the scale that they now have. That revelation, of course, came to pass only because of an unprecedented leak of classified information. That Congress may not have anticipated that individuals like appellants, whose communications were targeted by § 215 orders, would become aware of the orders, and thus be in a position to seek judicial review, is not evidence that Congress affirmatively decided to revoke the right to judicial review otherwise provided by the APA in the event the orders were publicly revealed. [p. 38]

Un peu plus bas, la Cour rajoute une couche qui démontre bien à quel point les juges ne sont pas (mais alors absolument pas) convaincus par les arguments du gouvernement et de sa manière de procéder.

In short, the government relies on bits and shards of inapplicable statutes, inconclusive legislative history, and inferences from silence in an effort to find an implied revocation of the APA’s authorization of challenges to government actions. [p. 52]

Commentaire

Bien que ce jugement n'aille pas au bout de sa "pensée" (à savoir : fermer les programmes de collecte massive de données), j'en jubile intérieurement comme jamais.

Tout d'abord, c'est une victoire magistrale pour le 4e amendement de la Constitution des États-Unis. Puis, si l'affaire doit revenir devant cette Cour d'appel après la décision de la Cour de district, on a désormais une idée de la manière dont elle pourrait définitivement trancher l'affaire (à moins d'un recours à la Cour suprême). Le seul bémol étant de s'être arrêté un peu à mi-chemin, mais la suite de la procédure (qui prendra sûrement des années) s'annonce haletante et passionnante.

Aujourd'hui est un grand jour et ma foi en la justice se regonfle un peu, grâce à la lueur d'espoir qui vient de s'allumer...

More »»

Soutien à Netzpolitik

Par SwissTengu @SwissTengu @SwissTengu — 2015-08-05T12:03:14
Parce que la liberté de la presse est une des bases de nos démocraties déclinantes, EthACK s'associe au mouvement de soutien international au site allemand Netzpolitik1 dont deux journalistes et leurs sources font l'objet d'une enquête pour «haute trahison» suite à la publication de documents sur des projets de l'Office de la protection de la Constitution (services de renseignement intérieur) pour surveiller Internet.

Une lettre ouverte2, signée par des journalistes du monde entier, demande l'abandon des poursuites :

«Les charges contre Netzpolitik.org et leur source inconnue pour trahison sont une attaque contre la liberté de la presse. La poursuite pour trahison des journalistes qui effectuent un travail essentiel pour la démocratie est une violation du cinquième article de la constitution allemande. Nous demandons l'arrêt des poursuites contre les journalistes de Netzpolitik.org et leurs sources.»

L'annonce de l'ouverture de la procédure a suscité de nombreuses réactions tant en Allemagne qu'à l'international. Vendredi, le ministère de la justice allemand a annoncé la mise à la retraite du procureur ayant décidé de l’ouverture de l’enquête.
Mais la plainte n'a pas encore été retirée, et les poursuites ne sont, pour le moment, pas encore abandonnées.

More »»

Catégories en relation

Fausse bonne idée: un identifiant unique pour le Big Data

Par pdehaye @podehaye @podehaye — 2016-06-22T20:06:58
La nouvelle régulation européenne sur la protection des données prendra effet en mai 2018. On peut s'attendre à ce que la loi suisse correspondante, la Loi fédérale de 19921, soit aussi mise à jour et suive une trajectoire semblable.

Cette nouvelle régulation européenne renforce des droits existants et en introduit de nouveaux. Par exemple, elle permettra à tout un chacun d'accéder à ces données  (droit renforcé) dans un format interopérable (droit nouveau). L'espoir est d'éviter des phénomènes de "lock-in" et de permettre au consommateur de prendre ses données dans un service et de les amener ailleurs. L'effort est louable, et introduit énormément de complexité pour les entreprises. Comment celles-ci peuvent-elles s'assurer que l'individu demandant l'accès à ses données est bien celui ou celle qu'il dit être? Comment éviter des situations où un mari demanderait, en vue de l'épier, les données de navigation de sa femme basé sur une adresse MAC par exemple? La situation actuelle requiert d'associer à toute demande des papiers d'identité, et prévoit l'illégalité de la demande au nom de quelqu'un d'autre, mais les sociétés sont quand même frileuses: d'abord ces données sont souvent leur véritable fonds de commerce, ensuite toute communication par erreur de données à la mauvaise personne les exposerait à de gros risques. 

C'est dans ce contexte qu'aura lieu à Bruxelles la semaine prochaine un workshop, intitulé Unique Identifier for Personal Data Usage Control in Big Data2. Le titre est clair: le but de ce workshop est de définir un standard pour un identifiant unique et global pour l'ensemble des contextes "Big Data". Le même identifiant vous servirait sur Facebook, la SNCF (partenaire) ou votre caisse de santé (AOK Krankenkasse est un autre partenaire). Sans aucun doute, cela simplifierait la vie des sociétés qui cherchent à respecter la loi, substituant à votre passeport papier votre passeport numérique, sous la forme d'un identifiant unique. 

Les détails disponibles sont encore assez limités, mais on peut vite voir dans le Concept3 que l'approche est en elle-même problématique. Un identifiant unique dans tous ces contextes différents (réseaux sociaux, transports, assurances) enlève une multitude de barrières techniques à des usages qui ne sont pas encore complètement régulés. Ce workshop propose de résoudre le problème technique du respect de la loi d'une manière simpliste, et d'ignorer cette foule de risques qu'un identifiant unique introduirait. En fait, la partie la plus cruciale du concept se retrouve reléguée comme note de bas de page:

The proposers argue therefore for the creation of an open forum composed of individuals, companies, lawyers, academics, journalists, and health practitioners, international, governmental and non-governmental organizations, to continue after the CEN Workshop ends. They would share their best practices and how these practices can evolve according to the different dimensions of their activities and the contexts. The objective of such forum (with a broader scope than a CEN Workshop) would thus be to combine the respect of fundamental human rights with the integration of the dynamism of situations and contexts, sharing dynamic go-ahead usages and fostering a positive momentum.


En gros: ne nous embêtez pas, laissez-nous faire du commerce d'abord, après on vous parque dans ce "forum" comme ça vous pourrez travailler sur les "bêtises" qu'on a faites. 

Quelles bêtises exactement? 
  • comme dit précédemment, un identifiant unique enlèverait les barrières techniques au partage de données entre sociétés, ce qui n'est pas forcément un désir de tous les consommateurs et est certainement un résultat distinct du simple respect de la loi;
  • un identifiant unique forcerait les consommateurs à perdre le peu de contrôle qu'ils ont sur leurs données (sécurité par obscurité et/ou compartimentalisation des profils);
  • cet identifiant unique pourrait être volé et mener encore plus facilement au vol d'identité;
  • cet identifiant ne vieillira pas correctement avec la personne: pour les jeunes enfants, le droits d'accès peut être exercé par les parents, mais bien avant l'âge de majorité ce droit échoit en fait à l'adolescent même, dont la personnalité doit aussi être protégée des parents. Les parents devraient donc connaître cet identifiant tôt dans la vie de l'enfant, et l'"oublier" plus tard;
  • cet identifiant ne résout pas les problèmes associés à l'exercice du droit d'accès lorsqu'une société n'a pas d'informations très "riches" sur un individu (par exemple, des sociétés de pub en ligne, pour lesquelles le droit d'accès s'exercerait via le contenu d'un cookie). En fait il encourage les sociétés à collecter plus de données, ce qui mène à plus de problèmes;
  • pour accéder au contenu détenu par une société, cet identifiant demanderait de communiquer un passepartout pour la vie digitale de l'individu, valable sur un ensemble de sites/sociétés.

(beaucoup de ces critiques sont semblables à celle émises par le préposé fédéral à la protection des données sur l'utilisation du numéro AVS dans les services fiscaux4)

A en juger par l'agenda, ce workshop aura très peu de représentants de la société civile présents. J'espère y participer à distance, et formuler un maximum de ces critiques tôt dans le processus de standardisation. 

Paul-Olivier Dehaye
PS: L'auteur est aussi le fondateur de PersonalData.IO5, un service dédié à l'exercice facile de son droit d'accès aux données personnelles, sans en compromettre la sécurité. 

More »»

LRens : tirons les leçons de l'Allemagne

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-17T15:08:57
Les suisses vont voter le week-end prochain. Parmi les différents objets, la Loi sur le Renseignement, aka #LRens1.

Dans le but de doter le SRC de moyens d'interceptions et d'investigations poussés, la loi introduit diverses possiblités jusqu'à maintenant hors de portée :
  • utilisation des IMSI-Catchers2
  • utilisation de chevaux de Troie3
  • exploration du réseau câblé4
  • et d'autres choses tout autant joyeuses.
La loi prévoit des garde-fous, ce qui est louable, mais sont-ils suffisants ?

La nouvelle loi prévoit que les communications "helvético-suisses" ne seront pas écoutées comme le sont celles "entrantes et sortantes" du pays. Cette exception ne sert à rien : une communication entre Lausanne et Zürich peut fort bien passer par la France et l'Allemagne, au gré des routes sur Internet. Du coup elle sera interceptée sans aucune demande d'autorisation spécifique.
De plus, le fait de soumettre les filtres/mots-clefs à une procédure de validation ne protège en rien les abus : l'exemple allemand5 est très parlant à ce sujet. La variante suisse de la loi sur le renseignement n'est pas sans rappeler la version allemande, et il serait de bon ton de voir ce qui s'est passé chez nos voisins avant de foncer tête baissée.
Rien n'empêchera non plus que les fameux "GovWare" se retrouvent dans la nature — l'infomatique de la Confédération démontre chaque année (si ce n'est chaque mois) les manifiques compétences de notre pays en la matière…

Il va sans dire qu'il sera intéressant, dans le cas où cette loi est acceptée6, de surveiller QUI fournira les outils de surveillance à notre service de renseignements. Sans doute des sociétés étrangères, comme c'est déjà le cas pour Fedpol7

Des précédents

Il ne faut pas oublier que le SRC, et les services de renseignement suisse, ont une histoire quelque peu trouble :
  • le "scandale des fiches"8 dans les années 1980
  • (au moins) un vol de données directement au sein du SRC9
  • (au moins) un employé a eu un comportement "indélicat" avec un média suisse10
  • … et combien d'autres choses qui ne sont pas sorties au grand jour ?
Les questions légitimes

Au vu de tout cela, quelques questions se posent :
  • avons-nous suffisament confiance dans notre gouvernement et les services de renseignement pour leur laisser ces "joujoux" en libre accès ?
  • avons-nous réellement besoin de ces nouvelles mesures ?
  • est-ce que notre droit à la vie privée ne risque vraiment rien face à ces nouvelles mesures ?
  • est-ce qu'on peut réellement se dire "le GovWare est en sécurité dans les infrastructures de la Confédération", surtout si l'on reprend le cas RUAG11, censé "être au top" ?
Toutes ces questions doivent trouver une réponse positive avant de pouvoir voter "oui" le 25 septembre. Une fois cette loi et ses mesures acceptées, il sera beaucoup plus difficile de revenir en arrière.

Notons au passage que l'OFCOM s'est bien gardé de publier les ID des cellules GSM/3G/4G12… Et ce dès le début de la publication de l'emplacement de ces mêmes cellules, empêchant ainsi les citoyens de s'assurer que les antennes employées par leurs appareils sont bien des antennes officielles. Avant même la mise en application de la LRens. De quoi se poser quelques questions sur ce sujet précis, et l'utilisation des IMSI-Catchers dans la Suisse de manière générale.

Ah, et, pour celles et ceux qui vont répondre "bah je n'ai rien à cacher, moi", je vous invite à lire cet excellent billet du non moins excellent François Charlet : https://francoischarlet.ch/2016/rien-a-cacher/

Bonnes lectures, et votez avec sagesse, pas sous le coup de l'émotion.

More »»

LRens : et après ?

Par SwissTengu @SwissTengu @SwissTengu — 2016-09-25T20:05:36
Le peuple a voté : 65.5% des votants a accepté la nouvelle Loi sur le renseignement. Adieu, sphère privée, donc. On va pouvoir remercier les Médias suisses (publics, privés) pour ne pas avoir abordé les éléments suivants lors de la campagne :

Bref. On est dans la mouise, aussi à poil que les citoyens américains ou français. Suite à ce vote, les citoyens ont deux possibilités : faire une totale confiance au SRC et aux commissions de surveillance2, ou se défendre bec et ongle pour protéger leur sphère privée et celles de leurs proches3.

Il est évident que EthACK, de par ses origines, est pour la défence (voire l'attaque). Nous avons jusqu'à septembre 2017 pour fourbir notre arsenal numérique et protéger au mieux nos systèmes, qu'ils soient privés ou d'entreprise.

La loi sur le renseignement permet pas mal de choses, certes. Elle peut même être assimilée au Patriot Act4 américain, vu qu'elle obligera les entreprises basées en Suisse à fournir des données au SRC. Elle permet aussi aux membres du SRC d'écouter toutes les connexions du pays5, voire de compromettre des systèmes informatiques nationaux6 ou étrangers7.
Mais nous ne sommes pas sans défense, heureusement. De plus en plus de services offrent différentes choses, auquelles il faut réellement commencer à prêter une attention particulière si ont veut que nos conversations privées restent privées :

Connexion chiffrée
À ce niveau, pas de miracle : les services ne fournissant pas de connexion sécurisée (http, smtp, imap, pop3) sont à proscrire. Seules les connexions chiffrées (httpS, smtpS, imapS, pop3S) sont à employer. Si les fournisseurs de services que vous employez ne mettent pas ces protocoles chiffrés à disposition, il serait bon de les contacter pour les inciter à le faire le plus rapidement possible.

Chiffrement côté client
Cela concerne principalement les "services clouds", dans le sens (erroné) "stockage en ligne". Il convient de s'assurer que les clients pour desktop, mobile, tablet ou autres chiffrent les données sur l'appareil avant d'envoyer quoi que ce soit. Dans un second temps, il faut absolument s'assurer que vous et vous seuls êtes en possession de la clef de déchiffrement. Sinon, ça ne sert à rien, vos données sont à poil chez le fournisseur de service.

Multi-factor authentication
Dans la mesure du possible, pensez à activer le MFA8 sur les services que vous employez. C'est une protection supplémentaire qui évitera les problèmes le jour où le service sera compromis, que ce soit par des hackers doués ou des hackers ayant mis la main sur les divers achats du SRC suite à une fuite de données à ce niveau…

Localisation des services
Avec la LRens, l'emplacement des serveurs ainsi que des sociétés les exploitant est moins important. Les USA sont évidemment à éviter à cause de leurs multiples lois (Patriot Act, FISA9, etc), mais il devient moins évident que la Suisse soit mieux : le SRC peut obliger n'importe quel fournisseur de service à donner des informations. D'ici que des sociétés comme Threema10 soit dans le colimateur du SRC, il ne faudra pas long.

Conditions générales et autres documents
Comme toujours, il faut lire les conditions générales d'utilisations de même que la politique de confidentialité (privacy policy) avant de souscrire à un service. Oui, ces textes sont longs. Oui, ils sont souvent en anglais. Oui, ils sont très barbants à lire. Mais faites-le !

Aussi, assurez-vous que vous employez un mot de passe différent pour chaque service ou que, s'il s'agit d'une dérivation d'un mot de passe principal, cette dérivation ne soit pas simple à trouver.

Au niveau de EthACK, nous allons tâcher de fournir des tutoriaux, et de sortir un nouveau cycle de conférences pour expliquer les tenants et aboutissants de cette loi. 

Dans l'intervalle, il vous faudra vous renseigner et déjà consolider l'existant. Faites déjà le tri, et profitez pour modifier vos mots de passe et vous assurer que chaque service en utilise un différent.

Stay safe.

T.
  • 1Nos élus ne savent pour la plupart pas comment fonctionne Internet ou les smartphones, sans parler même des réseaux sous-jacent
  • 2Bah, à priori, 65.5% des votants semblent vouloir à tous prix y croire, tout comme croire que cette nouvelle loi va réellement nous protéger contre des menaces qui, jusqu'à maintenant, on fait une quantité incalculable de morts : 0
  • 3Ne soyons pas égoïstes — et n'oublions pas que la plus solide des chaînes ne dépend que de son maillon le plus faible…
  • 4https://fr.wikipedia.org/wiki/USA_PATRIOT_Act
  • 5Ne nous voilons pas la face, la présence des sondes au cœur du réseau pour les connexions "externes" vont aussi écouter ce qu'il se passe ailleurs : rien que la RTS passe par Akamai, du coup les visites effectuées sortent du pays. Et combien de vos contacts utilisent GMail ? ;)
  • 6Article 26
  • 7Article 37
  • 8https://en.wikipedia.org/wiki/Multi-factor_authentication
  • 9https://fr.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
  • 10N'oublions pas que le code source de l'application n'est pas disponible…

More »»