#rgpd

magdoz@diaspora.psyco.fr

Email ce jour : Avec Mon #EspaceSanté, vous avez la main sur votre santé

Bonjour,
Vous allez bénéficier de Mon espace santé. Ce nouveau service public, numérique et sécurisé, hébergé en France, vous permet d'être acteur au quotidien de votre santé et de celle de vos proches.
Dans un délai de 6 semaines à partir de la réception de cet e-mail, le service Mon espace santé sera créé automatiquement pour "MA POMME".
Avec votre #CarteVitale et le code provisoire ci-dessous, vous pouvez :
- activer sans attendre le service Mon espace santé ;
- ou vous opposer à sa création.

Vous pourrez à tout moment changer d'avis : clôturer votre espace ou l'activer si vous ne l'aviez pas fait.

#HealthDataHub #données de #santé chez #Microsoft... #Cloud #RGPD
1.- J'adore le "hébergé en #France" ... maiiiis...... sans préciser que ça reste sous juridiction américaine !
Je suppose que pour l'instant, on n'est pas obligés, comme pour les débuts du vaccin Pfizer... puis quand 80% des moutons #Français auront validé l'inscription #numérique, ça deviendra impossible de faire sans...
Qui a des arguments pour ? (ou contre ?)

2.- "Changer d'avis, clôturer"... oui ben oui... en laissant malgré tout les données de santé sur leur serveur... Je me demande même s'il n'y a pas déjà un #piège rien qu'à devoir entrer dans le #logiciel pour dire qu'on veut s'opposer à sa création... J'attends vos avis, je ne me lance pas pour l'instant...

03/02/2022 : https://www.usine-digitale.fr/article/comprendre-mon-espace-sante-le-carnet-de-sante-numerique-en-trois-questions.N1780347

3- Faut-il s'inquiéter d'un tel stockage des données de santé ?
Le spectre du Health Data Hub hantera-t-il Mon espace santé ? Ce n'est pas #MicrosoftAzure qui a été choisi pour héberger les données de santé mais #Santeos, filiale de l'entreprise française #Wordline, pour les données du dossier médical partagé (DMP) et #Atos pour toutes les autres données de Mon espace santé. Comme la loi l'exige, tous deux sont hébergeur de données de santé (HDS).

A priori, les risques d'accès aux données par des Etats tiers sont donc écartés. Mais ce n'est pas le seul risque à prendre en compte : la centralisation d'informations sensibles soulève la problématique de la sécurité informatique. Pour l'heure, le gouvernement n'a pas publiquement communiqué sur ce sujet (est-ce la messagerie sécurisée bénéficie du chiffrement de bout en bout, qui à accès aux données...).

Et ces firmes, sont bien sûr privées, et appartiennent à .. qui ? Ou seront rachetées par qui dans quelques mois ?

Et... le 07/02/2022 sur le même site internet : https://www.usine-digitale.fr/article/ou-en-est-l-hebergement-des-donnees-de-sante-du-health-data-hub.N1781632

Alors que le gouvernement promettait un changement de fournisseur, le Health Data Hub est toujours hébergé par Microsoft #Azure. Cette base contient l'ensemble des données de santé des Français et doit servir à développer des systèmes d'apprentissage automatique afin de proposer une meilleure prise en charge de certaines pathologies.

Ils nous prendraient pas, encore, pour des billes, ceux-là, le ministre #CédricO en tête ? Ce même Cédric O qui est le Monsieur défendeur du bien-fondé de la reconnaissance faciale + un twett... #ReconnaissanceFaciale

#

Voir l'article du collectif #Interhop le 04/02/2022 : https://interhop.org/2022/02/04/avis-cnam-commission-mixte :

Avis du Conseil de la #CNAM sur les travaux menés par la Commission mixte (COR et CSITN) sur les données de santé

#Gouvernance, #sécurité, #éthique et #déontologie des usages des données de santé, et #souveraineté juridique et technique au service de la confiance des acteurs, telle était la feuille de route définie par le Conseil de la CNAM pour analyser l’état d’avancement de la mise en place de la Plateforme des Données de Santé ( #PDS) dite Health Data Hub ( #HDH), dans le cadre de la saisine reçue le 25 Août 2020, pour avis du projet de décret en Conseil d’Etat relatif au traitement des données à caractère personnel dénommé « système national des données de santé » (SNDS).

[...] En outre, si la solution « clé en main », hébergement et services, retenue pouvait constituer un avantage pour la #plateforme, elle peut être un frein à changer d’opérateur, à moyen ou long terme, dans la mesure où la dépendance est de plus en plus forte.

salinger3@diaspora-fr.org

Lourdes amendes CNIL à l'encontre des cookies Google et Facebook : notre décryptage

Le manquement aux dispositions de l’article 82 de la loi de 1978 est donc bien constitué. Google LLC écope d’une amende de 90 millions d’euros. Google Ireland, d’une amende de 60 millions d’euros.

Elle a tenu compte de plusieurs paramètres : *une violation délibérée des textes, la richesse et la puissance de l’entreprise, et le fait que #Google ait « refusé de communiquer la volumétrie du nombre de visiteurs uniques à partir des sites google.fr et youtube.com *».

D’autres points ont pesé, notamment « le nombre de personnes concernées par le manquement retenu », considéré comme « considérable », au regard de la popularité de Search et #YouTube en France. *Outre que le levier des cookies est fondamental pour les entreprises dont la richesse est fondée sur l'exploitation des données à caractère personnel. *

La formation restreinte de la CNIL a enfin décidé de rendre publique la décision de sanction. Elle a enjoint les deux entités d’ #Alphabet à corriger le tir en offrant aux internautes un moyen de refuser les cookies, « présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ». Le tout sous une astreinte de 100 000 euros par jour de retard dans les trois mois suivant cette délibération.

#Facebook a bien tenté de freiner la procédure de sanction, en communiquant le 6 décembre 2021 des captures d’écran pour démontrer qu’une nouvelle interface plus conforme était en cours de déploiement.

L'effort n’a pas convaincu. D’une part, « cette mise à jour modifie notamment le contenu des boutons de la première fenêtre "Gérer les paramètres de données" et "Tout accepter", qui s’intitulent respectivement désormais "Autres options" et "Autoriser tous les cookies" »

D’autre part, « dans la seconde fenêtre l’ancien bouton unique "Autoriser les cookies" s’intitule désormais "Autoriser uniquement les cookies essentiels" et qu’à côté la société y a introduit un second bouton intitulé "Autoriser tous les cookies" ».

Or, la mise à jour en question ne concerne que les utilisateurs connectés sur Facebook. De plus, elle « ne met toujours pas en place des moyens permettant de refuser les cookies aussi facilement qu’ils peuvent les accepter ». Raté.

Au final, la CNIL inflige 60 millions d’euros, avec là encore une #astreinte de 1*00 000 euros par jour de retard à l’issue d’un délai de trois mois. Soit le témoignage du degré de confiance accordé par la #CNIL à ces entreprises*.

https://www.nextinpact.com/article/49371/lourdes-amendes-cnil-a-encontre-cookies-google-et-facebook-notre-decryptage

#gafam #amende #vieprivée #cookie #rgpd #privacyshield #ePrivacy

jaune_lola@diaspora-fr.org

Le Contrôleur européen de la protection des #données a ordonné à #Europol de supprimer une partie de sa base de données

Injonction émise le 3 janvier 2022
En effet, l'agence spécialisée dans la répression de la criminalité a pris l'habitude de conserver des informations personnelles en dehors de tout cadre juridique. Autrement dit, Europol a pris l'habitude de conserver toutes les données sur les personnes visées directement ou indirectement par une procédure
Amère cerise sur le gateau : l'Europe est en train de concocter une loi qui pourrait, si elle est adoptée, justifier/légaliser a posteriori ces pratiques...(loi à effet rétroactif donc, voui voui, comme dans les plus belles dictatures...NDLR)
https://www.usine-digitale.fr/article/europol-intime-de-supprimer-une-partie-de-sa-base-de-donnees.N1174857
https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data
#police #flicage #surveillance #données-personnelles #bigdata #Europe #vie-privée #données #EDPS #confidentialité #RGPD #profilage #droits #droit #data #NSA #libertés #actu #Union-Européenne #UE

archeolithe@diasp.org

La CNIL publie un nouveau guide pour accompagner les associations

La CNIL publie un nouveau guide pour accompagner les associations<br>

La France dispose d’un tissu associatif particulièrement riche, recensant plus de 1,3 million d’associations aux profils divers, tant en termes de taille que de secteurs d’activité (caritatif, politique, sportif, social etc.).
Concentrées sur leurs missions, certaines structures n’ont pas toujours de ressources dédiées à la protection des données. Pourtant, la plupart d’entre elles collectent de nombreuses informations, parfois sensibles, qui concernent des publics variés. Il peut s’agir de leurs adhérents, des éventuelles personnes accompagnées, de leurs salariés, de bénévoles ou encore de donateurs.
Afin de respecter le RGPD, ces structures peuvent être amenées à revoir et à faire évoluer leurs méthodes de travail. Pour les aider, la CNIL propose un nouveau guide dédié aux associations avec pour objectifs de leur rappeler le cadre juridique de la protection des données et de leur donner des repères en termes d’organisation et de pratiques professionnelles.

https://www.cnil.fr/fr/la-cnil-publie-un-nouveau-guide-pour-accompagner-les-associations
https://www.cnil.fr/sites/default/files/atoms/files/cnil-guide_association.pdf

#fr #internet #cnil #rgpd

lfajardo@encanarias.info

El servicio bit.ly para cortar direcciones web no pueden usarlo las Administraciones Públicas

Hoy he encontrado una Administración que usa el servicio para acortar urls de bit.ly. Me ha llevado a preguntar ¿de qué vive bit.ly? Y a suponer, del uso de los datos de los usuarios... pero... fui a comprobarlo a su política de privacidad y, efectivamente. Tratan los datos para asociarlos a otros, generan perfiles... Así que si uso la sede electrónica de Justicia provista pro la Comunidad Autónoma de Canarias puedo terminar cediendo datos para que otros generen perfiles sobre mi y cedan datos a otros terceros, que es de donde la empresa que provee el servicio obtiene sus ingresos. Esa práctica es ilegal para todo el mundo sin consentimiento del interesado, pero si lo hace una Administración Pública entonces ni con el consentimiento puede hacerlo, pues viene obligada a prestar el servicio sin que el interesado pase por esas cesiones. Aquí lo que les escribí y mandé como sugerencia (también he registrado una reclamación ante la AEPD, porque ya uno está cansadito de decirle a los técnicos, que te dicen que sin no lo manda el político... y de decirle al político y que te digan que lo que le digan los técnicos...
- Señores técnicos (sí, uso una expresión genérica del español consciente de que existen muy buenas profesionales, si no fueran tan buenas, pueden -deben- también sentirse aludidas por la mención): hay que tener ganas de hacer las cosas mal cuando no consultan al DPD (que a poco que haya sido bien elegido y sepa les dirá que no pueden usarlo), y cuando no examinan las soluciones que ya están desarrolladas por la Administración Pública para el uso por las Administraciones Públicas, como es el caso de "RUN", un reductor de URLs para el uso de las AA.PP..
- Señores políticos (y digo aquí otro tanto de lo mismo): ¿para cuando una política tecnológica que garantice la calidad democrática, que impida que sea necesario un plan de salud mental en las escuelas, que no secuestre la voluntad de la gente, que genere desarrollo local, que promueva la ciencia frente a la histeria y la segregación, que tienda puentes en lugar de segmentar a la población...? Es uno de los grandes problemas de la sociedad actual. ¿Cuándo se van a dar cuenta?

Texto de la sugerencia (también presentada como reclamación ante la AEPD):

CESIÓN DE DATOS SIN CONSENTIMIENTO EN https://sede.justiciaencanarias.es/sede/

Al poner un enlace al servicio de Apud acta que apunta a un sistema de tracking y monitorización que capta datos personales (https://bit.ly/2BxjTbb), como puede observarse en la política de privacidad (en inglés) del proveedor. [extractado en el siguiente epígrafe]
Además, [1] no aparece reflejado dicho tratamiento en el registro de actividades de tratamiento de esa Administración, y [2] cabe sospechar que no existe acuerdo con el encargado de tratamiento exigido por el art. 28 RGPD, [3] ni que se haya hecho la evaluación a que obliga el art. 35 RGPD, pese a que el servicio elegido supone un tratamiento de los del art. 35.3.a), lo que [4] lleva de nuevo a suponer que la elección del encargado no se ha hecho ponderando las exigencias a que obliga el art. 28 RGPD.

Extracto de la política de privacidad de bit.ly:

enlace a la [versión original]
[Este extracto no formó parte del escrito que comuniqué a la Administración, que la juzgo capaz de leer la política de privacidad y sacar sus conclusiones. Por facilidad de lectura y claridad, he decidido incorporarlo aquí]
"This Privacy Policy covers the treatment of the personal information gathered by Bitly when you [...] view or interact with a Bitly link
[...]
Bitly may collect personal information about you as described in this Privacy Policy when you [...] (iii) view or interact with a Bitly link [...]. We collect the following types of information from you, some of which might be considered personal information under applicable law.
.[...]
When You Interact With a Bitly Link
Bitly automatically collects personal information about the interaction (such as clicks or views) with every Bitly Link created through the Services (either our bit.ly links or one of our branded domains) on a third-party website. This information includes, but is not limited to: (i) the IP address and location derived from the IP address; (ii) the referring websites or services; (iii) the time and date of each access; (iv) device settings, such as browser type, operating system, and language; (v) cookies, as described below, and mobile advertising identifiers and (v) information about sharing of the Bitly Link on Third Party Services such as Twitter and Facebook (collectively, “Bitly Link Metrics”). As described in this policy, we use Bitly Link Metrics to provide the Services, to understand and analyze how our Services are used [...]
[...]
How We Use Information
We use the personal information we collect for a variety of administrative and business purposes to:
[...]
- ...provide the Services
[...]
- ...develop new products and services
- measure interest and engagement in our Site and Services,
- monitor and analyze usage and trends of the Site and Services,
- provide services to our customers to allow them to understand how you interact with our Services [...]
[...]
Usage Across Devices
We may use the information we collect to make inferences that a unique individual has created or interacted with Bitly links on different devices so that we can to detect, deter and prevent malicious, fraudulent or unlawful activity and analyze how users use our Services [...]
Information We Share
The Services are designed to help you share information with others. In addition, we provide Services to our Customers that use Bitly Link Metrics. As a result, some of the personal information generated through your use of the Services is shared publicly or with third parties as described below.
[...]
Information We Share With Customers
We may share the personal information we collect as described in this Privacy Policy with our customers. When you create a Bitly Link of one of our enterprise customer’s sites, the enterprise customer is able to view the unshortened original URL, the date and time the Bitly Link was created, the location where it was created as derived from your IP address, and aggregated information about clicks and views of the Bitly Links, including the number of times the Bitly Link was shared, whether or not it was viewed, comparison of that Bitly Links performance to that of all Bitly Links pointing to the same content, whether others are sharing a Bitly Link to the same content, geographic regions where the content is being viewed, and identification of social networks on which the Bitly Links appear. In addition, we may share Bitly Link Metrics with customers [...]
Information Shared with Service Providers
We may employ and contract with third parties to perform certain tasks on our behalf and under our direction (our “Service Providers”). We may need to share information about you with our Service Providers in order to provide our product with research and analytics on user behavior and to provide advertising products and services to users, to process payments, and to provide email marketing and support services. Our agreements with these Service Providers authorize them to use your information only as necessary to provide services to us. Transfers to subsequent third parties are covered by the service agreements with our Clients.

#RGPD #AAPP #AdministracionPublica #MalasPracticas #TICs #TICs #CapitalismoSalvajeVigilancia #FeudalismoDigital

bastamedia@framasphere.org

Passe sanitaire au travail : « L’octroi d’une forme de pouvoir de police à des employeurs est inquiétant »

D’abord instauré pour le public, le passe sanitaire est désormais obligatoire pour plusieurs milliers de salariés. Depuis le 1er septembre, ceux et celles qui ne s’y conforment pas peuvent être suspendus, et privés de salaires. Explications. https://www.bastamag.net/passe-sanitaire-salaries-quelles-sanctions-suspension-pouvoir-des-employeurs

#PasseSanitaire #Travail #Obligation #Sanction #Employeurs #Salariés #Suspension #RGPD #Controle #Surveillance

quitterfacebook@diaspora-fr.org
simaj@pod.g3l.org

Protection des données de santé: encore trop de failles

émission de radio de 5 min : Protection des données de santé: encore trop de failles
Franchement ? Donner le micro à Doctolib ? Après le cadeau “inscription pour le vaccin”, ils n’ont pas eu assez d’inscription ?
Cash investigation : nos données personnelles valent de l’or
Bon désolée, pas trouvé d’autres lien, mais pour France 2 aussi nos données sont importantes d’ou une inscription obligatoire pour visionner une vidéo j’imagine :/
#RGPD #donnéesPersonnelles #servicePublic #FranceCulture #France2

magdoz@diaspora.psyco.fr

Pour #Snowden, le #RGPD ne suffit pas.

"Le problème n'est pas la protection des données, mais la collecte de données"

Nov. 2019 https://www.zdnet.fr/actualites/pour-snowden-le-rgpd-ne-suffit-pas-39893319.htm
#Français

"Réglementer la protection des #données suppose que la collecte de données était au départ appropriée, c’est-à-dire qu'elle ne représente ni une menace ni un danger, qu'il est correct d'espionner tout le monde, qu'il s'agisse de vos clients ou vos citoyens - tant qu’il n’y a pas de fuites et tant que vous seul contrôlez ce que vous avez volé à tout le monde ", a-t-il ajouté.

Snowden a déclaré que bien que le RGPD soit un "bon premier effort", la barre était déjà très basse: "Ce que je dis, c'est que ce n'est pas la solution, ce n'est pas l’ #Internet que nous voulons".

L'une des caractéristiques les plus significatives du RGPD est que les entreprises peuvent être condamnées à une amende maximale de 20 millions d'euros ou de 4% de leur chiffre d'affaires mondial - le montant le plus élevé étant retenu. Snowden a déclaré: "Tant que ces amendes ne seront pas appliquées chaque année aux géants de l'internet, jusqu'à ce qu'ils réforment leur comportement et commencent à se conformer non seulement à la lettre, mais aussi à l'esprit de la loi, est un tigre de papier qui nous donne une fausse impression de #sécurité ", a-t-il déclaré.

Pour Snowden, le principal problème est que la collecte de données personnelles via des sites #Web, des applications, etc. est devenue un modèle commercial dominant sur Internet. "Nous avons légalisé l'abus de la #personne, à travers le personnel. Nous avons enchâssé un #système qui rend la population vulnérable au profit des #privilégiés", a-t-il déclaré. "Les données ne sont pas inoffensives. Les données ne sont pas abstraites quand elles concernent des personnes. Ce ne sont pas des données qui sont exploitées, ce sont des personnes qui sont exploitées. Ce ne sont pas des données et des réseaux qui sont influencés et manipulés, c'est vous."

#English : #GDPR is missing the point, says Edward Snowden
Nov. 2019 : https://www.zdnet.com/article/gdpr-is-missing-the-point-says-edward-snowden/

#Numérique #Surveillance #Propagande #UE #Europe #France