Brèves du 22 au 28 novembre 2021

Bonsoir à tous, voici les brèves de la semaine du 22 au 28 novembre 2021 par le Collectif M1 PIDN 2021/2022.

Nous avons l’honneur de vous annoncer que nous organisons « Le Calendrier de l’Avent du Collectif 2021/2022 », un concours qui aura lieu le 1er Décembre sur notre Instagram (@master1_pidn). À la clé, plusieurs lots à gagner !  En attendant d’y participer n’hésitez pas à aller voir le règlement (linktr.ee/Master1_PIDN).

Très bonne lecture à tous et bonne fin de semaine.

 

Une procédure de contrôle lancée à l’encontre du site Vinted par les autorités de protection des données européennes

 

Vinted avait déjà fait l’objet de controverses en mai 2021 quand l’association de consommateurs « UFC-Que Choisir » a lancé une action en justice contre la société lituanienne pour « pratique commerciales trompeuses » en raison d’une commission présentée comme optionnelle que Vinted se verse à chaque vente effectuée sans aucune possibilité de la désactiver.

Le 18 novembre 2021, les autorités de protection des données de France, de Lituanie et de Pologne ont annoncé dans un communiqué conjoint la création d’un groupe de travail avec l’aide du Comité européen de la protection des données (CEPD) afin de contrôler la conformité de Vinted, site de vente en ligne de vêtement et d’objet de seconde main, au RGPD.

Ces autorités sont présentes dans chaque Etat membre de l’Union Européenne et sont chargées de veiller à la protection des données à caractère personnel. Elles veillent notamment à l’application du Règlement Général sur la Protection des Données (RGPD). Par exemple, en France cette autorité est le Comité National de l’Informatique et des Libertés (CNIL).

Après la réception d’un nombre significatif de plaintes, les autorités vont se concentrer notamment sur l’obligation d’envoyer « une copie numérisée de sa carte d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur ». Cette procédure a pour objectif de vérifier l’identité de l’utilisateur et limiter les risques de fraude ou d’usurpation d’identité.

Cependant, ces copies de documents d’identité sont des données sensibles comportant de nombreuses informations sur son détenteur. Ce groupe de travail aura donc pour objet de contrôler la base légale de la procédure appelée « Know Your Customer » sur l’application de l’entreprise, les différents critères et procédures de blocage d’un compte d’utilisateur ainsi que la durée de conservation des données personnelles des utilisateurs. Une possibilité pour la société de respecter le RGPD tout en recueillant et en utilisant ces données est de demander le consentement exprès de l’utilisateur par une démarche active et explicite (afin d’avoir un consentement libre, spécifique et informé).

Selon la CNIL française, « cette action permettra d’assurer l’effectivité et la cohérence des contrôles sur la conformité des traitements de données de Vinted aux dispositions du RGPD ». L’application de vente de vêtement en ligne étant d’origine lituanienne, la CNIL lituanienne est naturellement l’autorité chef de file de ce contrôle de conformité au RGPD.

La société affirme quant à elle sa volonté de collaborer pleinement avec ce groupe de travail et s’engage à protéger les données personnelles de ses utilisateurs. Un porte-parole a également ajouté que « Vinted se mobilise au quotidien pour proposer une plateforme simple d’utilisation, fiable et transparente ».

Alice BERKATE

Sources :

Les pratiques de la plateforme Vinted contrôlées par des autorités de protection des données européennes | CNIL

RGPD : le e-commerçant Vinted passé au crible par le Comité européen de la protection des données | La Revue du Digital

Vinted se plie-t-il bien au règlement européen sur la protection des données personnelles ? – L’Éclaireur Fnac

Pourquoi l’application Vinted est-elle dans le collimateur des CNIL européennes ? (siecledigital.fr)

 

Doctolib reprend le contrôle sur la sécurisation des données de santé de ses utilisateurs

 

Le leader européen de la e-santé créé en 2013, regroupe 300 000 personnels de la santé et compte désormais 60 millions d’utilisateurs en France, Allemagne et Italie. Lors de la crise du Covid-19, Doctolib a joué un rôle majeur dans l’expansion de la vaccination en France. Encore aujourd’hui avec les nouvelles annonces concernant la troisième dose, il est en première ligne dans la lutte contre la pandémie. Cependant, le site de prise de rendez-vous en ligne a souvent été accusé de mal protéger les données de ces utilisateurs.

En effet, en mars 2021, Franceinter a publié une enquête démontrant qu’ Amazon, qui est un hébergeur des données de cette entreprise, aurait accès aux données personnelles des utilisateurs. Stanislas Niox-Château, le fondateur de Doctolib, a rejeté ces accusations. Ce dossier a tout de même était présenté devant le Conseil d’État qui a retenu que « La société Doctolib qui recourt à AWS SARL, filiale de la société américaine Amazon Web Serivces Inc, pour l’hébergement de ses données, ne porte pas une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles ».

De nouveau en juin 2021, Doctolib a été accusé d’avoir transféré des données personnelles de ses utilisateurs à Facebook et Outbrain, selon le média allemand « Mobilsicher ». En effet, il aurait été mis en place des cookies permettant d’envoyer les mots-clés utilisés sur leur site à ces deux plateformes. De nombreux patients ont dénoncé avoir reçu des publicités ciblées grâce aux données qu’ils avaient entrées sur Doctolib.

Cela a évidemment fait polémique avec en cause l’augmentation du nombre de patients ayant adopté le réflexe de prendre rendez-vous via ce site. Les données personnelles deviennent une monnaie d’échange et plus précisément les données sensibles comme les données médicales qui sont aussi monétisées et qui « valent de l’or sur le web ».

Après toutes ces accusations, le leader européen a voulu redorer son blason et récupérer la confiance de ses utilisateurs en obtenant la certification ISO 27001 qui atteste de la sécurisation des données de santé des utilisateurs. Cette certification est délivrée pour une durée de trois ans par BSI Group et un audit de surveillance est prévu chaque année. Le porte-parole de Doctolib explique que « la certification ISO 27001 est la norme de référence internationale en matière de mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Elle permet de garantir que les processus instaurés au sein de Doctolib sont conformes aux enjeux actuels dans ce domaine».

Par ce processus, Doctolib a ainsi réaffirmé ses engagements dans le domaine de la confidentialité des données en prouvant que c’était un principe fondamental pour eux et que « le modèle économique de Doctolib ne reposait pas sur l’utilisation des données personnelles mais reposait uniquement sur un abonnement payé par les professionnels de santé et les établissements de santé, ce qui leur permet d’utiliser les solutions développées par l’entreprise ».

Célia NEVEUX

Sources :

https://media.doctolib.com/image/upload/mkg/file/PR_-_211117_-_ISO_27001

https://siecledigital.fr/2021/06/23/doctolib-donnees-medicales-facebook-outbrain/

https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

https://siecledigital.fr/2021/11/23/doctolib-certification-securisation-des-donnees-sante/

https://www.usine-digitale.fr/article/doctolib-obtient-deux-certifications-sur-la-securisation-des-donnees-de-sante.N1162082

https://www-dalloz-fr.ezproxy.universite-paris-saclay.fr/documentation/Document?ctxt=0_YSR0MD1kb2N0b2xpYiBldCBkb25uw6llcyBwZXJzb25uZWxsZXPCp3gkc2Y9c2ltcGxlLXNlYXJjaA%3D%3D&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1GYWxzZcKncyRzb3J0PSNkZWZhdWx0X0Rlc2PCp3Mkc2xOYlBhZz0yMMKncyRpc2Fibz1UcnVlwqdzJHBhZ2luZz1UcnVlwqdzJG9uZ2xldD3Cp3MkZnJlZXNjb3BlPUZhbHNlwqdzJHdvSVM9RmFsc2XCp3Mkd29TUENIPUZhbHNlwqdzJGZsb3dNb2RlPUZhbHNlwqdzJGJxPcKncyRzZWFyY2hMYWJlbD3Cp3Mkc2VhcmNoQ2xhc3M9&id=DIPIT%2FCHRON%2F2021%2F0538

 

Amendement posant une obligation d’ouverture des codes n’étant plus mise à jour : une solution pérenne au problème de l’obsolescence logiciel ?

 

 

Le Sénat après délibérations a adopté le 2 novembre en première lecture une proposition de loi visant à renforcer la régulation environnementale du numérique par l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. L’article 2 de cette proposition de loi vise en particulier à informer le consommateur des durées de mises à jour pour les logiciels liés à des appareils électroniques (par exemple, le temps durant lequel un iPhone sera éligible aux mises à jours de IOS).

4 députés de l’Assemblée Nationale ont déposé le 18 novembre un amendement à cette proposition de loi qui changerait sa teneur et permettrait d’aller encore plus loin dans le cadre de la lutte contre l’empreinte environnementale du numérique et contre l’obsolescence programmée en France.

 Cet amendement dispose que « Dès lors que le vendeur ne fournit plus de mises à jour, il diffuse gratuitement, sous format électronique et dans un standard ouvert librement réutilisable, les codes sources afférents au produit concerné. »
Il vise ainsi à lutter contre l’obsolescence logiciel liée à certains appareils. En effet, leurs producteurs continuent de développer les codes sources des opérateurs systèmes et à un moment défini en amont, les appareils trop anciens ne peuvent plus supporter ces nouveaux codes. L’amendement déposé vise donc à permettre aux informaticiens indépendants de mettre à jour notamment du point de vue de la sécurité ces appareils et ainsi à permettre aux consommateurs de les conserver plus longtemps, réduisant l’impact environnemental lié à leur production.

 Si cette mesure est louable en ce qu’elle vise à protéger le consommateur contre l’incitation à consommer des grandes entreprises du secteur de l’électronique, elle paraît trop succincte dans sa rédaction et dans ses justifications techniques et juridiques pour pouvoir être effectivement mise en place.

En effet, les logiciels sont soumis en droit de la propriété intellectuelle à la protection des droits d’auteur. Imposer la mise en ligne des codes sources pour que les informaticiens puissent les réutiliser, les mettre à jour pour régler les problèmes de sécurité et éventuellement les commercialiser constituerait une atteinte aux droits d’auteur des développeurs de ces logiciels. Les droits de propriété intellectuelle étant reconnus comme des droits fondamentaux, l’amendement devrait se justifier par une mise en balance d’autres droits fondamentaux pour être considéré comme conforme au bloc constitutionnel.

 De plus, les députés avancent que cette nouveauté permettrait une meilleure sécurité des appareils soumis à l’utilisation de logiciels n’étant plus mis à jour par le constructeur. Cependant, la sécurité informatique est un secteur demandant une vigilance constante pour la détection et la résolution de failles. Ainsi, la publication en open source de ces codes ne permettrait pas de garantir au consommateur la sécurité effective de son appareil et de ses informations, le code étant notamment aussi ouvert à des personnes pouvant souhaiter en explorer les failles.

 Ainsi, si les intentions sous-jacentes à cet amendement paraissent louables, l’exécution laisse encore à désirer et ne permet que de poser plus de questions quant au caractère réalisable des objectifs poursuivis. Le texte n’a d’ailleurs pas été soutenu le 24 novembre, il ne sera donc sauf ré-inclusion en 2ème lecture jamais voté.

Jean SOUQUET-BASIEGE

Sources :

https://www.assemblee-nationale.fr/dyn/15/amendements/4628/CION-DVP/CD2

https://www.assemblee-nationale.fr/dyn/15/textes/l15b4628_proposition-loi#D_Article_2

https://www.numerama.com/tech/757842-et-si-lon-ouvrait-de-force-le-code-source-des-logiciels-qui-ne-sont-plus-mis-a-jour.html

https://www.programmez.com/actualites/assemblee-nationale-forcer-la-publication-dun-code-source-quand-le-logiciel-nest-plus-supporte-33307

 

 

Plateforme de vente en ligne : Wish prochainement déréférencé des moteurs de recherche et des applications mobiles

 

 

Coup dur pour le grand site de vente en ligne Wish en cette semaine du Black Friday et à l’approche des fêtes de fin d’années.
Réputé pour avoir des prix défiant toute concurrence, en effet il est possible d’y trouver des produits analogues à ceux vendus par de grandes marques, mais à de tout petits prix. Des prix fantaisistes pour le consommateur par des montres à moins de 30 euros, des blousons en « cuir » à 30 euros, des réveils électroniques à 7 euros etc.

Mais qu’en est-il  de la qualité et de la conformité de ces produits ?

C’est le problème soulevé par le  ministre de l’Économie Bruno Le Maire qui déclare « Ces acteurs bafouent la réglementation sur la sécurité et c’est inacceptable. Il n’y a pas de raison de tolérer en ligne ce que nous n’acceptions pas dans les commerces physiques » le mercredi 24 novembre.
En effet, il a ordonné aux moteurs de recherche en ligne tels que Google, Lilo, Bing et aux magasins d’applications mobiles comme Apple Store, Play Store de déréférencer Wish d’ici une semaine maximum. Désormais, pour pouvoir accéder au site, il faudra taper directement l’URL sur la barre de navigation car Wish n’apparaîtra plus sur les moteurs de recherche.

Selon le secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques (Cédric O) « Ce déréférencement réduit considérablement le risque qu’un consommateur tombe par hasard sur des offres de produits dangereux ».
Il s’agit d’une première en France car cela est le reflet d’une intransigeance des régulateurs vis-à-vis des pratiques commerciales de certains acteurs sur Internet.

Cette sanction intervient à l’issue d’une enquête menée par le SNE (Service National d’Enquête) de la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) en 2020. Celle-ci portait sur 140 produits proposés à la vente sur le site et leur conformité. L’enquête révèle qu’un grand nombre de produits sont non conformes, en outre d’un taux de dangerosité pour certaines catégories de produits comme les jouets qui peuvent être cancérigènes.
Concernant les appareils électroniques, l’enquête a révélé que 95% étaient non conformes dont 90% dangereux pouvant provoquer des risques d’électrocutions. Pour les bijoux fantaisistes, 62% sont dangereux compte tenu de la toxicité du plomb, du nickel et du cadmium qui n’ont pas respecté les seuils maximums réglementaires, cela peut entraîner des risques de cancer ou d’allergie.

Sa sanction émane du fait qu’après avoir avisé Wish de la présence de produits non-conformes et dangereux, la DGCCRF a constaté que ceux-ci réapparaissent sous une autre appellation. La sanction devrait persister jusqu’à ce que Wish se remette en conformité avec la loi. Quant à Wish, la plate-forme de vente en ligne s’est défendue mercredi dans un communiqué en déclarant que cette décision est « illégale et disproportionnée » et compte faire prochainement un recours juridique.

Quelques semaines avant les fêtes de fin d’années, ces produits pourraient-ils continuer à être vendus dans d’autres pays ?
Lorsque la DGCCRF procède au retrait ou au rappel d’un produit qu’elle juge non conforme sur le marché français, elle en informe la Commission Européenne ce qui permet aux autres États Membres de l’Union Européen d’être avisés sur l’illicéité d’un produit et de décider de le bannir ou non.

 

Cédric Neldé Kossadoum

Sources :

https://www.lemonde.fr/pixels/article/2021/11/24/le-site-de-vente-en-ligne-wish-va-disparaitre-des-grands-moteurs-de-recherche-en-france_6103342_4408996.html

https://www.latribune.fr/technos-medias/internet/le-dereferencement-de-wish-fait-pschiit-le-site-a-eu-pignon-sur-rue-pour-le-black-friday-897280.html

https://www.20minutes.fr/societe/3180783-20211124-wish-dereference-guirlandes-inflammables-tetines-bisphenol-quoi-exactement-produit-non-conforme

MasterIPIT