Jusque dans les chiottes

La CNIL vient de préciser les « circonstances exceptionnelles » et « conditions cumulatives » qu’un établissement d’hébergement pour personnes âgées dépendantes (Ehpad) doit remplir « avant d’envisager » la mise en place d’un dispositif de vidéosurveillance dans des chambres de ses résidents.

La CNIL rappelle que sa recommandation, également publiée au Journal officiel, fait suite à « plusieurs demandes de conseil » qui lui avait été adressées suite à la médiatisation de cas de maltraitance au sein d’Ehpad, et aux « nombreuses interrogations juridiques et éthiques » que cela peut poser :

« Un tel dispositif est en effet susceptible de porter atteinte tant aux droits des salariés qu’à ceux des personnes hébergées pour lesquelles la chambre représente le seul espace d’intimité dans lequel elles peuvent poursuivre leur vie affective et familiale. »

Elle avait alors, en février 2023, une consultation publique afin de « mieux comprendre les enjeux du secteur et de trouver un équilibre entre la sécurité des résidents, le respect de leur intimité et les droits et libertés des salariés ».

• La CNIL se saisit du dossier de la vidéosurveillance dans les chambres d’EHPAD

Elle estimait alors que, « d’une manière générale », l’installation d’un dispositif de vidéosurveillance dans la chambre d’une personne hébergée était « disproportionnée ».

Pour autant, et « en cas de suspicions fortes de maltraitance » à l’encontre d’une personne hébergée, basées sur un faisceau d’indices concordants (hématomes, changements comportementaux, etc.), elle reconnaissait qu’un organisme « devrait pouvoir installer de manière ponctuelle » un dispositif de vidéosurveillance « pour la prévention des incidents », et « sous réserve de garanties appropriées (limiter l’activation dans le temps, restreindre la prise d’images dans les lieux d’intimité, etc.) ».

Les nombreuses contributions reçues lui ont depuis « permis de mieux comprendre les préoccupations du public et les besoins du secteur », et donc d’enrichir sa recommandation définitive.

Un dernier recours, en cas de mauvais traitements avérés

« En principe », souligne la CNIL, l'installation d'un système de vidéosurveillance dans les chambres d’Ehpad « ne peut être envisagée que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) seulement » :

• • « en cas de suspicion étayée de mauvais traitements » (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place pour assurer la sécurité des personnes hébergées (par exemple, un bouton d’appel d’urgence sans fil, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme) ;

• • « ET après échec des procédures d’enquêtes » n’ayant pas permis de détecter une situation de maltraitance, dès lors qu’un doute subsiste.

La (longue) liste de garanties cumulatives préalables

La CNIL insiste, de plus, sur les garanties que les établissements devront avoir pris « avant la mise en place d’un dispositif de vidéosurveillance », afin de :

• • limiter l’activation dans le temps ;

• • désactiver le dispositif de vidéosurveillance lors des visites des proches, sauf si le soupçon de maltraitance porte sur ces derniers ;

• • établir et appliquer un cadre interne quant aux conditions justifiant l’installation d’un dispositif de vidéosurveillance (il doit par exemple s’agir d’une demande émanant des proches de la personne hébergée à l’établissement faisant suite à des cas de suspicions fortes et avérées de maltraitance, etc.) ;

• • informer les salariés de manière individuelle et collective quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ;

• • recueillir le consentement des personnes hébergées ou lorsque la personne n’est pas en mesure de consentir, celui-ci devra être recueilli dans le respect des règles spécifiques liées à la protection des majeurs ;

• • « flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit ;

• • insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage (accès aux images strictement limité au seul personnel habilité ; conditions d’accès aux images par la famille ; etc.) ;

• • lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquêtes, du respect du cadre interne en matière de faisceaux d’indices, de l’information du personnel, le cas échéant ;

• • sensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs.

La durée de conservation devra, au surplus, être « limitée à quelques jours » si les images ne révèlent pas de maltraitance à l’égard du résident ou, dans le cas contraire, à la durée de la procédure contentieuse.

Des caméras jusque dans les WC en cas de « forte suspicion »

La CNIL précise que la prise d’images dans les lieux d’intimité (toilettes, douches) « doit être proscrite sauf circonstances exceptionnelles », à savoir lorsque les procédures d’enquêtes internes et le dispositif de vidéosurveillance installé au sein de la chambre n’ont pas permis de détecter une situation de maltraitance, alors qu’il subsiste « une forte suspicion » que de tels actes y soient perpétrés. Au regard des « risques élevés » susceptibles d’être engendrés pour les droits et libertés des personnes concernées, les organismes mettant en œuvre ce type de dispositif « devront réaliser une analyse d’impact relative à la protection des données (AIPD) », précise la CNIL, qui se met à la disposition des organismes pour les accompagner à cet effet, et qui invite les Ehpad à commencer à y réfléchir sans attendre de cas de maltraitance :

« Une telle AIPD ne pouvant être réalisée en urgence, cela implique d’avoir réfléchi à la possibilité d’utilisation d’un tel dispositif à l’avance, en cas de suspicion de maltraitance. »

L’organisme mettant en œuvre le dispositif devra dès lors et plus particulièrement insister sur :

• • les raisons l’ayant conduit à considérer que des moyens alternatifs moins intrusifs s'avéraient inefficaces ;

• • les garanties qu’il met en œuvre pour ne pas mettre sous surveillance continue les salariés travaillant dans l’établissement ;

• • les mesures pour assurer la confidentialité des données ;

• • les précautions prises pour protéger la vie privée des personnes hébergées.

La vidéosurveillance devra être consentie

La CNIL rappelle par ailleurs qu'il est « en principe » interdit d’installer des caméras pour « améliorer » le service offert à la personne concernée en renforçant son « confort » (afin, par exemple, d'améliorer le temps d'intervention rapide à la demande des résidents), « même lorsqu’elle a donné son consentement ». Elle précise aussi que les proches des résidents ne sont pas habilités à installer de caméras, y compris pour assurer la sécurité du membre de leur famille, et que « seul l’établissement peut en principe mettre en place le dispositif, afin que celui-ci soit le plus respectueux des droits et libertés de chacun ». La CNIL relève en outre que des dispositifs alternatifs peuvent également être mis en place pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, tels que des capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelets susceptibles de détecter une chute brutale grâce à un accéléromètre, capteurs/boitiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, « sous réserve du recueil du consentement » de la personne hébergée ou, lorsqu’elle n’est pas en mesure de consentir, dans le respect des règles spécifiques liées à la protection des majeurs. Le consentement de la personne concernée devra en tout état de cause être recueilli avant l’installation du dispositif de vidéosurveillance, « y compris lorsque la demande provient de ses proches ». Si l’initiative émane de l’établissement, il devra aussi permettre à la personne concernée de refuser son installation.

Les principaux acteurs européens du commerce en ligne pâtissent de la concurrence « des marques chinoises émergentes » comme Shein et Temu et ont vu leurs volumes de ventes transfrontaliers baisser de 18 % en 2023 par rapport à 2022, relève l’AFP.

Ces chiffres émanent d’une étude effectuée par Cross-Border Commerce Europe, une plateforme « de réseau et de connaissance » de l’e-commerce européen, auprès des « 500 plus grands acteurs européens du secteur ».

Les « pure players » et les places de marché représentent 42 % de ce TOP 500. La mode, la joaillerie et les chaussures dominent le secteur, avec une part de 39 %, suivies par les produits pour la maison, le jardin et le bricolage (13,3 %).

Le chiffre d’affaires transfrontalier aurait cela dit progressé de 32 % depuis 2022, avec un chiffre d’affaires de 237 milliards d’euros (hors voyages), contre 179 en 2022. Les e-commerçants allemands arrivent en tête avec un CA de 43 milliards (+ 28 %), suivis par les britanniques, qui patissent du Brexit (28 Md, -2 %), des français (32 Md, + 30 %), espagnols (18 Md, +50 %) et des néerlandais (7 Md, + 45 %).

Dix grands acteurs se partagent 19 % des ventes totales, « avec Ikea en numéro 1 pour la troisième année consécutive », suivi par Zalando, H&M, Lego, Zara, Jysk (chaîne de magasins danoise spécialisée dans le mobilier), Lidl, Decathlon, Adidas et Notino (site spécialisé dans la beauté fondé en 2004 en République tchèque).

L’étude avance que les plateformes de commerce social telles que TikTok Shop et Instagram « ne sont pas seulement des tendances », mais représentent « la plus importante perturbation du marché depuis l’avènement de l’internet ». Cross-Border Commerce Europe estime dès lors qu’ « il est impératif que les vendeurs européens adoptent le commerce social pour rester compétitifs dans un paysage commercial en pleine évolution ».

En outre, et face aux prix agressifs et à l’offre pléthorique des plateformes de commerce électronique chinoises, les entreprises européennes doivent également « privilégier la qualité, la fiabilité des délais de livraison, l’engagement communautaire et les services localisés » dans ce contexte de concurrence féroce.

• DSA : Shein est une très grande plateforme pour la Commission européenne

La Tribune relève que l’exécutif européen a ajouté, vendredi dernier, Shein à la liste des très grandes plateformes en ligne soumises à des contrôles renforcés dans le cadre de la nouvelle législation sur les services numériques (DSA) et que Temu, une autre application chinoise d’e-commerce devrait, elle aussi, être prochainement ajoutée à cette liste après avoir annoncé en avril qu’elle comptait environ 75 millions d’utilisateurs mensuels dans l’Union européenne.

La mairie de Cannes va expérimenter « l’usage de caméras de vidéoprotection utilisant l’Intelligence Artificielle (IA) » pendant le Festival International du Film de Cannes, du 14 au 25 mai 2024

Ce système, déployé aux abords du Palais des festivals et des congrès, permettra aux opérateurs du Centre de Protection Urbain municipal (CPU) de « détecter rapidement des comportements suspects ou potentiellement dangereux, déclenchant ainsi des interventions plus rapides » :

« Ces caméras seront capables de détecter des colis abandonnés, la présence ou l’utilisation d’armes, le non-respect du sens de circulation, le franchissement ou la présence dans une zone sensible ou interdite, une personne au sol, un mouvement de foule, une densité trop importante de personnes et un départ de feux. »

David Lisnard, le maire de Cannes, explique avoir sollicité « dès 2019 » l’usage de tels moyens technologiques de surveillance supplémentaires pour « lutter au mieux contre le terrorisme et le banditisme, dans un cadre judiciarisé et protecteur des libertés individuelles » :

« Avec la loi relative aux Jeux Olympiques et Paralympiques de 2024, nous allons enfin pouvoir déployer, à titre expérimental, des caméras équipées d’Intelligence Artificielle reliées à notre CPU pour identifier des situations à risque. Couplé à l’efficacité de notre réseau de vidéoprotection, le plus dense de France, l’objectif est de gagner du temps pour déclencher au plus tôt la chaîne d’alerte et rendre le dispositif de sécurité plus efficace. Je salue la décision du ministère de l’Intérieur d’avoir choisi Cannes et le premier festival culturel au monde pour tester cet outil. »

« Pionnière dans le domaine de la vidéoprotection avec ses 884 caméras déployées sur son territoire », soit une caméra pour 84 habitants (et non « 84 [caméras] par habitant » comme indiqué dans le communiqué), la mairie de Cannes s’était en effet portée volontaire auprès du ministère de l’Intérieur pour expérimenter la « vidéoprotection algorithmique » lors du Festival International du Film de Cannes.

Un retour d’expérience sera communiqué au ministère de l’Intérieur « dans les 15 jours suivant l’évènement ». Ce qui permettra à la ville de Cannes de faire partie des « premières expérimentations avant le lancement des Jeux Olympiques et Paralympiques de Paris ».

« Nous renforçons notre action contre les applications tierces qui enfreignent les conditions d’utilisation de YouTube, en particulier les applications de blocage des publicités », vient d’annoncer YouTube.

Les utilisateurs de ces applications tierces pourront dès lors « rencontrer des problèmes de mise en mémoire tampon ou voir apparaître l’erreur « Le contenu suivant n’est pas disponible sur cette application » lorsqu’ils essaient de regarder une vidéo ».

« Nous n’autorisons les applications tierces à utiliser notre API que si elles respectent les conditions d’utilisation de nos services API », précise YouTube. Les applications et extensions ne reposant pas sur son API devraient donc potentiellement ne pas être affectées.

YouTube rappelle à ce titre que ses conditions d’utilisation « n’autorisent pas les applications tierces à désactiver les publicités, car cela empêcherait le créateur d’être récompensé pour son audience ».

Et ce, parce que les publicités sur YouTube « aident à soutenir les créateurs et permettent à des milliards de personnes dans le monde d’utiliser le service de diffusion en continu ». Les personnes préférant une expérience « entièrement dépourvue de publicité » sont invitées à s’abonner à YouTube Premium.

Une injonction qui n’interroge pas le fait (pour le moins problématique) qu’une bonne partie des publicités rencontrées sur YouTube par l’auteur de ce brief sont des « tunnels de conversion » renvoyant à des webinaires soi-disant « gratuits » (mais en échange de nos données personnelles, afin de pouvoir commercialiser des « formations » payantes, qui ne sont pas, cela dit, certifiées Qualiopi) voire de véritables escroqueries (dropshipping, produits miracles, investissements non régulés, etc.), et non des « publicités », censées être vérifiées et contrôlées, telles qu’on peut en voir à la télévision.

N’hésitez pas à nous faire part en commentaire de celles qui vous sembleraient, elles aussi, problématiques.

La fédération française de professionnels du secteur des infrastructures de télécommunications, InfraNum (ex FIRIP) a signé avec l’Ukraine un accord pour reconstruire son réseau et le moderniser, explique la Fédération dans un communiqué.

Ses membres « réalisent déjà 32 milliards d’euros de chiffre d’affaires à l’étranger et revendiquent pas moins de 100 000 personnes » employées en dehors de nos frontières. L’internationalisation est un axe mis en avant depuis des années pour préparer l’après plan France THD, une fois que le gros du développement sera derrière nous en France.

Selon l’Ukraine, entre 15 et 20 % de ses infrastructures réseaux ont été détruites par la guerre menée par la Russie sur son territoire. Elle estime ces dommages à 2,3 milliards de dollars : « destruction ou détérioration des réseaux Internet des opérateurs de téléphonie fixe, des réseaux radios des opérateurs mobiles, des autres structures et équipements liés, soit environ 3 200 stations de télécommunications dont certaines ont pu être remises en service et plus de 60 000 km de fibre optique », détaille InfraNum.

Les Échos expliquent que l’accord, projet pilote sur huit mois, est « la première étape d’un chantier qui pourrait durer quinze ans et mobiliser au total 10 milliards d’euros d’investissement ». Il prévoit un état des lieux technique, institutionnel et juridique, puis l’apport du « très haut débit, sur une localité relativement éloignée du front de guerre ».

Ce projet « s’inscrit dans la continuité de la demande d’InfraNum d’une subvention de 756 000 euros au titre du FASEP (Fonds d’études et d’Aide au Secteur Privé), octroyée le 29 février par le comité interministériel aide projet ».

De spectateur à suspect : that escalated quickly !

Forbes révèle que dans deux décisions de justice, le gouvernement fédéral états-unien a demandé à Google de lui communiquer des informations sur toute personne ayant visionné plusieurs vidéos et flux en direct sur YouTube.

Il s’agissait tout d’abord d’identifier la personne derrière le pseudonyme en ligne « elonmuskwhm ». Elle est soupçonnée de vendre des bitcoins contre de l’argent liquide, ce qui pourrait enfreindre les lois sur le blanchiment d’argent.

Ratisser large pour (peut-être) trouver une personne

Des agents « infiltrés » lui avaient envoyé des liens vers des tutoriels YouTube. Les autorités avaient ensuite demandé à Google les noms, adresses, numéros de téléphone et activités des utilisateurs de tous les comptes Google qui avaient accédé aux vidéos de YouTube entre le 1ᵉʳ et le 8 janvier 2023.

Elles demandaient également les adresses IP des utilisateurs (sans compte Google) qui ont visionné ces vidéos. Or, relève Forbes, les vidéos avaient été « regardées collectivement » plus de 30 000 fois. « Le tribunal a accepté l’ordonnance et Google a été prié de garder la demande secrète jusqu’à ce qu’elle soit dévoilée en début de semaine », précisent nos confrères.

Autre affaire à Portsmouth, même logique des forces de l’ordre

Pas Cap Emploi

Le piratage de la base de données de France Travail ne concernerait qu’une toute petite partie des 43 millions de demandeurs d’emploi, actuels ou passés. Des données personnelles (nom et prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, numéros de téléphone, adresses mail et postale) auraient « potentiellement » pu être exfiltrées par les pirates.

Le communiqué initial de France Travail précisait que « la base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi mais ayant un espace candidat sur francetravail.fr ».

« C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », soulignait le communiqué.

• France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Or, une source proche de l’affaire nous indique que le volume de données exfiltrées ne ressemblerait pas à une exploitation de masse de la base de données de France Travail. Le nombre de personnes affectées se situerait entre 1 et 1,5 million, soit quelque 3 % de l’ensemble des personnes figurant dans la base de données.

De plus, le modus operandi des pirates laisserait entendre qu’ils ne pouvaient pas procéder à une exfiltration industrielle et massive des données, mais qu’ils n‘auraient pu effectuer que des requêtes ciblées.

Des requêtes ciblées sur un nombre limité de mots-clefs

« Des premiers éléments identifiés par France Travail », précise la procureure de la République du tribunal judiciaire de Paris, il ressort qu’entre les 6 février et 5 mars des comptes d’agents Cap Emploi (l’agence chargée des demandeurs d’emploi en situation de handicap), « habilités à accéder aux ressources présentes sur le système d’information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d’emploi évaluée à 43 millions de données à caractère personnel ».

• Piratage de France Travail via Cap Emploi : trois suspects interpellés

Notre source confirme que les pirates auraient fait du « cherry-picking » en effectuant des requêtes ciblées sur un nombre limité de mots-clefs, concernant certaines zones géographiques bien particulières. Reste à savoir si France Travail (ou son prestataire) est parvenu ou parviendra à identifier les données accédées et exfiltrées par les pirates.

Notre source précise qu’elle n’est pas, en l’état, en mesure de savoir si les pirates auraient par ailleurs pu exfiltrer d’autres données, d’une autre manière. Pour autant, leur modus operandi semble indiquer qu’ils n’étaient pas en capacité d’exporter l’intégralité de la base de données, se contentant de l’interroger au moyen de quelques mots-clefs via les identifiants d’agents de Cap Emploi.

Deux frères, un étudiant, Onoff et des escroqueries

Le Parisien a appris que les enquêteurs de la brigade de lutte contre la cybercriminalité de la police judiciaire de Paris (BL2C) ont découvert que les pirates avaient utilisé l’application Onoff pour appeler, en numéro masqué, la plateforme de support de Cap Emploi.

• onoff : on a testé l’application de Taïg Khris qui multiplie les numéros de mobile

« Le faux informaticien a simplement dit qu’il avait perdu son code d’accès et qu’il faudrait réinitialiser son compte personnel », explique au Parisien une source proche du dossier.

Il y a quelques mois, l’opérateur de SIM virtuelle était déjà pointé du doigt par Gaël Mancec (juriste NTIC chez Germain Maureau) lors d’une conférence à l’Afnic : « C’est quelque chose de très légitime, mais très utilisé dans le milieu de la cybercriminalité  […] Même s’ils répondent plutôt bien aux réquisitions ».

Les enquêteurs auraient ensuite réussi à identifier les VPN, adresses IP, téléphones et puces utilisées par les pirates. Il s’agirait de deux frères de 23 et 24 ans vivant à Valence, surnommés « El inspector » et « Ramses », et d’un complice présumé, étudiant à Grenoble.

L’exploitation de leurs terminaux leur a permis de découvrir « des dizaines de milliers d’euros d’actifs en cryptomonnaies », ainsi que des messages évoquant des escroqueries aux SMS.

Toujours d’après Le Parisien, un juge d’instruction d’Avignon (Vaucluse) aurait souhaité que l’un des deux frères soit interpellé dans le cadre d’une affaire d’escroquerie et de fraude à la carte bancaire datant de 2021, qui avait vu un mineur être séquestré chez lui durant quelques heures.

« L’enquête judiciaire est en cours »

Dans son communiqué, la procureure précise que les investigations se poursuivaient, dans le cadre de l’information judiciaire, et qu’elles « auront pour objectif de rechercher d’éventuels autres acteurs et d’évaluer la part de responsabilité de chacun ».

Comme le rappelait encore récemment l’ANSSI dans son panorama sur la cybermenace, il n’est pas rare de trouver plusieurs (groupes de) pirates dans un système d’information. Seule l’enquête permettra de faire le point complet sur la situation.

• Dans l’ombre, l’ANSSI diffuse ses indicateurs de compromission
• Jeux olympiques : l’ANSSI n’a pas le droit à l’erreur et « sera prête le moment venu »

Contactée, France Travail nous répond : « l’enquête judiciaire est en cours, nous ne ferons pas de commentaire ».