Demande d’opposition à la collecte de données personnelles par Flock Safety et réponse de l’entreprise

 (honeypot.net)
2 points par GN⁺ 16 일 전 | 1 commentaires | Partager sur WhatsApp
  • Un résident californien a adressé à Flock Safety une demande de suppression des données personnelles et d’interdiction de collecte le concernant, ainsi que sa famille et ses véhicules
  • L’entreprise a refusé la demande en affirmant qu’elle n’est qu’un sous-traitant (Processor) et que le contrôle des données appartient à ses organismes clients
  • Dans sa réponse, elle a expliqué l’interdiction de vendre les données, la politique de suppression automatique au bout de 30 jours et le fait que la collecte porte principalement sur des images de véhicules dans l’espace public
  • Le demandeur soutient que Flock Safety traite directement des informations permettant d’identifier une personne et qu’elle est donc tenue de les supprimer
  • Aucune action en justice n’est encore décidée, mais la possibilité de mandater un avocat reste ouverte

Demande de suppression de données personnelles adressée à Flock Safety et réponse

  • Un résident californien a envoyé à Flock Safety un e-mail au titre du CCPA (California Consumer Privacy Act) pour demander la suppression de ses données personnelles et l’arrêt de leur collecte
    • La demande exigeait la suppression, dans toutes les bases de données, des informations le concernant, ainsi que celles liées à son véhicule et aux membres de sa famille, et l’interdiction de toute collecte ou conservation future
  • Flock Safety a répondu qu’elle ne pouvait pas traiter cette demande
    • Dans l’e-mail de réponse, le nom du destinataire était mal orthographié à deux reprises
    • L’entreprise a précisé que « Flock Safety est un prestataire de services et un processeur qui traite les données pour le compte de ses clients, et que les propriétaires et responsables du contrôle des données sont les clients »
    • Elle a donc indiqué que la demande de suppression devait être adressée non pas à Flock Safety, mais directement à l’organisme client utilisant le service
  • L’entreprise a aussi détaillé ses politiques de collecte et de conservation des données
    • L’étendue et les limites du traitement sont définies par les contrats clients, et les clients restent propriétaires des données
    • Interdiction de vendre les données : Flock Safety traite les données selon les instructions de ses clients et ne les vend ni ne les partage à des fins commerciales
    • Données collectées : les lecteurs automatiques de plaques d’immatriculation (LPR) ne collectent pas d’informations sensibles comme le nom ou l’adresse, mais uniquement des images de véhicules prises dans des lieux publics et des informations sur leur apparence
    • Finalité d’utilisation : les clients utilisent ces données à des fins de sécurité, notamment pour la gestion de la sécurité publique, la réponse aux incidents et la résolution d’affaires criminelles
    • Durée de conservation : par défaut, les données sont supprimées automatiquement après 30 jours, mais les clients peuvent ajuster cette durée en fonction des lois ou de leurs politiques
  • Flock Safety a indiqué que davantage de détails figurent dans sa Privacy Policy et sa LPR Policy

Interprétation juridique et position de la personne concernée

  • Le demandeur estime que la réponse de Flock Safety est juridiquement inexacte
    • Selon lui, c’est parce que Flock Safety est en pratique l’entité qui collecte et traite des informations personnellement identifiables (PII)
    • Il interprète le CCPA comme imposant à tout acteur traitant ce type d’informations l’obligation de répondre à une demande de suppression
  • À ce stade, aucune action en justice n’est encore arrêtée, mais la possibilité de mandater un avocat reste envisagée

À lire aussi

1 commentaires

 
GN⁺ 16 일 전
Réactions sur Hacker News

  • C’est moi qui ai écrit ce billet. Je ne m’attendais pas à ce que Flock accède à ma demande, mais j’ai tenté le coup à titre d’expérience. Cela dit, leur réponse m’a dérangé. Ils disent que « les données appartiennent au client, et c’est le client qui décide de leur utilisation et de leur partage », ce qui entre en contradiction frontale avec l’esprit du CCPA. Ce sont mes données, alors je ne comprends pas pourquoi leurs clients en auraient le contrôle. Je n’en attendais pas grand-chose, mais me faire rejeter de cette manière reste décevant

    • En gros, ils disent : « ne nous contactez pas, contactez le propriétaire de la caméra ». Mais les données sont stockées sur les serveurs de Flock. Le point essentiel, c’est que le simple fait de fournir un espace de stockage ne supprime pas toute responsabilité sur les données. Plus largement, le problème est que le système lui-même est conçu de façon à favoriser les atteintes à la vie privée. C’est précisément la critique centrale adressée à Flock, et ce serait intéressant de voir cela examiné devant un tribunal
    • Je me dis qu’on pourrait leur répondre en demandant : « dans ce cas, donnez-moi la liste de vos clients, et prévenez-moi à chaque fois que vous en avez un nouveau »
    • Ce serait intéressant de voir un juge examiner dans quelle mesure Flock contrôle réellement le système. S’ils ont construit un système qui facilite autant la collecte de données personnelles, ils devraient aussi rendre la procédure de suppression tout aussi simple. Au fond, si les entreprises traitent la vie privée avec autant de légèreté, c’est parce que les consommateurs ont toléré ce genre de situation. Heureusement qu’il existe des personnes qui s’y intéressent encore. Je me demande s’il y aurait un moyen de financer d’éventuelles démarches juridiques
    • Faire intervenir un youtubeur comme LegalEagle pourrait attirer l’attention. Benn Jordan serait aussi intéressant comme témoin expert
    • Mais est-ce vraiment « mes données » ? Si je conduis et que je suis filmé par la caméra Ring de quelqu’un, puis-je vraiment prétendre que cette vidéo m’appartient ?

  • Je ne sais pas si ce genre de demande a un fondement juridique. Par exemple, si une ville installe un système ALPR pour recueillir des preuves liées à des crimes, un particulier ne peut pas demander à Flock : « ne collectez pas mes données ». Au regard du droit actuel, cela ressemble à une revendication excessive

  • J’ai remarqué que, dans des publications récentes, le nom de l’entreprise n’apparaît plus que sous la forme « Flock », sans « Flock Safety (YC S17) », et c’était déjà le cas dans un précédent billet. Je me demande si la façon d’indiquer YC a changé

    • Peut-être que YC cherche à prendre ses distances avec la controverse sur la vie privée, mais honnêtement je doute qu’ils aient ce niveau de lucidité
    • J’ai l’impression que cette mention a globalement diminué ces derniers temps. De toute façon, les titres sont rédigés par la personne qui soumet le lien, ce n’est pas automatisé

  • Flock a déjà répondu de manière similaire dans le Minnesota, en affirmant : « nous ne sommes pas le responsable du traitement ». Et ce, alors même qu’il existe un droit à l’effacement au titre du MCDPA

    • C’est simplement l’application de la loi. Les clients étatiques ou municipaux ne voudront pas accepter ce type de demande

  • La différence entre « Flock peut faire ce qu’il veut » et « Flock doit supprimer les données sur demande », c’est au final la loi. Puisque les citoyens élisent les législateurs, il faut faire pression par le vote pour que ce sujet devienne une priorité

  • Ça risque d’être un combat difficile. Flock affirme que les données appartiennent au gouvernement et qu’eux ne sont qu’un prestataire d’hébergement. Si vous envoyez une demande de suppression à AWS ou Google Cloud, on vous répondra aussi : « nous ne faisons que stocker les données ». Sans décision de justice, il sera difficile d’imposer leur suppression. Le fait que Flock dise ne pas utiliser ces données à d’autres fins renforce d’ailleurs l’analogie avec le stockage cloud

    • Mais en pratique, à part un lanceur d’alerte, comment vérifier que le fournisseur cloud ne regarde pas les données ?

  • D’après la politique LPR de Flock, ils peuvent utiliser les données pour satisfaire à des exigences légales ou résoudre des problèmes de sécurité et de vie privée. Dans ce cas, cette situation ne relève-t-elle pas justement d’un problème de vie privée ? En outre, leur section « Trust Us » manque de transparence quant à l’usage du machine learning

    • Quand on consulte leur Transparency Portal, on voit qu’en réalité plus de 30 % des agences locales ne publient même pas leur nom

  • D’après les lois américaines applicables à ce type de collecte de données, les demandes de suppression doivent être adressées à la collectivité locale. On peut trouver des informations à ce sujet sur deflock.org. Le site est géré par un habitant de Boulder, Colorado

    • Ce serait amusant de créer un système qui envoie automatiquement des demandes à toutes les collectivités locales

  • Si Flock traite des données PII, alors tous ses clients deviennent des sous-traitants (subprocessors). Flock devrait donc conclure avec eux des accords de traitement des données (DPA). En cas de demande de suppression, il faudrait aussi la répercuter à tous les sous-traitants comme AWS, GCP ou Cloudflare

    • En réalité, c’est l’inverse. Flock est le sous-traitant, et la ville ou la collectivité locale qui lui a demandé de collecter les données est le responsable du traitement. C’est donc à eux qu’il faut adresser la demande

  • Si leur excuse tient juridiquement, alors le CCPA ne sert à rien

    • Mais il est aussi possible que la demande n’ait jamais été valable au départ. Par exemple, on ne peut pas demander à l’entreprise qui exploite des radars automatiques pour le compte de la police : « supprimez ma photo ». Les données appartiennent au gouvernement
    • Et puis, dès qu’une régulation est adoptée, des voies de contournement apparaissent. Les échappatoires sont souvent prévues avant même l’entrée en vigueur de la loi