Technologie
La police écossaise reçoit une mise en demeure concernant le système cloud
Le commissaire écossais à la biométrie a signifié à la police écossaise un avis d’information, exigeant que la force démontre que son déploiement d’un système de preuves numériques basé sur le cloud est conforme aux règles de protection des données spécifiques aux forces de l’ordre du Royaume-Uni.
Début avril 2023, CFP a révélé que le service DESC (Digital Evidence Sharing Capability) du gouvernement écossais – sous-traité au fournisseur de vidéos corporelles Axon pour la livraison et hébergé sur Microsoft Azure – est actuellement testé malgré les préoccupations majeures en matière de protection des données soulevées par les organismes de surveillance sur la façon dont l’utilisation d’Azure « ne serait pas légale ».
Selon une évaluation d’impact sur la protection des données (DPIA) réalisée par la Sottish Police Authority (SPA) – qui note que le système traitera des informations génétiques et biométriques – les risques pour les droits des personnes concernées comprennent l’accès du gouvernement américain via le Cloud Act, qui donne effectivement au gouvernement américain l’accès à toutes les données, stockées n’importe où, par des sociétés américaines dans le cloud ; l’utilisation par Microsoft de contrats génériques plutôt que spécifiques; et l’incapacité d’Axon à respecter les clauses contractuelles relatives à la souveraineté des données.
On craint également que le transfert de données personnelles vers les États-Unis, une juridiction dont les normes de protection des données sont manifestement inférieures, n’ait à son tour un impact négatif sur les droits des personnes à la rectification et à l’effacement des données et ne soit pas soumis à une prise de décision automatisée.
Alors que la SPA DPIA a noté que le risque d’accès du gouvernement américain via le Cloud Act était « peu probable … Les retombées seraient cataclysmiques ».
À la suite du reportage de CFP sur le service DESC, le commissaire écossais à la biométrie, Brian Plastow, a signifié à Police Scotland (le contrôleur de données principal du système) un avis d’information le 22 avril 2023, qui donne à la force jusqu’à la mi-juin pour fournir des informations sur leur conformité à la protection des données.
L’avis d’information lui-même fait directement référence à la couverture DESC de CFP. « Je suis maintenant suffisamment préoccupé par les implications potentielles du DESC que, conformément aux dispositions de l’article 16 de la loi de 2020 sur le commissaire écossais à la biométrie, je dois maintenant exiger de Police Scotland qu’elle me fournisse des informations afin que je puisse déterminer si Police Scotland respecte les éléments de protection des données de mon code de pratique statutaire, », a-t-il écrit dans la mise en demeure.
Plastow a également décrit des informations spécifiques qu’il aimerait recevoir, y compris si des transferts de données biométriques ont eu lieu; quels types ont été transférés; dans quels volumes; et dans quel pays les données sont hébergées.
« Si des données biométriques ont été échangées dans le cadre du DESC, veuillez confirmer si Police Scotland se conforme pleinement à la partie 3 de la loi britannique de 2018 sur la protection des données applicable au traitement des forces de l’ordre, et au principe 10 du code de pratique du commissaire écossais à la biométrie », a-t-il déclaré, faisant référence à un code statutaire entré en vigueur en Écosse le 16 novembre 2022 après approbation par le gouvernement écossais.
Le principe 10 du code porte spécifiquement sur la promotion des technologies renforçant la protection de la vie privée et souligne que la manière dont les données biométriques sont acquises, conservées, utilisées et détruites doit garantir la protection des données contre tout accès ou divulgation non autorisé.
« Pour assurer la conformité avec le code de pratique, Police Scotland doit démontrer que toute utilisation d’une infrastructure cloud hyperscale impliquant des données biométriques est conforme aux règles de protection des données spécifiques aux forces de l’ordre », a déclaré Plastow. « La meilleure façon d’y parvenir serait de disposer d’une plate-forme d’hébergement entièrement située au Royaume-Uni et répondant à toutes les exigences de la partie 3 de la loi sur la protection des données de 2018 sur le traitement à des fins répressives.
« Si ce n’est pas le cas avec DESC, alors pour s’assurer que la confiance du public est maintenue, Police Scotland doit expliquer aux citoyens ce que l’utilisation du cloud signifie pour leurs données personnelles. Cela signifie être ouvert avec les citoyens sur le pays dans lequel leurs données seront stockées et, si la réponse à cette question n’est pas le Royaume-Uni, expliquer les risques évidents que ces données extrêmement sensibles soient ensuite consultées de manière judiciaire ou malveillante.
En réponse à l’avis, un porte-parole de Police Scotland a déclaré: « Police Scotland prend la gestion et la sécurité des données très au sérieux et travaille aux côtés de partenaires de la justice pénale pour s’assurer que des processus robustes, efficaces et sécurisés sont en place pour soutenir le développement du système DESC.
« Toutes les preuves numériques sur le système DESC à Dundee sont conservées en toute sécurité et ne sont accessibles qu’au personnel approuvé, tel que les policiers, [Crown Office and Procurator Fiscal Service] COPFS et agents de défense. L’accès à ces informations est font fait l’objet d’audits et de surveillance, et des processus sont en place pour s’assurer que tout risque lié aux données est rapidement identifié, évalué et atténué. Nous continuerons de collaborer avec le commissaire à la biométrie pour fournir l’assurance requise concernant la protection et la sécurité des données au fur et à mesure que le projet pilote à Dundee progresse.
Absence d’approbation réglementaire
En vertu de l’avis, Plastow cherche également des informations sur les discussions qui ont eu lieu avec le Bureau du commissaire à l’information (ICO) sur les questions de transferts internationaux et de souveraineté numérique, et à ce que Police Scotland confirme si tous les problèmes ont été résolus à la satisfaction de l’ICO.
CFP a précédemment interrogé l’ICO sur la prévalence des fournisseurs de cloud américains dans le secteur de la justice pénale au Royaume-Uni et si leur utilisation est compatible avec les règles britanniques de protection des données, dans le cadre de sa couverture du système DESC. Le service de presse de l’ICO n’a pas été en mesure de répondre et a renvoyé les questions de CFP à l’équipe de la liberté d’information pour obtenir d’autres réponses.
Le 24 avril, l’équipe de l’ICO FOI a répondu que, bien qu’elle ait obtenu des conseils juridiques sur la question, l’affaire est en cours et qu’elle n’a pas encore pris de position officielle sur la question. L’avis lui-même n’a toutefois pas été divulgué, car il est protégé par le secret professionnel.
L’ICO a également confirmé qu’elle n’avait « jamais donné d’approbation réglementaire formelle pour l’utilisation de ces systèmes dans un contexte d’application de la loi ».
Cependant, la correspondance de la SPA avec l’ICO – également divulguée dans la section FOI – a révélé que le régulateur était largement d’accord avec ses évaluations des risques, notant que le support technique de l’accès du gouvernement américain ou américain via le Cloud Act constituerait un transfert international de données.
« Il est peu probable que ces transferts remplissent les conditions d’un transfert conforme », a-t-il déclaré. « Pour éviter une violation potentielle de la loi sur la protection des données, nous vous recommandons fortement de vous assurer que les données personnelles restent au Royaume-Uni en recherchant un support technique basé au Royaume-Uni. »
Consultation préalable
Dans une correspondance séparée avec Police Scotland (à nouveau divulguée sous FOI), l’ICO a noté: « Si vous avez un risque résiduel élevé restant dans votre DPIA qui ne peut être atténué, une consultation préalable avec l’ICO est requise en vertu de l’article 65 DPA 2018. Vous ne pouvez pas poursuivre le traitement tant que vous ne nous avez pas consultés. »
Bien que Plastow ait salué les objectifs stratégiques du DESC visant à transformer numériquement la façon dont le système judiciaire écossais gère les preuves, il a confirmé que son bureau n’avait jamais été engagé par le gouvernement écossais ou la police écossaise jusqu’à une réunion tenue le 29 novembre 2022.
Lors de cette réunion – que Plastow lui-même a demandée après avoir pris conscience que les données biométriques pouvaient être partagées via le système – le groupe consultatif professionnel du commissaire a demandé à Police Scotland des assurances sur les questions de sécurité et de souveraineté des données.
Après un exposé de la GRC, les membres du groupe consultatif ont demandé que les diapositives concernant le DESC soient distribuées par la suite. Toutefois, le surintendant qui a fait la présentation a indiqué qu’il devrait tenir compte de cette demande, car certaines diapositives peuvent contenir des renseignements de nature délicate sur le plan commercial : « La trousse de diapositives n’a jamais été reçue. »
Un problème à l’échelle du Royaume-Uni
La publication de la SPA DPIA remet également en question la légalité des déploiements cloud par les organes de police et de justice pénale en Angleterre et au Pays de Galles, car une série d’autres DPIA vues par CFP n’évaluent pas les risques décrits par la SPA autour des fournisseurs de cloud américains, bien qu’elles soient régies par les mêmes règles de protection des données.
En décembre 2020, par exemple, une enquête de CFP a révélé que les forces de police britanniques traitaient illégalement les données personnelles de plus d’un million de personnes – y compris la biométrie – sur le service de cloud public hyperscale Microsoft 365, après avoir omis de se conformer aux principales exigences contractuelles et de traitement de la troisième partie de la loi de 2018 sur la protection des données, telles que les restrictions imposées aux transferts internationaux.
En particulier, les DPIA divulguées à CFP via des demandes d’accès à l’information ont montré que les risques liés à l’envoi de données personnelles sensibles à une société basée aux États-Unis, qui est soumise au régime de surveillance intrusive du gouvernement américain, n’ont pas été correctement pris en compte.
Parmi les autres utilisations des fournisseurs de cloud américains dans l’ensemble du secteur de la justice pénale au Royaume-Uni, citons l’intégration de la base de données d’empreintes digitales Ident1 avec Amazon Web Services (AWS) sous la plate-forme cloud Xchange des services numériques de police (PDS); et la plateforme vidéo cloud de HM Courts and Tribunals, qui est en partie hébergée sur Azure et traite les informations biométriques sous la forme d’enregistrements audio et vidéo des procédures judiciaires.
À la mi-avril 2023, la commission biométriqueFraser Sampson, responsable de l’Angleterre et du Pays de Galles, a déclaré à CFP que les organismes de police et de justice britanniques doivent être en mesure de prouver que leur utilisation croissante de l’infrastructure de cloud public est conforme aux règles de protection des données spécifiques aux forces de l’ordre.
Parlant spécifiquement de l’utilisation de fournisseurs de cloud public hyperscale pour stocker et traiter des données biométriques sensibles, Sampson a déclaré que « la charge de la preuve incombe à la police car [data] les responsables du traitement, non seulement pour fournir les informations et les assurances, mais aussi pour démontrer que leur traitement est conforme à toutes les [data protection] exigences ». Il a ajouté que la charge de la preuve n’était pas seulement une question de droit, mais aussi de gouvernance, de responsabilité et de renforcement de la confiance du public dans la façon dont la police utilise les nouvelles technologies.
Lors d’une comparution devant le Comité mixte des droits de l’homme du Parlement en février 2023, Sampson a noté qu’il existait une « culture de non-suppression » dans la police britannique en ce qui concerne la conservation des informations biométriques.
-
Technologie3 ans agoUne escroquerie par hameçonnage cible les clients de la Lloyds Bank
-
Monde3 ans agoLa NASA va supprimer les noms « offensants » des planètes et des galaxies
-
Technologie1 an agoLe forum cybercriminel ne cible que la Russie
-
Monde3 ans agoQuelle est la taille de Barron Trump?
-
Monde3 ans agoQui est le mari de Candace Owens, George Farmer?
-
Monde3 ans agoQui est le chef de la mafia sicilienne Matteo Messina Denaro?
-
France3 ans agoL’enseignant primaire accro au tatouage avec EYEBALLS noirci terrifie les enfants avec l’art corporel
-
France3 ans agoQui est Luce Douady et comment l’alpiniste de 16 ans est-il mort?