Les organismes de surveillance de la vie privée en Europe envisagent une plainte contre Apple déposée par une ancienne employée, Ashley Gjøvik, qui allègue que l’entreprise l’a licenciée après avoir soulevé un certain nombre de préoccupations, en interne et publiquement, notamment concernant la sécurité sur le lieu de travail.
Gjøvik, ancienne responsable principale du programme d’ingénierie chez Apple, a été licenciée de l’entreprise en septembre dernier après avoir fait part de ses inquiétudes concernant l’approche de son employeur en matière de confidentialité du personnel, dont certaines ont été couvertes par The Verge dans un rapport en août 2021.
À l’époque, Gjøvik avait été mis en congé administratif par Apple après avoir fait part de ses inquiétudes concernant le sexisme sur le lieu de travail et un environnement de travail hostile et dangereux sur lequel il avait déclaré enquêter. Elle a ensuite déposé des plaintes contre Apple auprès du National Labor Relations Board des États-Unis.
Ces plaintes antérieures sont liées à la plainte de confidentialité qu’elle a envoyée aux organismes de surveillance internationaux maintenant parce que Gjøvik dit qu’elle veut un examen minutieux des pratiques de confidentialité d’Apple après avoir officiellement informé le gouvernement américain des raisons de son licenciement – et « se sentait à l’aise d’admettre qu’ils licencieraient des employés pour avoir protesté invasions de la vie privée », comme elle le dit – accusant Apple d’utiliser ses inquiétudes concernant son approche de la vie privée du personnel comme prétexte pour la licencier pour signaler des problèmes de sécurité plus larges et organiser avec d’autres employés des problèmes de travail.
L’Information Commissioner’s Offie (ICO) du Royaume-Uni et la CNIL de France ont tous deux confirmé la réception de la plainte de Gjøvik contre Apple.
Un porte-parole de l’ICO a déclaré à TechCrunch: « Nous sommes conscients de cette affaire et nous évaluerons les informations fournies. »
La CNIL française a également confirmé qu’elle examinait la plainte de Gjøvik.
« Nous avons reçu cette plainte qui est actuellement en cours d’instruction », nous a indiqué un porte-parole de la CNIL, ajoutant : « Je ne peux pas communiquer plus de détails pour le moment ».
Le développement a d’abord été couvert par Le télégraphe – qui a rapporté hier que c’est pensé que c’était la première fois Gjøvik a cherché à déposer sa plainte en matière de confidentialité contre Apple au Royaume-Uni
La Commission irlandaise de protection des données (DPC), qui est le principal régulateur de la protection des données d’Apple dans l’Union européenne pour le règlement général paneuropéen sur la protection des données (RGPD) – et qui, dans le cadre du mécanisme de guichet unique du règlement, prendrait probablement l’initiative rôle dans toute enquête liée à une plainte GDPR qui a également été déposée auprès d’autres régulateurs de la vie privée de l’UE (comme la CNIL en France) – a refusé de commenter. Le DPC n’a pas non plus confirmé ou nié avoir reçu la plainte de Gjøvik.
Un porte-parole du DPC a déclaré : « Le DPC ne peut pas commenter des cas individuels. Toutes les requêtes soumises au DPC sont évaluées et traitées conformément aux fonctions de traitement des plaintes du DPC, le cas échéant. »
L’Irlande a un certain nombre d’enquêtes GDPR en cours sur les pratiques de traitement des données d’Apple – y compris sur les politiques de confidentialité de l’entreprise – mais le DPC n’a pas encore rendu de décision concernant ces enquêtes pluriannuelles.
Si le DPC décidait que cette plainte mérite d’ouvrir une nouvelle enquête sur Apple, il faudrait probablement des années pour parvenir à un résultat public étant donné l’important arriéré de dossiers GDPR du régulateur irlandais.
Dans une conclusion à la plainte, Gjøvik exhorte les régulateurs à « enquêter sur les questions que j’ai soulevées et à ouvrir une enquête plus large sur ces sujets au sein des sièges sociaux d’Apple dans le monde », alléguant en outre : « Apple affirme que les droits de l’homme ne diffèrent pas en fonction de l’emplacement géographique, pourtant Apple admet également que les gouvernements français et allemand ne lui permettraient jamais de faire ce qu’il fait à Cupertino, en Californie et ailleurs.
Application Face ID Gobbler
Le 54 pages « plainte pour atteinte à la vie privée », qui, selon Gjøvik, a été soumise aux régulateurs européens au début du mois, soulève des problèmes avec l’approche de l’entreprise en matière de confidentialité des employés – soulevant des inquiétudes quant à un certain nombre de pratiques, notamment un programme interne d’Apple pour collecter des données biométriques auprès du personnel à l’aide d’une application appelée « Gobbler » (plus tard « Glimmer »), apparemment dans le cadre du processus de développement de produit pour Face ID.
Plus généralement, la plainte porte sur l’étendue des politiques d’Apple en matière de confidentialité et de « vie privée anti-employés », ainsi que sur ce que Gjøvik prétend être des NDA « illégalement restrictives ».
Apple a été contacté pour commenter la plainte, mais au moment de la rédaction de cet article, la société n’avait pas répondu.
L’approche du géant de la technologie consistant à inviter les employés à participer à des tests de produits, qui impliquaient parfois de capturer des données biométriques, a laissé à Gjøvik le sentiment que sa participation était obligatoire, conformément à la plainte, et – dans un cas qu’elle détaille – elle décrit avoir répondu à ce qu’elle pensait être un «événement social obligatoire» qui s’est avéré impliquer de tester manuellement Face ID à l’aide de l’application Gobbler tout en étant parqué dans un complexe extérieur sécurisé en plein soleil.
Selon la plainte, les informations qu’Apple a fournies en interne au personnel sur Gobbler ont exhorté les employés à télécharger les données de l’application capturées chez eux.
« Apple faisait pression sur les employés pour qu’ils téléchargent leurs » données d’empreinte faciale « sur les serveurs internes d’Apple, capturant des photos et des vidéos secrètes des employés, et a dit aux employés que les journaux liés au visage étaient automatiquement téléchargés quotidiennement depuis leur iPhone », affirme Gjøvik.
« Il était extrêmement difficile de savoir quelles données étaient automatiquement téléchargées, comment et quand », affirme-t-elle également. « Mes questions ouvertes comprenaient si mes données personnelles étaient être sauvegardé sur les sauvegardes iCloud des employés, synchronisé via iCloud, et/ou consulté/copié par les profils MDM d’entreprise d’Apple – ou autre surveillance de sécurité globale des téléphones des employés. Ça aussi m’a dérangé que l’application prenne des photos/vidéos sans aucun notification (son, signal, etc.), ce qui m’a fait penser qu’Apple, s’il voulait, pouvait activer les caméras de mon appareil et me regarder sans moi sachant à tout moment ainsi. J’ai parlé à d’autres employés, y compris des gestionnaires, ayant des préoccupations similaires. »
Gjøvik cite une déclaration publique d’Apple selon laquelle plus d’un milliard d’images ont été utilisées dans le développement de son algorithme Face ID – affirmant que la société n’a jamais répondu aux questions soulevées par le sénateur Al Franken qui lui avait demandé d’où provenaient ces images après le lancement de Face ID . « Quoi [Apple VP Craig] Federighi n’a pas dit que ces images provenaient d’employés comme moi, que je veuille les partager ou non », suggère-t-elle.
Selon la plainte, Apple a informé le personnel des restrictions imposées aux employés qui téléchargent des données sur Gobbler dans des pays autres que les États-Unis – bien que la plainte cite également un e-mail d’un responsable d’Apple indiquant qu’une telle étude était en cours aux « États-Unis, au Brésil, à Tel Aviv », et l’UE « mais pas la France ou l’Allemagne ».
« J’ai également vu dans des notes qu’il était interdit d’utiliser l’application au Japon et en Chine, mais à un moment donné, Apple a quand même décidé de rassembler des journaux là-bas », suggère encore Gjøvik.
Apple a des bureaux en Europe – y compris au Royaume-Uni, en France, en Irlande et ailleurs dans la région – il est donc au moins possible que les employés de ces sites aient utilisé l’application Gobbler pour télécharger leurs données biométriques. Si cela se produisait, cela pourrait engager des considérations de protection des données, telles que le fondement juridique sur lequel Apple pourrait s’appuyer pour traiter ces données. Mais il reste à voir si les régulateurs européens qui ont reçu sa plainte décident qu’il y a quelque chose à enquêter ici.
En vertu du RGPD, le consentement est l’un des nombreux fondements juridiques possibles pour le traitement des données personnelles. Cependant, pour que le consentement soit une base juridique valable, il doit être éclairé, spécifique et donné librement – et, même en mettant de côté les questions de savoir si le personnel a reçu des informations adéquates sur ce qui serait fait de ses données biométriques, une dynamique de pouvoir employeur-employé pourrait miner leur capacité à consentir librement (c’est-à-dire au lieu de sentir qu’ils doivent participer à de tels tests parce que c’est leur employeur qui le demande). Il pourrait donc y avoir des raisons pour un examen plus approfondi.
La plainte de Gjøvik a également été adressée au contrôleur européen de la protection des données (CEPD), bien qu’un porte-parole de l’organe ait confirmé que le CEPD n’enquêterait pas sur une telle affaire car sa fonction de surveillance se concentre sur les propres institutions, organes ou agences de l’UE.
La plainte mentionne également le Commissariat à la protection de la vie privée du Canada comme un autre organisme auquel elle a été soumise, ainsi que les groupes de défense des droits numériques EFF et Big Brother Watch.
Au-delà de l’application Gobbler/Glimmer, Gjøvik s’inquiète de la possibilité que le système de rapport de tickets/bogues de développement logiciel d’Apple collecte des données personnelles sans que le personnel en soit correctement informé — affirmant que le système partage par défaut les rapports avec toutes les fonctions d’ingénierie logicielle de l’entreprise (potentiellement dizaines de milliers de personnes). Il indique également que ces tickets pourraient demander aux employés d’inclure des fichiers de diagnostic – ce qui, selon Gjøvik, pourrait entraîner la transmission de données personnelles supplémentaires de l’appareil personnel d’un employé, telles que leurs iMessages par exemple, à Apple sans que l’employé ne s’en rende pleinement compte.
Dans l’article de The Verge de l’année dernière, qui citait Gjøvik et un certain nombre d’autres employés d’Apple, il a été rapporté que les employés de l’entreprise étaient régulièrement invités à lier leur identifiant Apple personnel à leur compte professionnel.
« Le flou des comptes personnels et professionnels a entraîné des situations inhabituelles, notamment Gjøvik aurait été forcée de remettre des photos compromettantes d’elle-même aux avocats d’Apple lorsque son équipe a été impliquée dans un différend juridique sans rapport », a rapporté The Verge, avant de faire référence à ce qu’il a décrit. comme un « contrat de travail strict qui donne à Apple le droit de procéder à une surveillance étendue des employés, y compris la » surveillance physique, vidéo ou électronique « ainsi que la possibilité de » fouiller votre espace de travail tel que les classeurs, les bureaux et les bureaux (même s’ils sont verrouillés ), consulter les enregistrements téléphoniques ou rechercher des biens non Apple (tels que des sacs à dos, des sacs à main) dans les locaux de l’entreprise ».
Une autre politique d’Apple Le rapport de The Verge a mis en évidence une interdiction pour le personnel d’effacer tous les appareils avant de les retourner à l’entreprise, y compris s’ils quittent Apple – suggérant que les employés qui ont lié leur identifiant Apple personnel à leurs comptes professionnels exposent potentiellement les données de confidentialité au l’entreprise lorsqu’ils restituent les appareils de l’entreprise.