30 mai 2011

France: CNIL et vidéosurveillance dans les écoles

Surveiller la voie publique est une chose, surveiller les lieux de vie (cours de récréation, préau, foyer des élèves) au sein d'un établissement scolaire constitue une surveillance permanente des élèves et du personnel.
C'est dans ce contexte que plusieurs établissements ont été mis en demeure par la Commission nationale de l'informatique et des libertés de modifier leurs dispositifs de vidéosurveillance jugés excessifs.

29 mai 2011

G8, la déclaration

Les chefs d'États et de gouvernements réunis à Deauville les 26-27 mai 2011 à l'occasion du G8 ont adopté une déclaration pour un nouvel élan pour la liberté et la démocratie

Parmi les thèmes abordés dans cette déclaration, on retrouve les problématiques qui ont fait l'objet du eG8. Ainsi, s'agissant de la vie privée et de la protection des renseignements personnels, on peut lire que:
"16. La protection effective des données à caractère personnel et de la vie privée sur l'Internet est essentielle pour assurer la confiance des utilisateurs. C'est un enjeu pour toutes les parties prenantes : les utilisateurs qui doivent être mieux informés de leur responsabilité lorsqu'ils introduisent des données personnelles sur l'Internet, les fournisseurs d'accès qui stockent et traitent ces données, et les États et les instances de régulation auxquels il revient d'assurer le respect effectif de cette protection. Nous appelons à la définition d'approches communes tenant compte des cadres juridiques nationaux, qui soient fondées sur les droits de l'homme et protègent les données à caractère personnel, tout en permettant les transferts légitimes de données." (Source: Déclaration du G8 de Deauville
Une avancée, une stagnation ou un recul pour la vie privée et le protection des renseignements personnels sur Internet, à vous de décider. 

-----
Pour une analyse du eG8, vous pouvez écouter les commentaires de Vincent Gautrais lors de la première partie de l'émission Ouvert le Samedi diffusée le 28 mai 2011 à la Première Chaîne de Radio-Canada (plus particulièrement de 14:33 à 23:17)

27 mai 2011

États-Unis: Projet sur la cybersécurité

Le 12 mai 2011, l'Administration Obama dévoilait son projet sur la cybersécurité (Cybersecurity Legislative Proposal). On peut lire dans le communiqué de presse publié par la Maison Blanche que ce projet repose sur les points suivants: 
  • Protecting the American People - le projet prévoit l'instauration de peines pour les crimes informatiques et l'harmonisation des lois relatives aux déclarations des failles de sécurité adoptées par la majorité des États américains
  • Protecting our Nation's Critical Infrastructure - le projet prévoit une plus grande collaboration entre les différents niveaux de gouvernements, mais aussi avec le secteur privé.
  • Protecting Federal Government Computers and Networks - le projet prévoit
  • New Framework to Protect Individual's Privacy and Civil Liberties
Ce projet, comme l'indique l'Electronic Privacy Information Center, a été à l'ordre du jour de deux audiences de la Chambre des représentants le 25 mai 2011. 
"The House of Representatives has held two hearings on the White House legislative plan for cybersecurity. The House Oversight and House Judiciary Committees questioned government officials and members of private industry on the proposal. Committee members showed particular interest in provisions that pre-empted stronger states laws and those that offered immunity to private industry for complying with government requests for information on data breaches. Rep. Watt (D-NC) asked how the proposal was unlike the controversial telecom immunity contained in the Patriot Act. The White House proposal is part of a series of initiatives driven by the 2009 Cyberspace Policy Review. EPIC has called for cybersecurity legislation that strengthens security standards, requires encryption, promotes agency accountability, and safeguards personal data and privacy." (Source: EPIC, "House examines White House cybersecurity proposal", May 26, 2011)

Au sujet de ce projet, voir notamment: 

26 mai 2011

Royaume-Uni: voulez-vous un "cookie" ?

Les États membres de l'Union européenne avaient jusqu'au 25 mai 2011 pour adopter et publier "les dispositions législatives, réglementaires et administratives nécessaires pour se conformer" à la Directive 2009/136/CE (art. 4(1)).

Cette directive a notamment pour objet de modifier la Directive 2002/58/CE dite "directive vie privée et communications électroniques" qui
  • "prévoit l'harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans la Communauté" (art. 1(1)) et,  
  • précise et complète la Directive 95/46/CE.
Une des modifications concerne "le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur". Il est prévu qu'un tel stockage ou accès "n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu [...] une information claire et complète, entre autres sur les finalités du traitement" (art. 5(3) nouveau)).  

Dans l'optique de se conformer à cette obligation, le gouvernement anglais a procédé à la modification de l'art. 6 du Privacy and Electronic Communications Regulations et, le Commissaire à l'information a précisé que
"organisations and businesses that run websites aimed at UK consumers are being given up to 12 months to 'get their house in order' before enforcement of the new EU cookies law begins". (Source: ICO News release, 25 may 2011)
Notons, néanmoins que depuis le 26 mai à 00:01, on peut voir sur la page d'accueil de l'Information Commissioner's Office du Royaume-Uni le message suivant:  
"On 26 May 2011, the rules about cookies on websites changed. This site uses cookies. One of the cookies we use is essential for parts of the site to operate and has already been set. You may delete and block all cookies from this site, but parts of the site will not work. To find out more about cookies on this website and how to delete cookies, see our privacy notice"
et une case à cocher "I accept cookies from this site" fait suite à ce message.
Et pour aider les entreprises et les consommateurs à appréhender cette obligation, l'ICO propose les documents suivants: 

Voir également,
----------
(25/06/2011) Dans "European Regulators Continue to Struggle With New Cookie Rule", l'auteur indique que ce ne sont pas tous les États membres de l'Union européen qui ont transposé l'article 5(3) dans leur législation nationale et précise les différentes options envisagées.

    24 mai 2011

    eG8 et vie privée

    C'est aujourd'hui que s'ouvre le e-G8 (billet précédent)
    La Commission nationale de l'informatique et des libertés "regrette l'absence de tout régulateur des données personnelles et de la vie privée ainsi que des associations de défense des libertés ou des consommateurs alors même que ce thème figurerait au programme" (Source: CNIL)

    Conseil de l'Europe: modernisation de la Convention 108

    Adoptée en 1981, la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) a pour but de garantir "à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant" (art. 1er). Par ailleurs, cette convention s'applique "aux fichiers et aux traitements automatisés de données à caractère personnel dans les secteurs public et privé" (art. 3(1)). Elle énonce également certains principes: qualité des données (art. 5), sécurité des données (art. 7), flux transfrontières (art. 12) par exemple.

    En janvier 2011, le Conseil de l'Europe a lancé une consultation publique visant à moderniser la Convention 108. Les personnes intéressées avaient jusqu'au 10 mars 2011 pour envoyer leurs réponses concernant 
    1. l'objet et le champ d'application de la Convention,
    2. les principes de protection
    3. les droits et obligations 
    4. les sanctions et recours
    5. le droit applicable en matière de protection des données
    6. les autorités de protection des données
    7. les flux transfrontières de données
    8. le rôle du comité consultatif
    Le Conseil de l'Europe a récemment publié une compilation des réponses reçues dans un document de 382 pages intitulé Rapport préliminaire sur la consultation relative à la modernisation de la Convention 108. On peut y lire les commentaires de citoyens, d'autorités de protection des données personnels, de ministères de la justice et d'associations en provenance d'Afrique, d'Australie, du Canada, des États-Unis et d'Europe. 

    La synthèse des réponses est en cours de rédaction.
    À suivre donc.

    Facebook et les moins de 13 ans

    Dans un article paru sur CNN Money, on apprend que Mark Zuckerberg souhaite que les réseaux sociaux, comme Facebook, soient accessibles aux jeunes de moins de 13 ans. Motif invoqué: l'éducation.
    Pour le moment, en vertu notamment de la Children's Online Privacy Protection Act, un site comme Facebook n'est pas (en principe) accessible aux moins de 13 ans, comme rappelé dans l'affaire Playdom Inc.  

    -----
    (27-05-2011) Pour une illustration, voir le billet de Martin Vidberg "L'éducation à la mode Facebook" publié dans Le Monde du 26 mai 2011.

    23 mai 2011

    États-Unis: les projets "do-not-track"

    Comme indiqué dans un précédent billet, plusieurs projets de lois visant à encadrer la collecte, la communication et l'utilisation des renseignements personnels ont été déposé aux États-Unis. Il en va ainsi des projets "do-not-track". 
    Ces projets font notamment suite à un rapport préliminaire de la Federal Trade Commission intitulé Protecting Consumer Privacy in an Era of Rapid Change - A Proposed Framework for Businesses and Policymakers de décembre 2010 (i.e. p. 63 et s.). 

    Ainsi,
    1. le 11 février 2011, la sénatrice Speier a déposé à la Chambre des représentant le projet Do Not Track Me Online Act of 2011 (HR 654) - Dans les 18 mois suivants l'adoption de ce projet de loi, la Federal Trade Commission devra mettre en place "an online opt-out mechanism to allow a consumer to effectively and easily prohibit the collection or use of any covered information and to require a covered entity to respect the choice of such consumer to opt-out of such collection or use" (sec. 3(a)).
    2. le 9 mai 2011, le sénateur Rockefeller a déposé au Sénat le projet Do-Not-Track Online Act of 2011 (S 913) - Dans l'année suivant l'adoption de ce projet de loi, la Federal Trade Commission devra adopter "regulations that establish standards for the implementation of a mechanism by which an individual can simply and easily indicate whether the individual prefers to have personal information collected by providers of online services, including by providers of mobile applications and services" (sec. 2(a)(1)).
    Par ailleurs, les représentants Markey (Massachusetts) et Barton (Texas) entendent amender la Children's Online Privacy Protection Act. Pour ce faire, ils ont déposé, le 13 mai 2011, le projet Do Not Track Kids Act of 2011 à la Chambre des représentants sous le n° HR 1895.  

    À suivre donc.

    22 mai 2011

    Californie: des amendements contestés

    Plusieurs entreprises s'opposent à des amendements visant à encadrer la collecte, la communication et l'utilisation des renseignements personnels dans les environnements électroniques. Il en va ainsi, par exemple: 
    • du projet de la sénatrice Corbett qui entend ajouter une section relative à la vie privée à la Division 1 du California Code civil. En effet, on peut lire que ce projet
    "[w]ould prohibit a social networking Internet Web site, as defined, from displaying in a designated text fiels, to the public or other registered users, the home address or telephone number of a registered user of that Internet Web site (...) without consent, as defined. The bill would require a social networking Internet Web site to establich a process fo a new users to set privacy settings as part of the registration process that explains privacy options in plain langage, and to make privacy settings available in an easy-to-use format. The bill would require a social networking Internet Web site to remove the personal identifying information, as defined, of any registered user, and would require removal of that information regarding a user under 18 years of age upon request by the user's parent within 48 hours upon his or her request. This bill would impose a civil penalty, not to exceed $10,000 for each willful and knowing violation of these provisions". (Source: SB 242, amendement Corbett)
    "[w]ould, no later than July 1, 2012, require the Attorney General, in consultation with the Office of Privacy Protection, to adopt regulations that would require a covered entity, defined as a person or entity doing business in California that collects, uses, or stores online data containing covered information from a consumer in this state, to provide a consumer in California with a method to opt out of that collection, use, and storage of such information. The bill would specify that such information, includes, but is not limited to, the online activity of an individual and other personal information. The bill would subject these regulations to certain requirements, including, but not limited to, a requirement that a covered entity disclose to a consumer certain information relating to its collection, use, and storage information practices. The bill would, to the extent consistent with federal law, prohibit a covered entity from selling, sharing, or transferring a consumer’s covered information. The bill would make a covered entity that willfully fails to comply with the adopted regulations liable to a consumer in a civil action for damages, as specified, and would require such an action to be brought within a certain time period". (Source: SB 761, amendement Lowenthal)
    À suivre donc. 

    21 mai 2011

    eG8 - Forum de l'Internet

    Les 24 et 25 mai 2011 se tiendra à Paris un e-G8 sur le thème Internet: accélérateur de croissance et qui
    "se concentrera sur l’impact de l’Internet sur l’économie : croissance, création d’emploi, création de valeur, transformation et modernisation des métiers et industries traditionnelles par la rupture technologique. Ses participants aborderont aussi les questions sociétales et politiques sous-jacentes au développement des technologies numériques : vie privée, propriété intellectuelle, droits de l’homme et démocratisation de et par l’information. Le Forum s’interrogera sur les conditions favorables à l’innovation dans l’économie numérique notamment en termes d’éducation, de formation et de financement. Révolution du web mobile, avenir du e-commerce : l’e-G8 Forum s’interrogera enfin sur les bonnes pratiques, les nouveaux usages et modèles économiques, ainsi que les technologies de rupture qui feront l’Internet de demain. [...]
    L’e-G8 Forum réunira les leaders mondiaux de l’écosystème numérique, appartenant à tous les domaines : dirigeants d’entreprises des secteurs des technologies (opérateurs et équipementiers), des médias, de la publicité, de la musique, des institutions, des ONG et du spectacle; experts des technologies, investisseurs et entrepreneurs; scientifiques et innovateurs, bloggeurs, penseurs et chercheurs. Des entreprises de pays en dehors du G8, comme la Chine et de l’Inde, sont également conviées." (Source: eG8 - Communiqué de presse, 17 mai 2011)

    20 mai 2011

    Inde et Corée: lois sur la vie privée

    Comme mentionné sur d'autres blogues, l'Inde et la Corée ont récemment adopté des lois visant à encadrer la protection des renseignements personnels.
    Sur le site du Department of Information Technology du Ministry of Communication and Information Technology du Gouvernement de l'Inde, il est possible de consulter la loi en question intitulée "Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules, 2011". 
    Dans les billets sur la Corée, les auteurs réfèrent à une analyse détaillée réalisée par Kwang Hyun Ryoo de la firme Bae, Kim & Lee LLC.
    --------
    (14-07-2011) Concernant la loi indienne lire "Indian Government to Clarify Data Privacy Rules Affecting Outsourcing" publié dans Law Without Borders en date du 01 juillet 2011.

    (01/09/2011) Au sujet de la loi indienne lire: Dan COOPER, "India Government Clarifies New Privacy Rules: Outsourcing Arrangements Exempted", Inside Privacy, August 26, 2011.

    Commission européenne: données de localisation

    Le Groupe de travail "Article 29" sur la protection des données vient de publier une opinion dont l'objectif "is to clarify the legal framework applicable to geolocation services that are available on and/or generated by smart mobile devices that can connect with the Internet and are equipped with location sensitive sensors" (p. 3).

    Après avoir examiné le fonctionnement du GPS, du GSM et du WiFi, après avoir indiqué que "a smart mobile device is very intimately linked to a specific individual" (p. 7), après avoir fait état des obligations découlant des lois de protection des données personnelles, le Groupe de travail conclut notamment que
    "[t]he EU legal framework for the use of geolocation data from smart mobile devices is primarily the data protection directive [i.e. directive 1995/46/CE]. Location data from smart mobile devices are personal data. The combination of the unique MAC address and the calculated location of a WiFi access point should be treated as personal data.
    In addition, the revised e-privacy directive 2002/58/EC only applies to the processing of base station data by telecom operators" (p. 20)
    Par conséquent, ces données constituent des données personnels, il est rappelé, entre autres, que leurs traitements nécessitent un consentement préalable, éclairé et spécifique. Ou encore que les services de localisation ne doivent pas être activés sans le consentement de la personne concernée et que les données de localisation doivent être détruites après une certaine période. 

    Par ailleurs, le Groupe de travail porte une attention particulière aux données de localisation des employés et des jeunes en précisant que: 
    "[w]ith regard to employees, employers may only adopt this technology when it is demonstrably necessary for a legitimate purpose, and the same goals cannot be achieved with less intrusive means. With regard to children, parents must be judge whether the use of such an application is justified in specific circumstances. At the very least the must inform their children, and, as soon as reasonably possible, allow them to participate in the decision to use such an application" (p. 20).  
    -----
    Il convient de préciser que la problématique "vie privée et applications mobiles" fait l'objet de plusieurs évènements, notamment:
    "The FCC’s Wireless Telecommunications Bureau in consultation with Federal Trade Commission staff will hold a public education forum featuring representatives of telecommunications carriers, technology companies, consumer advocacy groups and academia on June 28, 2011, exploring how consumers can be both smart and secure when realizing the benefits of Location Based Services (LBS). Topics will include: how LBS works; benefits and risks of LBS; consumer DOs and DON’Ts; industry best practices; and what parents should know about location tracking when their children use mobile devices." (Source: FCC, "Event - Location Based Services Forum")

    18 mai 2011

    Ontario: Rapport annuel 2010 du CIPVP

    La Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario vient de publier son Rapport annuel 2010

    Ce rapport met l'accent sur la proactivité. En effet, la CIPVP appelle à l'action en insistant sur les deux concepts suivants:
    • la protection intégrée de la vie privée (Privacy by Design ou PbD) dont nous avons parlé dans un précédent billet;
    • l'accès à l'information intégré (Access by Design ou AbD). À ce sujet, la CIPVP indique que dans le cadre d'un gouvernement ouvert, l'AbD "permet un changement fondamental des communications entre le gouvernement et les citoyens en faisant en sorte que les institutions publiques divulguent des renseignements de façon proactive et non réactive. [Et] il appelle le gouvernement à être plus réceptif et efficace, et à bâtir des rapports fondés sur la collaboration avec les citoyens, le secteur privé et d'autres institutions publiques" (p. 4).
    Ce concept d'accès à l'information intégré repose, tout comme celui de protection intégrée de la vie privée, sur sept principes, à savoir:
    1. Assurer la divulgation proactive et non réactive de l'information
    2. Intégrer l'accès à l'information dans les programmes
    3. Ouverture et transparence = responsabilité
    4. Favoriser la collaboration
    5. Assurer l'efficacité des activités gouvernementales
    6. Rendre l'information vraiment accessible
    7. Améliorer la qualité de l'information
    Par ailleurs, la CIPVP présente plusieurs questions clés, à savoir:
    • l'importance de protéger les renseignements personnels sur la santé lors de l'utilisation d'applications mobiles. À ce sujet, il est fait mention d'une campagne qui a été menée visant "à sensibiliser les professionnels de la santé de première ligne au fait qu'il ne faut jamais sauvegarder des renseignements personnels sur la santé sur des appareils mobiles comme un ordinateur portable, un assistant numérique personnel ou une clé USB, à moins d'absolue nécessité, auquel cas il faut impérativement chiffrer les données" (p. 7). La campagne dont il est question est accessible à l'adresse suivante: http://www.ipc.on.ca/english/Privacy/Stop-Think-Protect-/;
    • l'importance de réduire les coûts d'obtention des dossiers de santé;
    • l'assujettissement des hôpitaux à la Loi sur l'accès à l'information et à la protection de la vie privée de l'Ontario. À ce propros, il est précisé que "l'Ontario est la dernière province à assujettir les hôpitaux à une loi sur l'accès à l'information et la protection de la vie privée" (p. 9).
    Enfin, il est fait mention des demandes d'accès à l'information, des délais de réponse, des appels formés devant la CIPVP, des dossiers de plaintes concernant la protection de la vie privée, des statistiques relatives à la protection des renseignements personnels de santé, des révisions judiciaires et, de l'état financier. 



    17 mai 2011

    CSC: Canada (Commissaire à l'information) c. Canada (Ministère de la Défense nationale)

    L'arrêt Canada (Commissaire à l'information) v. Canada (Ministère de la Défense nationale) repose sur plusieurs pourvois de la Commissaire à l'information du Canada "en vue d'obtenir la révision judiciaire d'un refus de communiquer certains documents réclamés il y a une dizaine d'années en vertu de la Loi sur l'accès" (p. 6). La Cour Suprême du Canada ("CSC") rejette ces pourvois.

    D'une part, les pourvois de la Commissaire à l'information du Canada concernent "le refus de communiquer des documents qui se trouvaient respectivement au Cabinet du premier ministre [à l'époque il s'agissait de Jean Chrétien], au cabinet du ministre de la Défense nationale et au cabinet du ministre des Transports" [par. 2]. Il s'agit donc de "savoir si le cabinet du ministre responsable de chacune de ces institutions fédérales fait [...] partie de cette institution fédérale" [par. 3]. Il est répondu par la négative.
    Se pose dès lors la question de savoir "si les documents demandés "relevaient" de l'institution fédérale concernée au sens de l'art. 4 de la Loi sur l'accès à l'information malgré le fait qu'ils se trouvaient matériellement au Cabinet du premier ministre ou à celui du ministre de la Défense nationale ou du ministre des Transports" [par. 5 et 44]. Il est répondu par la négative [par. 6, 64 et 65, 110].

    D'autre part, les pourvois concernent "le refus de communiquer les pages de l'agenda du premier ministre qui se trouvent en la possession de la Gendarmerie royale du Canada (la "GRC") et du Bureau du Conseil privé (le "BCP")" [par. 2]. Comme la GRC et le BCP sont des institutions fédérales [par. 8 et 67], les documents qui en relèvent doivent être communiqués. 
    Toutefois, il existe des exceptions à cette communication prévues par la Loi sur l'accès à l'information et notamment à l'art. 19(1) selon lequel "le responsable d'une institution fédérale est tenu de refuser la communication de documents contenant les renseignements personnels visés à l'article 3 de la Loi sur la protection des renseignements personnels". L'article 3 de la Loi sur la protection des renseignement personnel contient lui même une exception à l'effet que "pour l'application de l'article 19 de la Loi sur l'accès à l'information, les renseignements personnels ne comprennent pas les renseignements concernant: j) un cadre ou employé, actuel ou ancien, d'une institution fédérale et portant sur son poste ou ses fonctions [...]". Se pose alors la question de savoir si le premier ministre est un cadre. Il est répondu par la négative [par. 66 à 75, 111].
    Par conséquent, les pages de l'agenda du premier ministre ne sont pas accessibles

    16 mai 2011

    Commission européenne: lancement d'une consultation sur l'informatique dans les nuages

    En prévision de la statégie européenne en matière d'informatique dans les nuages, la Commission européenne lance une consultation publique en ligne qui se terminera le 31 août 2011.

    "La Commission européenne souhaite receuilir l'avis des citoyens, des entreprises, des autorités publiques et des autres parties intéressées sur la meilleure manière de tirer parti de l'informatique en nuage, ou "cloud computing". L'informatique en nuage permet aux entreprises, aux autorités publiques et aux particuliers d'accéder à distance à leurs données et à leurs logiciels, via des réseaux tels que l'internet. [...] C'est un secteur en croissance constante, dont le chiffre d'affaires devrait atteindre près de 35 milliards d'euros en Europe en 2014."

    15 mai 2011

    Ontario: la protection intégrée de la vie privée et ses applications

    La Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario, Ann Cavoukian, insiste, depuis quelques années, sur la nécessité d'intégrer la protection de la vie privée aux projets faisant appellent aux technologies de l'information et de la communication (TIC), et ce dès leur conception. 

    Elle parle alors de Privacy by Design (PbD) ou de protection intégrée de la vie privée, concept qui a fait l'objet d'une résolution lors de la 32° Conférence internationale des commissaires à la protection des données et de la vie privée
    Ainsi, comme relevé dans cette résolution, au regard des progrès technologiques et du fait que "les politiques et règlements actuels ne parviennent pas à eux seuls à assurer la pleine protection de la vie privée", il est alors "nécessaire d'intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion des TIC et des systèmes connexes pendant toute la période de conservation des renseignements afin de protéger pleinement la vie privée".

    Ce concept repose sur les sept principes fondamentaux suivants: 
    1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives
    2. Assurer la protection implicite de la vie privée
    3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques
    4. Assurer une fonctionnalité intégrale selon le paradigme à somme positive et non à somme nulle
    5. Assurer la sécurité de bout en bout, pendant toue la période de conservation des renseignements 
    6. Assurer la visibilité et la transparence
    7. Respecter la vie privée des utilisateurs  
    (Source: Ann CAVOUKIAN, "La protection intégrée de la vie privée - Les sept principes fondamentaux", Août 2009 (modifié Janvier 2011)).
    Partant le CIPVP a produit un certain nombre de document prenant en considération ce concept. Il en va ainsi notamment des documents suivants:
    "Sommaire: Ce document de réflexion porte sur un aspect particulier de la publicité ciblée en ligne, c’est-à-dire la géolocalisation précise par IP et le rôle éventuel des fournisseurs d’accès Internet dans le modèle de service de publicité. Plus précisément, nous décrivons le travail de la société ontarienne Bering Media, Inc. Cette société a relevé les questions relatives à la protection de la vie privée que soulèvent les applications actuelles du géociblage (publicité ciblée en ligne fondée sur l’endroit où se trouve l’utilisateur) en vue de repenser cette technique afin d’en améliorer la fonctionnalité tout en protégeant mieux la vie privée selon une démarche à somme positive et non à somme nulle. Nous ne prétendons pas qu’il s’agisse du seul modèle de publicité ciblée ou de géolocalisation par IP qui permette de protéger la vie privée, mais nous le présentons comme un exemple des solutions qu’il est possible d’élaborer en faisant preuve d’innovation et en s’appuyant sur la protection intégrée de la vie privée." (Source: CIPVP, http://www.ipc.on.ca/french/resources/discussion-papers/discussion-papers-summary/default.aspx?id=985)
    "Summary: Tracking individuals online for marketing and other purposes has become a contentious public policy issue for consumers, regulators and advertisers. The stakes are high, and the technologies complex, but by applying Privacy by Design principles early and systematically, privacy, consumer trust, personalization, innovation and economic benefits may all be achieved. This is positive-sum thinking at its best. Just as ubiquitous and economically dynamic — but far less contentious — is personalized “offline” display advertising to consumers in the “real world.” This paper describes innovative digital signage technology, developed in Ontario, that embraces Privacy by Design principles by providing customized content to consumers without identifying them. It is a model approach and solution that offers important illustrative lessons for the online industry." (Source: CIPVP, http://www.ipc.on.ca/english/About-Us/Whats-New/Whats-New-Summary/?id=204)
    Il convient également de noter que ce concept est repris entre autres par la Federal Trade Commission (FTC) dans Protecting Consumer in an Era of Rapid Change - A Proposed Framework for Business and Policimakers publié en décembre 2010, et la FTC l'a rappelé, le 10 mai 2011, lors d'une comparution au sujet des applications mobiles devant l'US Senate Committee on the Judiciary, Subcommitte for Privacy, Technology and the Law.

    13 mai 2011

    Facebook: fuite de renseignements personnels

    Facebook dit avoir corrigé une faille dans la sécurité des renseignements personnels, faille découverte par l'entreprise Symantec.

    FTC, Playdom Inc. et la vie privée des jeunes en ligne

    La Federal Trade Commission et Playdom. Inc. (une filiale de Disney) ont conclu un accord à l'amiable (3 millions USD) suite à la violation des règles du Children's Online Privacy Protection Act qui interdit la collecte de renseignements personnels d'enfants de moins de 13 ans sans le consentement préalable des parents.

    10 mai 2011

    CPVPC : Rapport sur le suivi, le profilage, le ciblage en ligne et l'infonuagique

    En s'appuyant sur l'exemple des activités en ligne de Louise (21 ans) et de David (9 ans), le Commissariat à la protection de la vie privée du Canada met l'accent sur les risques et défis inhérents au suivi, au profilage et au ciblage en ligne. Il réfère alors à la publicité comportementale en précisant que celle-ci "consiste à effectuer le suivi des activités de consommateurs en ligne au fil du temps afin de présenter des annonces ciblant leurs intérêts" (p. 14). Il insiste également sur la nécessité d'apporter une "attention particulière aux enfants" (p. 23).

    Dans ce rapport, le CPVPC aborde également les enjeux de l'infonuagique en précisant que:
    "l'infonuagique se définit de différentes façons: en général, il s'agit de la prestation de services sur la Web à partir d'ordinateurs situés à distance, permettant aux personnes et aux entreprises d'utiliser des programmes et des logiciels gérés par des tiers. Parmi les divers types de services offerts, mentionnons le stockage de fichiers en ligne, les sites de réseautage social, les sites de courrier électronique et les applications commerciales en ligne. Le modèle infonuagique permet l'accès à des données et à des ressources informatiques partout où une connexion réseau est offerte. L'infonuagique donne accès à un bassin commun de ressources, y compris de l'espace de stockage de données, des réseaux, de la puissance de traitement et des applications spécialisées pour les entreprises et les personnes" (p. 41).
    Ce rapport fait suite à un processus de consultations réalisé au printemps 2010 à Toronto, Montréal et Calgary.
    -----
    Sur le thème du profilage et de la publicité ciblée en ligne, il est également possible de consulter les documents suivants: 

    8 mai 2011

    CPVPC: vers la possibilité d'imposer des amendes ?

    Le 4 mai, lors de la conférence Canada 3.0 organisée par Canadian Digital Media Network, la Commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a indiqué: 
    "Il est temps, à mon avis, de commencer à imposer des amendes aux compagnies — des amendes élevées qui auraient un grand pouvoir dissuasif — lorsque des pratiques désuètes en matière de protection des renseignements personnels entraînent des atteintes à la sécurité des données.
    J’en suis venue à la conclusion que la mise en place de ces amendes serait le seul moyen de faire en sorte que certaines entreprises respectent leurs obligations en matière de protection de la vie privée.
    [...]
    Avant la campagne électorale fédérale, le Parlement canadien envisageait d’adopter des mesures législatives en vertu desquelles les organisations du secteur privé seraient tenues de déclarer les atteintes importantes à la sécurité des données au Commissariat et aux personnes concernées.
    Les élections maintenant terminées, l’une des mes priorités est d’écrire à Industrie Canada pour recommander d’étoffer les dispositions législatives sur l’atteinte à la sécurité des données en ajoutant des amendes applicables dans certains cas."
    À suivre donc. 
     

    7 mai 2011

    OCDE: Rapport sur la protection des enfants en ligne

    L'Organisation de coopération et de développement économiques publie un rapport présentant les risques et défis des environnements électroniques pour les enfants et, des pistes de solutions. 

    Sony: vol de renseignements personnels

    La sécurité du réseau en ligne PlayStation Network de Sony a fait l'objet d'attaques conduisant au vol de numéros de cartes bancaires, comme l'ont notamment révélé La Presse (1)(2)(3), Le Monde (1) et autres.

    Face à cette situation, des demandes de recours collectif sont déposées ici et ailleurs et, des autorités de protection des renseignements personnels vont enquêter.
    (23-05-2011) Le 17 mai 2011, un sous-comité de l'U.S. Committee on Energy and Commerce a fait parvenir une lettre à Sony visant à obtenir des compléments d'informations suite à la faille de sécurité ayant visé l'entreprise. Sony a jusqu'au 25 mai 2011 pour répondre.
    Cette lettre fait suite à une précédente demande en date du 29 avril 2011 à laquelle Sony avait répondu le 3 mai 2011. 

      Apple: données de localisation

      Les données de localisation du iPhone et du iPad font du bruit, comme l'ont notamment expliqué le Wall Street Journal ou encore Apple.  

      (18-05-2011) La problématique des données de localisation fait l'objet de plusieurs articles, notamment:

      États-Unis: projets de lois

      Plusieurs projets de lois récemment déposés aux États-Unis sont à considérer en matière de protection des consommateurs et des renseignements personnels, notamment: 
      • HR 654 - Do Not Track Me Online Act of 2011 - Dans les mois suivants l'adoption de ce projet de loi, la Federal Trade Commission devra mettre en place "an online opt-out mechanism to allow a consumer to effectively and easily prohibit the collection or use of any covered information and to require a covered entity to respect the choice of such consumer to opt-out of such collection or use" (sec. 3(a)). 
      • S 799 - Commercial Privacy Bill of Rights Acy of 2011 - Aux termes de ce projet de loi , la Federal Trade Commission a pour mandat de veiller à l'application des principes énoncés (sec. 402) par les entreprises soumises à cette loi (sec. 401). Ainsi, par exemple, la FTC devra s'assurer que les entreprises intègreront les principes de protection des renseignements personnels dès la conception de leurs offres et services et que ces principes seront respecter tout au long du cycle de vie des renseignements (sec. 103). Parmi ces principes, on retrouve l'obligation d'informer de façon claire et compréhensible les individus des finalités de la collecte, de leur accorder un droit d'accès, de ne collecter que les renseignements nécessaires et d'assurer leur confidentialité (sec. 201 à 303)
      • HR 1528 - Consumer Privacy Protection Act of 2011 - Aux termes de ce projet de loi, les entreprises doivent, notamment, informer les consommateurs de leurs engagements en matière de protection des renseignements personnels et leur permettre de limiter la collecte et l'utilisation de ceux-ci. L'application de cette loi sera soumise à la surveillance de la Federal Trade Commission

      1 mai 2011

      France: le Forum des droits sur l'Internet est mort, vie le Conseil national du numérique !



      Après dix ans, le Forum des droits sur l'Internet est dissous faute de subvention des pouvoirs publics. Les missions du FDI (concertation, sensibilisation, médiation et coopération internationale) avaient pour but de "mieux comprendre les enjeux du monde en réseau, identifier ses problématiques et y répondre efficacement" et contribuaient au dialogue entre les particuliers, les secteurs public et privé. Le contenu du FDI demeure néanmoins accessible (en licence libre) à l'adresse suivante: http://www.foruminternet.org/.



      Fin avril 2011, faisant suite à un rapport remis au Ministre chargé de l'Industrie, de l'Énergie et de l'Économie numérique, le Conseil national du numérique est constitué. 

      Comme indiqué dans le décret portant sur sa création, 

      "Le Conseil national du numérique a pour mission d'éclairer le Gouvernement et de participer au débat public dans le domaine du numérique.
      Il peut être consulté par le Gouvernement sur tout projet de disposition législative ou réglementaire susceptible d'avoir un impact sur l'économie numérique. 

      Il formule également de sa propre initiative des recommandations en faveur du développement de l'économie numérique en France et contribue aux réflexions prospectives sur ce secteur"

      Les activités de ce nouveau conseil seront à suivre, en attendant il est possible de consulter la documentation suivante:

      CNIL: sanction pécuniaire contre Google Inc.

      La Commission Nationale de l'Informatique et des Libertés (France), réunie en formation restreinte, prononce une sanction pécuniaire de 100 000 euros contre la société Google Inc qui "dispose d'un délai de deux mois à compter de la notification de la présente décision pour exercer un recours devant le Conseil d'État à son encontre".