28 août 2011

France: transposition du "paquet télécom"

Le 19 juillet 2011, la Commission européenne a fait parvenir à plusieurs États, dont la France, une mise en demeure pour défaut de transposition de la réglementation en matière de télécommunications (billet). Les États avaient deux mois pour répondre et, la France l'a fait en publiant le 26 août 2011, l'Ordonnance 2011-1012 relative aux communications électroniques dans le Journal Officiel (JORF n° 0197). 

Cette ordonnance modifie notamment le code de la consommation, le code pénal, le code des postes et des communications électroniques, la loi pour la confiance dans l'économie numérique et la loi relative à l'informatique, aux fichiers et aux libertés. 

Concernant cette dernière loi, l'ordonnance vient préciser l'obligation d'information quant aux cookies. En effet, l'article 32(II) devra désormais se lire de la façon suivante: 
Art. 32. II. Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 
- des moyens dont il dispose pour s'y opposer. 
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. 
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : 
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
(Source: Ordonnance 2011-1012) 
Par ailleurs, l'ordonnance vient ajouter un article 34bis à cette loi. Désormais, toute violation quant à la sécurité des données à caractère personnel devra être déclarée à la CNIL. Ce nouvel article se lit comme suit:
Art. 34 bis. I. Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification. 
Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.
II. En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. 
Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. 
La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. 
A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés. 
III. Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.
(Source: Ordonnance 2011-1012) 
Pour plus de détails sur cette ordonnance, voir: 
(19-09-2011) COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Transposition du Paquet télécom : renforcement des droits des internautes et signalement des failles de sécurité à la CNIL", Article, 19 septembre 2011.


(21-09-2011) Arnaud DIMEGLIO, "L'ordonnance du 24 août renforce la protection des consommateurs", Droit et Nouvelles Technologies, 19 août 2011. 

(02-11-2011) COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Ce que le "Paquet Télécom" change pour les cookies", Article, 26 octobre 2011.

26 août 2011

CPVPC: publication des résultats d'un "sondage sur les Canadiens et la protection de la vie privée"

Au début de l'année 2011, le Commissariat à la protection de la vie privée du Canada a demandé à la firme de sondage Harris/Décima de réaliser un sondage afin de

"mesurer la compréhension et la connaissance qu'ont les Canadiens de certains enjeux en matière de vie privée, des lois et règlements en la matière et des institutions fédérales chargées de leur application, tout particulièrement dans chacun des quatre domaines prioritaires: les technologies de l'information et la protection de la vie privée; la sécurité publique et la protection de la vie privée; l'intégrité et la protection de l'identité; la protection des renseignements génétiques"
(Source: CPVPC, Sondage 2011, p. 6)

Les résultats du sondage qui viennent d'être publiés révèlent qu'en ce qui concerne: 
  • protection de la vie privée, institutions, lois et droits:
    • la connaissance des institutions fédérales responsables de la protection de la vie privée, dont le CPVP, est inchangé (p. 8)
    • la plupart des Canadiens ne connaissent pas tellement bien les lois en matière de protection de la vie privée, mais ont l'impression de protéger leurs renseignements personnels (p. 11)
    • les Canadiens perçoivent que les gouvernements et les entreprises prennent plus au sérieux la protection des renseignements personnels (p. 14)
  • protection de la vie privée et nouvelles technologies:
    • beaucoup de Canadiens utilisent des appareils mobiles - avec ou sans mesures de protection de la vie privée (p. 29);
    • les Canadiens sont plutôt préoccupés par l'utilisation de réseaux Wi-Fi publics (p. 33);
    • les Canadiens sont plutôt préoccupés par la possibilité que leurs renseignements personnels accessibles en ligne tombent entre de mauvaises mains (p. 34);
    • les sites de réseautage social soulèvent des préoccupations quant à la protection de la vie privée (p. 37);
    • les Canadiens croient que les entreprises point-com devraient demander la permission avant de suivre les comportements en ligne (p. 40);
    • les gens consultent rarement les politiques de protection de la vie privée sur Internet, et ces politiques ne sont pas toujours claires (p. 42);
    • les jeunes Canadiens sont les plus grands utilisateurs des nouvelles technologies et les plus susceptibles de prendre des mesures pour protéger leur vie privée (p. 43);
  • sécurité nationale et sécurité publique:
    • les Canadiens sont préoccupés par la possibilité que leurs renseignements personnels soient utilisés par des gouvernements étrangers (p. 45);
  • attitutes à l'égard de la protection des renseignements génétiques:
    • de nombreux Canadiens sont préoccupés par les entreprises qui offrent des tests génétiques (p. 49).
Pour plus de détails, voir notamment:
Il est possible de faire un parallèle avec une enquête européenne sur la protection des données et l'identité numérique publiée dernièrement (billet du 19 juin 2011).

    24 août 2011

    CNIL: comment gérer sa e-réputation

    La Commission Nationale de l'Informatique et des Libertés s'intéresse à la e-réputation en répondant aux questions suivantes: 
    • Qu'est-ce que la "e-réputation"?
    La CNIL précise qu'il s'agit de "l'image numérique d'une personne sur Internet. Cette e-réputation est entretenue par tout ce qui concerne cette personne et qui est mis en ligne sur les réseaux sociaux, les blogs ou les plateformes de partage de vidéos." (Source: CNIL)
    • Pourquoi doit-on faire attention à sa réputation en ligne?
    • Peut-on maîtriser sa "e-réputation"?
    • Comment faire pour contrôler sa "e-réputation"?
    La CNIL "recommande de taper régulièrement son nom dans un moteur de recherche pour voir quelles informations nous concernant circulent sur Internet." (Source: CNIL)
    Elle recommande également d'utiliser des outils tels que Ma présence sur le Web qui "vous permet de comprendre et de gérer ce que les autres voient lorsqu'ils effectuent des recherches à votre sujet sur Google" (Source: CNIL et Google Dashboard).
    • Que faire si du contenu négatif qui nuit à notre réputation est publié sur Internet?
    • Que proposent les entreprises d'e-réputation?
    • Quelles solutions sont proposées si certains contenus ne peuvent pas être supprimés d'Internet?
    • Comment va évoluer la gestion de l'e-réputation à l'avenir?

    Pour plus de détails, voir: 

    21 août 2011

    Belgique: vers un règlement à l'amiable avec Google Street View

    Selon un article paru sur le site de la RTBF, le parquet fédéral belge donne trois mois à Google pour payer une amende de 150 000 euros pour son application Google Street View sinon "l'affaire se transformera en dossier judiciaire et l'amende pourrait alors s'élever à plus d'un quart de million d'euros". (Source: RTBF)

    17 août 2011

    CPVPC: publication d'un guide à l'intention des avocats

    Le Commissariat à la protection de la vie privée du Canada vient de publier une guide qui "vise à fournir un aperçu des exigences de la LPRPDÉ [i.e. Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5] qui peuvent s'appliquer aux avocats et aux cabinets d'avocats en pratique privé, ainsi qu'à certains avocats de société" (Guide, p. 1).  

    Ce guide insiste alors sur:
    • la protection de la vie privée dans le cadre de la gestion de la pratique du droit (collecte, utilisation, communication, accès, protection et sécurité, conservation, renseignements personnels des employés, enjeux internationaux);
    • la protection de la vie privée dans les litiges civiles (consentement explicite / implicite, préparation d'une instance, litige) 

    Il est rappelé que "la LPRPDÉ s'applique aux activités commerciales des organisation dans toutes les provinces, sauf les organisation qui recueillent, utilisent ou communiquent des renseignements personnels exclusivement en Alberta, en Colombie-Britannique ou au Québec (ou en Ontario, à l'égard des renseignements personnels sur la santé revueillis, utilisés ou communiqués par les dépositaires, autrement, la LPRPDÉ s'applique aux activités commerciales en Ontario). Dans ces cas, c'est la loi provinciale essentiellement similaire qui s'appliquera au lieu de la LPRPDÉ, même si la LPRPDÉ continue de s'appliquer aux transferts interprovinciaux ou internationaux de renseignements personnels" (Guide, p. 2).

    Pour plus de détails, voir:

    15 août 2011

    FTC, W3 Innovation LLC et la protection des jeunes en ligne

    Tout comme avec Playdom Inc. (billet), la Federal Trade Commission vient de conclure un accord avec le développeur d'applications mobiles W3 Innovations, LLC, suite à la violation des règles du Children's Online Privacy Protection Act qui interdit la collecte de renseignements personnels d'enfants de moins de 13 ans sans le consentement préalable des parents.

    Pour plus de détails, voir notamment:
    (17/08/2011) Voir également:

    12 août 2011

    Commission européenne: augmentation des demandes d'accès aux documents de la Commission

    On peut lire dans un communiqué de la Commission européenne que le nombre de demandes d'accès aux documents de cette dernière est en progression ces dernières années.

    Ces demandes portent aussi bien sur des documents d'intérêt public et général que sur des documents d'intérêt privé et spécifique. En effet, "les plaignants dans des procédures d’infraction, les concurrents ou les victimes présumées d’un comportement anticoncurrentiel sont notamment à l’origine de demandes de documents les intéressant directement, mais qui ne peuvent pas être rendus accessibles au public sans risquer de nuire aux intérêts légitimes d'une autre personne ou entité." (Source: Communiqué de presse, 12 août 2011)

    Pour plus de détails, voir:

    7 août 2011

    Belgique: consultation publique sur la cybersurveillance

    La Commission de la protection de la vie privée (CPVP) vient de lancer, jusqu'au 30 novembre 2011, une consultation publique sur la cybersurveillance en milieu de travail 
    "afin de permettre aux responsables du traitement et aux personnes concernées de faire valoir leurs observations, remarques ou objections en vue d'adresser aux partenaires sociaux, aux organes de concertations qu'ils constituent et de manière générale à tous les employeurs et travailleurs, des recommandations visant à concilier les prérogatives de l'employeur avec la protection des données à caractère personnel des travailleurs ou de tiers lors de l'utilisation, de la surveillance et du contrôle des outils informatiques de communications électroniques dans le cadre de la relation de travail"
    (Source: CPVP, Rapport, p. 1)
    Pour plus de détails, voir notamment:

    2 août 2011

    Nouvelle-Zélande: publication d'un rapport concernant la réforme du Privacy Act 1993

    La Law Commission vient de publier son rapport concernant la réforme du Privacy Act 1993. Ainsi on peut lire sur le site de la Commission du droit que:  

    " The Law Commission today completed its landmark review of privacy law with the publication of its final report, 'Review of the Privacy Act 1993: Review of the Law of Privacy Stage 4.'
    The report, which calls for new powers for the Privacy Commissioner, is the fourth in the Commission’s four-stage review of New Zealand’s privacy laws.
    The report focuses on the Privacy Act 1993. Overall, the Commission believes the main principles of the Act remain sound. Rather than setting strict rules, the Act is based on privacy principles that can be applied flexibly to suit an agency’s particular circumstances. The Commission supports this principles-based approach, which also allows the Act to remain relevant as technology changes.
    The Commission thinks the Act could be improved in a number of areas. Among the key recommendations of the report are that:
    - the Privacy Commissioner’s powers should be augmented by a  new power to issue compliance notices, and, where there is a good reason for it, to require an audit of an agency’s information-handling practices;
    - the complaints process under the Act should be streamlined in a number of respects, including giving the Privacy Commissioner the power to make binding decisions on complaints about people’s right to access their own personal information;
    - agencies should be required to notify people when personal information held by an agency is lost or otherwise compromised (for example, through computer hacking), if the breach is sufficiently serious;
    - there should be a new framework in the Act to allow the sharing of personal information between government agencies where it is in the public interest to do so, but with appropriate safeguards; and
    - some exceptions to the privacy principles should be modified, for example to clarify that people can pass on information to an appropriate person where someone’s health is seriously at risk, or report suspected offending to the police."
    (Source: Law Commission - Review of Privacy, August 2, 2011)
    Pour plus de détails, voir notamment:

    1 août 2011

    CPVPC et CIPVP (Alberta et Colombie-Britannique): protocole d'entente

    Le Commissariat à la protection de la vie privée du Canada (CPVPC) et les Commissariats à l'information et à la protection de la vie privée (CIPVP) de l'Alberta et de la Colombie-Britannique ont signé un protocole d'entente concernant la coopération et la collaboration dans les domaines des politiques, de l'application de la loi et de la sensibilisation du public en matière de protection des renseignements personnels dans le secteur privé.

    Il est prévu de mettre en place un Forum sur la protection des renseignements personnels dans le secteur privé dont les principales activités seront:

    " - developing protocols to address the sharing of information, determinsation of jurisdiction, transferring complaints, and carrying out parallel and joint investigations;
    - identifying opportunities for collaborative policy and public education. The Offices commit to advising and updating each other with regard to all such proposed and ongoing initiatives and will consult to prevent duplication or inconsistencies;
    - identifying oppotunities for collaboration and knowledge sharing with regard to internal protocols, including the development of templates, reporting formats and case management systems;
    - consulting on issues of jurisdiction between Offices, and with respect to other dispute resolution forums;
    - coordinating and participating in staff exchanges;
    - jointly sponsoring, supporting and participating in conferences and training activities."
    (Source: Protocole p. 4)